Ransomware-Banden erhöhen den Druck auf neue Weise

Im November 2023 versuchte ALPHV/BlackCat eine neue Art von Druck auf ein Opfer auszuüben – die Einreichung einer Beschwerde bei der SEC.

Die US-Börsenaufsicht SEC (Securities and Exchange Commission) hat die Aufgabe, „Anleger zu schützen, faire, geordnete und effiziente Märkte aufrechtzuerhalten und die Kapitalbildung zu erleichtern“. Im Rahmen dieser Bemühungen erlässt die SEC Vorschriften für Cybersecurity-Vorfälle, die „den Anlegern zeitnahe, einheitliche und vergleichbare Informationen über eine wichtige Gruppe von Risiken liefern, die bei börsennotierten Unternehmen und ihren Anlegern erhebliche Verluste verursachen können. “

Online-Quellen zufolge gab die Gruppe an, am 7. November in die Systeme von MeridianLink eingedrungen zu sein und Unternehmensdaten gestohlen zu haben, ohne die Systeme zu verschlüsseln. Anscheinend reagierte MeridianLink nicht schnell genug auf ALPHV, um eine Zahlung als Gegenleistung dafür auszuhandeln, dass die gestohlenen Daten nicht preisgegeben werden. Aus diesem Grund beschloss APLHV um den 15. November herum, eine Beschwerde bei der US-Börsenaufsichtsbehörde einzureichen, weil das Unternehmen den Vorfall, der „Kundendaten und betriebliche Informationen“ betraf, nicht offengelegt hatte. Die fragliche SEC-Regel verlangt von den Unternehmen die Offenlegung von Cybersecurity-Vorfällen „vier Werktage, nachdem ein Registrant festgestellt hat, dass ein Cybersecurity-Vorfall wesentlich ist.“ Die „vier Werktage“ beginnen nicht, wenn der Verstoß auftritt, sondern falls/wenn festgestellt wird, dass der Verstoß erhebliche Auswirkungen auf das Geschäftsergebnis des Unternehmens hat.

ALPHV BlackCat reicht angeblich eine SEC-Beschwerde gegen MeridanLink ein, weil es versäumt hat, einen Cybersicherheitsvorfall einzureichen.@Mandiant pic.twitter.com/DHEKLEo4DV

— Dominic Alvieri (@AlvieriD) 15. November 2023

Zum Leidwesen der Gruppe scheiterte der Versuch, die neuen Offenlegungsvorschriften der SEC als Waffe einzusetzen, da die Regeln zu diesem Zeitpunkt noch nicht in Kraft waren. Die Regeländerung sollte am 15. Dezember 2023, über einen Monat nach dem Verstoß, in Kraft treten. MeridianLink bestätigte den Cyberangriff und beauftragte ein Drittanbieter-Team mit der Untersuchung.

Dies folgt auf mehrere solcher Probleme, die von diesen Ransomware-Gruppen verursacht werden. Einer der bisher schlimmsten Versuche dieser Art wurde im Februar 2023 in den USA verübt. Die gleichen Bedrohungsakteure, ALPHV/BlackCat, griffen das Lehigh Valley Health Network (LVHN) an und stahlen eine erhebliche Menge an Patientendaten. Diese Daten enthielten Fotos und medizinische Scans von über 2.700 Patienten, von denen einige an schweren Krankheiten wie Brustkrebs litten. LHVN reagierte auf den Angriff mit einer öffentlichen Erklärung, dass sie kein Lösegeld zahlen würden. Im März wurde bekannt, dass eine Krebspatientin LHVN verklagt hat, weil ALPHV/BlackCat personenbezogene Daten von Patienten, darunter Nacktaufnahmen, medizinische Scans und andere Daten dieses Opfers, veröffentlicht hat. Es gibt keine Garantie, dass die Zahlung eines Lösegelds zum gewünschten Ergebnis führt, und alle Strafverfolgungsbehörden raten von solchen Zahlungen ab. Dies soll jedoch daran erinnern, dass nicht alle Daten gleich sind. Unternehmen müssen diese Daten besser schützen, als sie es in der Vergangenheit getan haben.

