Ransomware und Cyber-Erpressung E-Book

Sherri Davidoff (links), Matt Durrin (Mitte), Karen Sprenger (rechts)

Sherri Davidoff ist CEO von LMG Security und Autorin des Buches Data Breaches: Crisis and Opportunity. Als anerkannte Expertin für Cybersicherheit wurde Sie von der The New York Times als »security badass« tituliert. Sherri ist regelmäßige Dozentin bei den renommierten Black-Hat-Trainings und Fakultätsmitglied der Pacific Coast Banking School. Sie ist auch Koautorin des Buchs Network Forensics: Tracking Hackers Through Cyberspace (Addison-Wesley, 2012). Sherri ist GIAC-zertifizierte forensische Analytikerin (GCFA) und Pentesterin (GPEN) und besitzt einen Abschluss in Informatik und Elektrotechnik vom Massachusetts Institute of Technology (MIT).

Matt Durrin ist Director of Training and Research bei LMG Security und Senior Consultant für das Unternehmen. Er ist Dozent der internationalen Black-Hat-USA-Konferenz, wo er Kurse zu Ransomware und Datensicherheit gehalten hat. Matt hat Seminare zu Cybersicherheit, Planspiele und Kurse mit tausenden Teilnehmern aus Banken, Handel, Gesundheitswesen und Behörden abgehalten.

Als erfahrener Cybersicherheits- und IT-Profi hat sich Matt auf Response und Forschung für Ransomware spezialisiert sowie auf den Einsatz proaktiver Cybersicherheitslösungen. Matt hat einen Bachelor in Informatik von der University of Montana, und seine Malware-Forschung wurde bei NBC Nightly News vorgestellt.

Karen Sprenger ist COO und Chefunterhändlerin für Ransomware bei LMG Security. Sie hat mehr als 25 Jahre Erfahrung mit Cybersicherheit und IT, ist anerkannte Expertin für Cybersicherheit, Rednerin und Trainerin. Karen ist GIAC Certified Forensics Examiner (GCFE), Certified Information Systems Security Professional (CISSP) und besitzt einen Bachelor of Music (Performance) (ja, wirklich). Sie spricht auf vielen Events wie der Wall Street Journal Cyber Pro, Fortinet, der Internal Legal Tech Association und dem Volunteer Leadership Council. In ihrer Freizeit betrachtet Karen »digitale Forensik« als völlig legitime Antwort auf die Frage »Welches Hobby haben Sie?«. Sie lebt seit ihrer Geburt in Montana und wohnt mit einer Unmenge von Pudeln in Missoula.

Sherri Davidoff · Matt Durrin · Karen E. Sprenger

Ransomware und Cyber-Erpressung

Das Praxishandbuch für IT- und Systemverantwortliche

Sherri Davidoff · Matt Durrin · Karen E. Sprenger

Lektorat: Dr. Benjamin Ziech, René Schönfeldt

Lektoratsassistenz: Anja Ehrlich

Übersetzung: Peter Klicman

Copy-Editing: Annette Schwarz, Ditzingen

Satz: Gerhard Alfes, mediaService, Siegen, www.mediaservice.tv

Herstellung: Stefanie Weidner, Frank Heidt

Umschlaggestaltung: Helmut Kraus, www.exclam.de, unter Verwendung einer Illustration von Jonah Elgart, bolognasalad.com

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN:

Print

978-3-86490-888-0

PDF

978-3-98890-046-3

ePub

978-3-98890-047-0

mobi

978-3-98890-048-7

1. Auflage 2023

Translation Copyright für die deutschsprachige Ausgabe © 2023 dpunkt.verlag GmbH

Wieblinger Weg 17

69123 Heidelberg

Authorized translation from the English language edition, entitled RANSOMWARE AND CYBER EXTORSION: RESPONSE & PREVENTION 1st Edition (ISBN 9781509306978) by Sherri Davidoff, Matt Durrin & Karen E. Sprenger, published by Pearson Education, Inc, publishing as Addison Wesley © 2023 Pearson Education, Inc.

