Das US-amerikanische Federal Bureau of Investigation (FBI) warnt vor einem neuen Trend doppelter Ransomware-Angriffe, die mit zunehmender Tendenz seit Juli 2023 auf dieselben Opfer abzielen. Während dieser Angriffe setzten Cyberkriminelle zwei verschiedene Ransomware-Varianten gegen die Opferunternehmen ein, wie z. B. AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum und Royal.
Über das Ausmaß solcher Angriffe ist (noch) nicht viel bekannt, man geht jedoch davon aus, dass die Angriffe in unmittelbarer Nähe zueinander stattfinden und zwischen 48 Stunden und 10 Tagen liegen.
Eine weitere bemerkenswerte Veränderung, die bei Ransomware-Angriffen beobachtet wurde, ist der zunehmende Einsatz von benutzerspezifischem Datendiebstahl, Löschtools und Malware, um Druck auf die Opfer auszuüben, damit sie zahlen.
„Dieser Einsatz zweier Ransomware-Varianten führte zu einer Kombination aus Datenverschlüsselung, Exfiltration und finanziellen Verlusten durch Lösegeldzahlungen“, sagte das FBI. „Ein zweiter Ransomware-Angriff auf ein bereits kompromittiertes System könnte den Opfern erheblichen Schaden zufügen.“
Dual-Ransomware-Angriffe sind kein neues Phänomen
Letztes Jahr gab Sophos bekannt, dass ein namentlich nicht genannter Automobilzulieferer über einen Zeitraum von zwei Wochen zwischen April und Mai 2022 von einem dreifachen Ransomware-Angriff bestehend aus Lockbit, Hive und BlackCat betroffen war.
Anfang dieses Monats beschrieb Symantec einen Ransomware-Angriff auf ein namentlich nicht genanntes Opfer, nachdem der Versuch LockBit im Zielnetzwerk bereitzustellen fehlgeschlagen war.
Die Änderung der Taktik lässt sich auf mehrere Faktoren zurückführen, darunter die Ausnutzung von Zero-Day-Schwachstellen und die Verbreitung von Erstzugriffsvermittlern (Initial Access Broker) und Partnern in der Ransomware-Landschaft, die den Zugriff auf die Systeme der Opfer weiterverkaufen und somit in schneller Folge verschiedene Varianten einsetzen können.
Unternehmen und Organisationen sollten jetzt ihre Abwehrmaßnahmen stärken, indem sie beispielsweise Offline-Backups durchführen, externe Remote-Verbindungen und die Nutzung des Remote-Desktop-Protokolls (RDP) überwachen, eine phishingresistente Multi-Faktor-Authentifizierung durchsetzen, Zugriffsberechtigungen einschränken, Benutzerkonten prüfen und Netzwerke segmentieren, um die Verbreitung von Ransomware zu verhindern.