Irren ist menschlich

Auch Angreifer machen Fehler: 5 Ransomware-Pannen

Kaum ein Tag vergeht, an dem nicht neue Schreckensmeldungen von Ransomware-Angriffen, bei denen die Daten Betroffener verschlüsselt und in Geiselhaft genommen werden, die Runde machen. Doch nicht jede Attacke glückt auf Anhieb, weiß der IT-Sicherheitsanbieter Sophos und berichtet von fünf schusseligen Ransomware-Pannen zum Schmunzeln.

Eine typische Ransomware sei eine ausgefeilte, menschen-geführte Attacke, bei der die Eindringlinge oft mehrere Tage bis Wochen im Netzwerk verblieben, bevor sie ihre Erpressungen starteten, erläutert das Unternehmen in einer Mitteilung. Während dieser Zeit bewegten sich die Angreifer durch das Netzwerk, stählen Daten, installierten neue Tools, löschten Backups und noch vieles mehr. Zu jedem Zeitpunkt könnte der Angriff dabei entdeckt und blockiert werden, und das stresse besonders die Cyberkriminellen, die via Tastatur die Attacke kontrollierten.

Sie müssen demnach Taktiken mitten im Einsatz ändern, oder für die geplanten Malware-Einsätze einen zweiten Anlauf nehmen, sollte der erste scheitern. „Dieser Druck kann zu Fehlern führen. Auch Cybergangster sind schlussendlich nur Menschen“, wissen die IT-Sicherheitsexperten und verweisen dabei auf fünf verpatzte Ransomware-Attacken.

Daten versehentlich wiederhergestellt
Etwa jene der Avaddon-Gruppe, die von ihrem Opfer gebeten wurde, doch die eigenen Daten zu veröffentlichen - man könne einen Teil nicht wiederherstellen. Die Gruppe, zu dusselig zu verstehen, was ihr Opfer im Sinn hatte, machte die Ankündigung, Opferdaten zu veröffentlichen, wahr - wodurch das betroffene Unternehmen wieder in den Besitz seiner Daten kam.

Zu spät gekommen
Zu spät dran war dagegen die Maze-Gruppe. Sie hatte zwar erfolgreich eine große Menge an Daten von einem Unternehmen stehlen können, musste dann allerdings feststellen, dass diese unlesbar waren: bereits verschlüsselt von einer anderen Ransomware, die eine Woche zuvor zugeschlagen hatte.

Zu viel verschlüsselt
Pech hatten auch die Hacker von Conti: Sie hatten die Fernwartungssoftware AnyDesk auf einem infizierten Rechner installiert, um sich Fernzugang zu sichern. Als sie dann die Ransomware ausrollten, mussten sie feststellen, dass diese gründlichst alles auf dem Gerät verschlüsselte - auch ihre zuvor mittels AnyDesk errichtete Hintertür.

Falscher Empfänger
Die Mount-Locker-Bande ging laut Sophos ebenfalls leer aus. Ihr Opfer weigerte sich schlichtweg zu zahlen, nachdem sie eine Stichprobe geleakt hatte. Es gab auch keinen Grund: Die veröffentlichen Daten gehörten zu einer ganz anderen Firma.

Nicht gründlich aufgeräumt
Als eher ungünstig erwies sich schlussendlich auch für eine namenlose Gruppe von Angreifern, dass sie die Konfigurationsdatei für den FTP-Server, den sie zur Datenexfiltration nutzten, zurückließen. Damit habe sich das Opfer einloggen und die ihm zuvor gestohlenen Daten löschen können, berichtete der IT-Sicherheitsanbieter.

„Attacken werden fehleranfällig“
„Die gegnerischen Pannen, die uns ins Auge fielen, sind ein Beweis dafür, wie überfüllt und kommerzialisiert die Ransomware-Landschaft mittlerweile ist“, kommentierte Peter Mackenzie, Manager des Sophos Rapid Response Teams. „Als Ergebnis dieses Trends findet man verschiedene Angreifer, die das gleiche potenzielle Opfer anvisieren. Rechnet man den Druck, der von Sicherheitssoftware und Incident Respondern ausgeht, dazu, ist es verständlich, dass die Attacken fehleranfällig werden.“