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc.

Hinweis:

Dieses Buch wurde mit mineralölfreien Farben auf PEFC-zertifiziertem Papier aus nachhaltiger Waldwirtschaft gedruckt. Der Umwelt zuliebe verzichten wir zusätzlich auf die Einschweißfolie.

Hergestellt in Deutschland.

Schreiben Sie uns:

Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected].

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.

Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autorinnen und Autor noch Verlag noch Übersetzer können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.

5 4 3 2 1 0

Für meinen Ehemann und besten Freund Tom.

– Sherri

Für meine fürsorgliche, liebevolle und GEDULDIGE Frau Karah.

– Matt

Für meine Mutter, meinen Vater und meine Schwester für die Liebe und Unterstützung während all meiner Abenteuer.

– Karen

Inhaltsverzeichnis

Vorwort

Wer sollte dieses Buch lesen?

Wie dieses Buch aufgebaut ist

Weitere Elemente

Bleiben Sie auf dem neuesten Stand

Danksagungen

1Auswirkungen

1.1Eine Cyberepidemie

1.2Was ist Cybererpressung?

1.2.1Die CIA-Triade

1.2.2Arten digitaler Erpressung

1.2.3Multikomponenten-Erpressung

1.3Auswirkungen moderner digitaler Erpressung

1.3.1Betriebsunterbrechung

1.3.2Finanzielle Einbußen

1.3.3Reputationsverlust

1.3.4Gerichtsverfahren

1.4Wahl der Opfer

1.4.1Opportunistische Angriffe

1.4.2Gezielte Angriffe

1.4.3Hybride Angriffe

1.5Verbreitung

1.5.1Managed Services Provider

1.5.2Technologiehersteller

1.5.3Softwareschwachstellen

1.5.4Cloud-Anbieter

1.6Fazit

1.7Sie sind dran!

2Evolution

2.1Herkunftsgeschichte

2.2Kryptovirale Erpressung

2.3Frühe Erpresser-Malware

2.4Wesentliche technische Fortschritte

2.4.1Asymmetrische Kryptografie

2.4.2Kryptowährungen

2.4.3Onion-Routing

2.5Ransomware wird Mainstream

2.6Ransomware-as-a-Service

2.7Enthüllung

2.8Doppelerpressung

2.9Eine industrielle Revolution

2.9.1Spezialisierte Rollen

2.9.2Bezahlte Mitarbeiter

2.9.3Automatisierte Erpresserportale

2.9.4Franchising

2.9.5Öffentlichkeitsarbeit

2.9.6Standardisierte Playbooks und Toolkits

2.10Fazit

2.11Sie sind dran!

3Anatomie eines Angriffs

3.1Übersicht

3.2Zugang

3.2.1Phishing

3.2.2Entfernter Login

3.2.3Softwareschwachstellen

3.2.4Angriffe auf Technologiezulieferer

3.3Ausweitung

3.3.1Persistenz

3.3.2Erkundung

3.3.3Ausbreitung

3.4Bewertung

3.5Vorbereitung

3.5.1Antiviren- und Sicherheitssoftware

3.5.2Laufende Prozesse und Anwendungen

3.5.3Logging- und Monitoring-Software

3.5.4Accounts und Zugriffsrechte

3.6Durchführung

3.6.1Ausführen der Ransomware

3.6.2Ausschleusung

3.7Erpressung

3.7.1Passive Mitteilung

3.7.2Aktive Mitteilung

3.7.3Kontakt zu Drittparteien

3.7.4Veröffentlichung

3.8Fazit

3.9Sie sind dran!

4Die Krise beginnt!

4.1Digitale Erpressung ist eine Krise

4.2Erkennung

4.3Wer muss eingebunden werden?

4.4Triage

4.4.1Warum ist Triage wichtig?