In einer weiteren Entwicklung dieser Art von zusätzlichem Druck ist die Ransomware-Gruppe Hunters International nun zu extremen Maßnahmen übergegangen – sie wendet bei ihren Opfern das sogenannte Swatting an. 

In diesem Zusammenhang bezieht sich „Swatting“ auf das Anrufen der Notdienste und das Melden von Bedrohungsaktivitäten an einer bestimmten Adresse. Bei dieser Bedrohungsaktivität handelt es sich normalerweise um eine Bombendrohung oder eine Situation häuslicher Gewalt. Die Notfallreaktion auf die gefälschte Bedrohung ist bestenfalls beunruhigend und störend. Dem Cybersicherheitsermittler und Journalisten Brian Krebs wurden vor seinem Haus Handschellen angelegt, nachdem er Opfer von „Swatting“ durch Cyberkriminelle geworden war. Zahlreiche Prominente und Beamte erlebten ebenfalls „Swatting“ im Rahmen von Streichen oder wegen Belästigung. Die schlimmsten Swatting-Vorfälle haben Menschen das Leben gekostet.

Hunters International ist eine Ransomware-as-a-Service-Bande, die Ende letzten Jahres gegründet wurde. Es handelt sich wahrscheinlich um einen Ableger der alten Hive Ransomware-Bande, die vom FBI zerschlagen wurde, und einige Journalisten haben spekuliert, dass Hunters International immer noch versucht, sich bei potenziellen Partnern zu beweisen. Vielleicht ist es dieser Ehrgeiz, der hinter der verabscheuungswürdigen Taktik steckt, einzelne Patienten der Unternehmen ins Visier zu nehmen, die angegriffen wurden. Die Bande hat Gesundheitsorganisationen wie das Bradford Health Care und das Fred Hutchinson Cancer Center infiltriert. Für Hunters International reicht es nicht aus, die medizinischen Netzwerke zu erpressen. Die Kriminellen haben es auf einzelne Opfer abgesehen. In einem Fall verlangten sie von einem Patienten 50 $, um seine Daten von seiner Leak-Website zu entfernen. Patienten von Integris Health in Oklahoma haben ähnliche Erpressungsversuche erlebt.

Dies ist weit entfernt von der Entschuldigung der LockBit Ransomware-Bande und den kostenlosen Entschlüsselungsschlüsseln, die einem Kinderkrankenhaus angeboten wurden , das von einem Lockbit-Tochterunternehmen angegriffen wurde.

Diese Entwicklung ist schon seit einiger Zeit im Gange. Da immer mehr Organisationen eine harte Haltung gegen die Zahlung von Lösegeld einnehmen und sich weigern zu verhandeln, werden die Bedrohungsakteure weiterhin neue Wege finden, um eine Rendite für ihre „Investitionen“ zu erzielen und auf „innovative“ Weise Druck auszuüben, um ihr Geld zu bekommen.  Es gibt keinen Grund zu glauben, dass diese Banden von alleine aufhören werden.

Erfahren Sie, wie Sie KI-gestützte Ransomware-Angriffe abwehren: der Schlüssel zu einer schnellen Wiederherstellung

Sehen Sie sich dieses kostenlose On-Demand-Webinar an, um ein gründliches Verständnis der Entwicklung von Ransomware zu erhalten. Sie werden auch herausfinden, warum manche Organisationen Wochen oder Monate brauchen, um sich zu erholen und dabei enorme Summen zahlen – und warum andere in der Lage sind, sich schnell und vollständig zu erholen und in höchstens ein paar Tagen zum normalen Betrieb zurückzukehren.

Ransomware-Angriffe gehören mittlerweile zum Alltag dazu. Aber die Art und Weise, wie Sie sich darauf vorbereiten und darauf reagieren, kann entscheiden, ob sie zu einer großen Katastrophe oder nur zu einem kleinen Ärgernis führen.