4.4.2Beispielhaftes Triage-System

4.4.3Den aktuellen Status einschätzen

4.4.4Wiederherstellungsziele berücksichtigen

4.4.5Die nächsten Schritte bestimmen

4.5Ihre Ressourcen bewerten

4.5.1Finanzen

4.5.2Versicherung

4.5.3Beweissicherung

4.5.4Personal

4.5.5Technische Ressourcen

4.5.6Dokumentation

4.6Eine Strategie für die initiale Reaktion entwickeln

4.6.1Ziele festlegen

4.6.2Einen Aktionsplan entwickeln

4.6.3Verantwortlichkeiten zuweisen

4.6.4Zeit- und Arbeitsaufwand sowie die Kosten schätzen

4.7Kommunizieren Sie

4.7.1Response-Team

4.7.2Betroffene Parteien

4.7.3Die Öffentlichkeit

4.8Fazit

4.9Sie sind dran!

5Eindämmung

5.1Warum Geschwindigkeit zählt

5.2Sich Zugang verschaffen

5.3Verschlüsselung/Löschung beenden

5.3.1Dateizugriffsrechte ändern

5.3.2Den Stecker ziehen

5.3.3Bösartige Prozesse beenden

5.4Persistenzmechanismen deaktivieren

5.4.1Monitoring-Prozess

5.4.2Terminaufgaben

5.4.3Automatischer Start

5.5Ausschleusen von Daten beenden

5.6Denial-of-Service-Angriffe abwehren

5.7Die Hacker aussperren

5.7.1Remote-Dienste beenden

5.7.2Passwörter lokaler Accounts und von Cloud-Accounts zurücksetzen

5.7.3Accounts überprüfen (Audit)

5.7.4Multi-Faktor-Authentifizierung

5.7.5Perimeter-Kommunikation einschränken

5.7.6Minimierung des Drittpartei-Zugangs

5.7.7Die Risiken kompromittierter Software minimieren

5.8Suche nach Bedrohungen

5.8.1Methodik

5.8.2Beweisquellen für das Threat Hunting

5.8.3Tools und Techniken

5.8.4Mitarbeiter

5.8.5Ergebnisse

5.9Bestandsaufnahme

5.10Fazit

5.11Sie sind dran!

6Untersuchung

6.1Täterrecherche

6.1.1Umsetzungsfähige Sicherheitsinformationen

6.1.2Techniken der Identifizierung

6.1.3Malware-Stämme

6.1.4Taktiken, Techniken und Prozeduren

6.2Scoping

6.2.1Zu beantwortende Fragen

6.2.2Prozess

6.2.3Timing und Ergebnisse

6.2.4Ergebnisse

6.3Einbruch untersuchen oder nicht?

6.3.1Rechtliche, regulatorische und vertragliche Pflichten ermitteln

6.3.2Entscheidung zur weiterführenden Untersuchung

6.3.3Weitere Untersuchung

6.3.4Ergebnisse

6.4Beweissicherung

6.4.1Beweisquellen

6.4.2Prioritätenfolge der Volatilität

6.4.3Beweissicherung bei Drittparteien

6.4.4Gesicherte Beweise speichern

6.5Fazit

6.6Sie sind dran!

7Verhandlung

7.1Es ist ein Geschäft

7.2Die Ziele der Verhandlung festlegen

7.2.1Budget

7.2.2Zeitrahmen

7.2.3Informationssicherheit

7.3Ergebnisse

7.3.1Kauf eines Dekryptors

7.3.2Veröffentlichung oder Verkauf von Daten verhindern

7.4Formen der Kommunikation

7.4.1E-Mail

7.4.2Webportal

7.4.3Chat-Anwendung

7.5Druck aufbauen

7.6Ton, Pünktlichkeit und Vertrauen

7.6.1Ton

7.6.2Pünktlichkeit

7.6.3Vertrauen

7.7Erstkontakt

7.7.1Erste Nachricht

7.7.2Erste Antwort

7.8Informationen teilen

7.8.1Was man nicht teilt

7.8.2Was man teilt

7.8.3Was man für später zurückhält

7.9Typische Fehler

7.10Lebenszeichen

7.10.1Ziele und Grenzen

7.10.2Bei Zugriffsverweigerung

7.10.3Bei möglichen Enthüllungen

7.10.4Was tun, wenn die Täter den Nachweis ablehnen?

7.11Feilschen

7.11.1Preisnachlässe

7.11.2Den Preis festlegen

7.11.3Ein Gegenangebot machen

7.11.4Kompromisse

7.12Den Handel abschließen

7.12.1Wie man den Handel abschließt

7.12.2Ihre Meinung ändern

7.12.3Nachdem der Handel abgeschlossen wurde

7.13Fazit

7.14Sie sind dran!

8Zahlung

8.1Zahlen oder nicht zahlen?

8.1.1Ist die Zahlung überhaupt eine Option?

8.1.2Argumente gegen eine Zahlung

8.1.3Argumente für die Zahlung

8.2Zahlungsarten

8.3Verbotene Zahlungen

8.3.1Compliance

8.3.2Ausnahmen

8.3.3Mildernde Umstände

8.4Intermediäre

8.5Zeitliche Aspekte

8.5.1Verzögerung bei der Überweisung

8.5.2Genehmigung durch die Versicherung

8.5.3Preisschwankungen bei Kryptowährungen

8.6Nach der Zahlung

8.7Fazit

8.8Sie sind dran!

9Wiederherstellung

9.1Backup wichtiger Daten

9.2Aufbau der Wiederherstellungsumgebung

9.2.1Netzwerksegmente

9.2.2Netzwerkgeräte

9.3Monitoring und Logging einrichten

9.3.1Ziele des Monitorings

9.3.2Timing

9.3.3Komponenten

9.3.4Erkennung und Response

9.4Die Wiederherstellung einzelner Computer

9.5Reihenfolge der Wiederherstellung

9.5.1Domain Controller

9.5.2Wichtige Server

9.5.3Netzwerkarchitektur

9.5.4Arbeitsplatzrechner

9.6Daten wiederherstellen

9.6.1Datentransfer

9.6.2Wiederherstellung aus Backups

9.6.3Aktuelle Produktionssysteme

9.6.4Daten neu erstellen

9.7Entschlüsselung

9.7.1Übersicht über den Entschlüsselungsprozess

9.7.2Arten von Entschlüsselungstools

9.7.3Risiken bei Entschlüsselungstools

9.7.4Test des Dekryptors

9.7.5Entschlüsseln!

9.7.6Integrität prüfen

9.7.7Auf Malware prüfen

9.7.8Daten ins Produktionsnetzwerk transferieren

9.8Es ist noch nicht vorbei

9.9Anpassung

9.10Fazit

9.11Sie sind dran!

10Prävention

10.1Ein effektives Cybersicherheitsprogramm betreiben

10.1.1Wissen, was man zu schützen versucht

10.1.2Ihre Pflichten verstehen

10.1.3Das Risiko verwalten

10.1.4Das Risiko überwachen

10.2Zugang verhindern

10.2.1Phishing-Abwehr

10.2.2Starke Authentifizierung

10.2.3Sichere Remote-Access-Lösungen

10.2.4Patch-Management

10.3Bedrohungen erkennen und blockieren

10.3.1Endpunkterkennung und -reaktion

10.3.2Netzwerkerkennung und -reaktion

10.3.3Suche nach Bedrohungen

10.3.4Kontinuierliches Prozess-Monitoring

10.4Betriebliche Systemstabilität

10.4.1Business-Continuity-Plan

10.4.2Nollfallwiederherstellung

10.4.3Backups

10.5Das Risiko eines Datendiebstahls reduzieren

10.5.1Datenreduktion

10.5.2Data-Loss-Prevention-Systeme

10.6Das Problem der Cybererpressung lösen

10.6.1Sichtbarkeit erzeugen

10.6.2Erkennung und Monitoring fördern

10.6.3Proaktive Lösungen fördern

10.6.4Die Macht der Täter reduzieren

10.6.5Das Risiko für die Täter erhöhen

10.6.6Den Profit der Täter verringern

10.7Fazit

10.8Sie sind dran!

Nachwort

Checkliste A

Response auf Cybererpressung

Die Krise beginnt

Eindämmung

Untersuchung

Verhandlungen

Zahlung

Wiederherstellung

Checkliste B

Im Vorfeld zu entwickelnde Ressourcen

Response-Pläne

Krisenkommunikationspläne

Weitere Vorgehensweisen

Kontaktinformationen

Während der Response zu nutzende Vorlagen

Die Response unterstützende Technik

Referenzmaterial

Checkliste C

Die Response planen

Checkliste D

Ein effektives Cybersicherheitsprogramm betreiben

Wissen, was Sie zu schützen versuchen

Ihre Pflichten verstehen

Das Risiko steuern

Das Risiko überwachen

Index

I want to devise a virusTo bring dire straits to your environmentCrush your corporations with a mild touchTrash your whole computer system and revert you to papyrus

– Deltron 3030, »Virus«, 23. Mai 2000

Vorwort

Als der Hip-Hop-Song »Virus« im Jahr 2000 veröffentlicht wurde, ahnte niemand, dass er prophetisch war. Im Liedtext beschreibt der Protagonist (Deltron Zero), der »einen Supervirus entwickeln will«, seine Pläne zur Infizierung und Zerstörung aller Computer auf dieser Welt: »Vernichte deine Umgebung mit einer sanften Berührung/Schrotte dein ganzes Computersystem und werfe dich auf Papyrus zurück«1.

Mehr als zwei Jahrzehnte später hat Ransomware epidemische Ausmaße angenommen und legt Krankenhäuser, Schulen, Anwaltskanzleien, Kommunen, Unternehmen und Organisationen aller Art lahm. Opfer rund um die Welt werden regelmäßig infiziert und zurück zu Papier und Bleistift gezwungen (wenn sie das Glück haben, noch Büromaterial vorzuhalten).2,3 Noch schlimmer ist aber, dass die Angreifer die mögliche Veröffentlichung der Informationen als erhebliches Druckmittel erkannt haben, das zu riesigen – und schwerwiegenden – Datenlecks führen kann.

Heutzutage betrachtet man Daten als Waffe. Indem sie die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gefährden, schöpfen Kriminelle Profite ab und zwingen den Opfern ihren Willen auf. Nach Jahren eskalierender Ransomware-Angriffe, dreister Veröffentlichung von Daten und einer Flut von neuen Opfern in den Schlagzeilen haben die Täter ihre Strategien verfeinert und ein flexibles, erfolgreiches Geschäftsmodell aufgebaut.

Die Auswirkungen digitaler Erpressung sind weitreichend. Der Geschäftsbetrieb wurde eingestellt, manchmal temporär, in manchen Fällen aber auch für immer. Patientendaten wurden vernichtet und die Leben dieser Patienten gefährdet. Wichtiges geistiges Eigentum wurde an Mitbewerber verkauft. Private E-Mails und persönliche Daten werden regelmäßig der Öffentlichkeit zugänglich gemacht.

Gerichtsverfahren, die sich mit Ransomware und Datenlecks beschäftigen, nehmen deutlich zu, obwohl Opfer und Versicherer Finanzmittel für Entschädigungen und Schadensbegrenzung zurücklegen. Strafverfolgungsbehörden auf der ganzen Welt versuchen jeden Tag, cyberkriminelle Gruppen zu zerschlagen, auch wenn die Kriminellen über die Medien verlautbaren lassen, davor keine Angst zu haben.

Das Problem ist so allgegenwärtig, dass sich die Leute die volle Tragweite und die Auswirkungen oft gar nicht vorstellen können. Gleichzeitig wird Cybererpressung kaum bekannt. Schließlich melden sich die Opfer nicht gerne bei den Medien, wenn sie gehackt wurden. Die Fälle werden üblicherweise heimlich, still und leise abgewickelt. Folglich ist das wahre Ausmaß digitaler Erpressung unbekannt, aber zweifellos weit größer, als es die Statistiken andeuten.

Die Reaktion (Response) auf einen Angriff ist von wesentlicher Bedeutung. Die in den Stunden, Tagen und Monaten nach einem Ransomware-Angriff vom Opfer unternommenen Schritte können dessen Ausgang wesentlich beeinflussen.

Dieses Buch ist ein praktischer Leitfaden für die Reaktion auf digitale Erpressungsversuche wie Ransomware, Enthüllung von Daten, Denial of Service und viele mehr. Während des gesamten Buches beziehen wir uns auf bekannte Fallbeispiele, aber auch auf eine große Menge unveröffentlichter Fälle, die von den Autoren während ihrer Arbeit als Response-Experten bearbeitet wurden. Die Leser werden auf digitale Erpressungsversuche besser reagieren, den Schaden minimieren und die Wiederherstellung beschleunigen können.

Wie im Buch immer wieder hervorgehoben wird, ist die Cybererpressung üblicherweise die letzte und sichtbarste Phase eines Einbruchs. Häufig haben Cyberkriminelle über einen längeren Zeitraum Zugriff auf die Umgebung oder auf Daten des Opfers, greifen Schlüsselinformationen ab, spionieren ihre Opfer aus und installieren Malware und andere Tools, um ihre Position zu verbessern.

Durch die Nutzung effektiver Präventionsmaßnahmen innerhalb der Gesellschaft können wir das Risiko digitaler Erpressung und Cyberkriminalität im Allgemeinen verringern. Im letzten Kapitel dieses Buches tauchen wir in die der Cybererpressung zugrunde liegenden Ursachen ein und geben Empfehlungen, um dieses Risiko zu reduzieren.

Da sich die Akteure, Tools und Taktiken digitaler Erpressung ständig wandeln, konzentrieren wir uns im gesamten Buch auf bewährte Response- und Präventionstechniken, die Ihnen auch langfristig von Nutzen sein werden.

Wer sollte dieses Buch lesen?

Dieses Buch ist als wertvolle Quelle für all jene gedacht, die an der Prävention, Response, Planung und Entwicklung von Strategien im Bereich digitale Erpressung tätig sind. Dazu gehören:

Chief Information Officer (CIO) und Chief Information Security Officer (CISO), die für die Planung der Response auf digitale Erpressung und für die Entwicklung von Präventionsstrategien verantwortlich sind

Experten für Cybersicherheit, Incident Responder, Forensiker, Unterhändler, Krypto-Zahlungsdienstleister und alle anderen, die bei der Response auf Ransomware und Cybererpressung mitarbeiten

technische Mitarbeiter wie Systemadministratoren, Netzwerktechniker, Helpdesk-Mitarbeiter, Sicherheitsteams und andere Personen, die für die Response auf Cyberangriffe und den Schutz der Umgebung verantwortlich sind

leitende Angestellte, die die Gefahren digitaler Erpressung und die effektive Response sowie die Präventionsstrategien besser verstehen wollen

Gesetzgeber, Regulierer, Strafverfolger und jeder, der sich mit den rechtlichen Grundlagen digitaler Erpressung befasst

jeder, der mehr über Ransomware und Cybererpressung lernen will

Wie dieses Buch aufgebaut ist

Dieses Buch wurde als praktischer Leitfaden für die Response und Prävention von Ransomware und Cybererpressung entworfen. Hier eine Zusammenfassung des Weges, den wir in diesem Buch gehen:

Kapitel 1, Auswirkungen

:

Cybererpressungen gefährden die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, um gegenüber dem Opfer Druck ausüben zu können. Die vier Arten digitaler Erpressung sind Zugriffsverweigerung, Modifikation, Enthüllung und Pseudo-Erpressung (Faux Extortion). Die Auswirkungen digitaler Erpressung reichen von der Betriebsunterbrechung bis zu finanziellen Einbußen, Reputationsverlust, Gerichtsverfahren und mehr. Neben direkten Angriffen auf die Opfer kompromittieren die Täter technische Zulieferer wie Managed Services Provider (MSPs), Cloud-Anbieter und Softwarehersteller.

Kapitel 2, Evolution

:

Ransomware und digitale Erpressung gibt es schon länger, als den meisten Menschen bewusst ist, und tritt in unterschiedlichsten Formen auf. In diesem Kapitel betrachten wir die Geschichte der Ransomware und die Auswirkungen auf die betroffenen Organisationen. Danach verfolgen wir ihre Evolution hin zu der florierenden kriminellen Wirtschaft, die sie heute antreibt.

Kapitel 3, Anatomie eines Angriffs

:

Die eigentliche Erpressung ist die letzte Phase eines digitalen Erpressungsversuchs. Die Angreifer verschaffen sich zuerst Zugang zur technischen Umgebung des Opfers und unternehmen dann Schritte, um den Zugang auszuweiten, das Opfer zu analysieren und sich auf die Erpressung vorzubereiten. In diesem Kapitel gehen wir die Phasen eines digitalen Erpressungsversuchs durch. Dabei identifizieren wir Anzeichen einer Kompromittierung und geben Tipps zur Reaktion, die einen laufenden Angriff abschwächen oder sogar beenden können.

Kapitel 4, Die Krise beginnt

:

Die frühen Phasen der Response auf eine digitale Erpressung bestimmen ganz wesentlich, wie schnell sich eine Organisation erholt und den normalen Betrieb wieder aufnehmen kann. In diesem Kapitel zeigen wir, wie man die üblichen frühen Anzeichen für eine Cybererpressung erkennt. Wir behandeln auch das Konzept der Triage und erläutern, warum die Entwicklung einer klaren und effektiven Response-Strategie in der frühen Phase besonders wichtig ist.

Kapitel 5, Eindämmung

:

Schlägt ein Cybererpresser zu, kann schnelles Handeln die Schäden reduzieren und die Wiederherstellung beschleunigen. In diesem Kapitel diskutieren wir Techniken, die das Ausschleusen von Daten verhindern, die Verschlüsselung/Löschung von Dateien unterbinden und den Angreifer aus der Umgebung des Opfers aussperren. Am Ende des Kapitels sprechen wir über Methoden, Beweise, Werkzeuge, Techniken, Personal und die Ergebnisse bei der Suche nach Bedrohungen.

Kapitel 6, Untersuchung

:

Sich Zeit für eine Untersuchung zu nehmen, ist für die kurz- und langfristige Lösung von Cybererpressungen besonders wichtig. In diesem Kapitel erklären wir, wann eine Untersuchung beginnt, wie wir das Ausmaß eines Angriffs eingrenzen, wie wir »Patient Null« finden und wie wir Täter identifizieren. Wir diskutieren zudem die Beweissicherung, die die langfristigen Schäden von Cybererpresser-Angriffen reduzieren kann.

Kapitel 7, Verhandlung

:

Wie kann man mit Kriminellen verhandeln? Dieses Kapitel ist ein praktischer Leitfaden für den Beginn, die Durchführung und den Abschluss der Verhandlungen während einer Erpressung. Sie lernen etwas über das Feilschen, über Lebenszeichen und den Abschluss des Deals. Wir diskutieren auch gängige Fehler während der Verhandlungen und wie man sie vermeidet.

Kapitel 8, Zahlung

:

Auch wenn die Zahlung eines Lösegelds für einige nicht wünschenswert oder sogar undenkbar ist, wählen viele Opfer diesen Weg. In diesem Kapitel diskutieren wir die Vor- und Nachteile der Zahlung eines Lösegelds und die Einzelheiten des Zahlungsprozesses wie Zahlungsarten, Vermittler, Termine und was nach der Zahlung zu tun ist. Wir diskutieren auch durch Sanktionen verbotene Zahlungen und die notwendige Sorgfalt, die die Opfer walten lassen müssen, bevor sie eine Zahlung vornehmen.

Kapitel 9, Wiederherstellung

:

Das Ziel jeder Störung besteht darin, den normalen Betrieb wieder aufzunehmen. In diesem Kapitel behandeln wir den Prozess der Wiederherstellung sowie Strategien, die das Risiko des Datenverlustes und der Neuinfektion reduzieren, damit das Opfer den Betrieb vertrauensvoll wieder aufnehmen kann. Hierbei beschreiben wir auch wesentliche Verbesserungen für Ihre Umgebung, die zukünftige Risiken minimieren und Ihre Defensivkraft stärken.

Kapitel 10, Prävention

:

Digitale Erpressung ist üblicherweise die letzte Phase eines Cyberangriffs. Prävention erreichen Sie grundsätzlich am besten durch ein starkes, ganzheitliches Cybersicherheitsprogramm. In diesem Kapitel behandeln wir die wesentlichen Punkte für den Aufbau eines solchen Cybersicherheitsprogramms. Wir sprechen auch konkrete defensive Schritte an, die das Risiko eines digitalen Erpressungsversuchs reduzieren oder dessen Auswirkungen abschwächen. Wir schließen das Kapitel mit den umfassenden Veränderungen ab, die notwendig sind, um die Epidemie digitaler Erpressungen zu bekämpfen.

Weitere Elemente

In jedem Kapitel sind weitere Elemente enthalten, die wichtige Informationen, Konzepte oder Beispiele hervorheben. Einige Elemente nutzen Icons, um sie einfach erkennen zu können:

◾Lernziele: eine Aufzählung der im jeweiligen Kapitel behandelten Themen

◾Fallbeispiele: reale Fälle digitaler Erpressung, die die diskutierten Konzepte demonstrieren

◾Definition: Erklärung der für Cybererpressung oder Cybersicherheit spezifischen Begriffe

◾Tipp: praktische Tipps für den Leser

◾Nützlich: für den Leser nützliche Hintergrundinformation

◾Diskussion eines Schlüsselbegriffs und seiner Verwendung in diesem Buch.

Fragen

Am Ende jedes Kapitels gibt es den Abschnitt »Sie sind dran!«, in dem wir Ihnen die Möglichkeit bieten, ein eigenes Szenario aufzubauen. Wir stellen Fragen, über die Sie nachdenken und mit anderen diskutieren können. Wir hoffen, dass dieser Abschnitt Ihnen Möglichkeiten liefert, digitale Erpressungsversuche aus allen Blickwinkeln zu betrachten und zu verstehen, dass es nicht die eine richtige Reaktion auf solche Angriffe gibt.

Checklisten

Am Ende des Buches finden Sie eine Reihe von Checklisten, die Sie immer wieder heranziehen können, um Cybererpressung zu verhindern oder, falls nötig, darauf zu reagieren. Sie fassen die Informationen dieses Buches auf hohem Niveau in einem einfachen Referenzformat zusammen.

Bleiben Sie auf dem neuesten Stand

Regelmäßige Updates und Kommentare zu den neuesten Entwicklungen im Bereich digitale Erpressung und Ransomware finden Sie auf der Webseite der Autoren: ransombook.com.

Angriffstaktiken entwickeln sich stetig weiter und mit ihnen auch die Best Practices für Response und Prävention. In diesem Buch stellen wir die Grundlagen für die Response auf digitale Erpressungsversuche vor und wie man diese verheerenden Angriffe verhindert.

Auf der Website der Autoren finden Sie die neuesten Nachrichten, Tipps zur Response, Diskussionsthemen und mehr. Neben dem Teilen von Informationen und Erfahrungen hoffen wir, dass unsere globale Community zusammenarbeiten kann, um etwas Licht ins Dunkel digitaler Erpressung zu bringen und das Risiko zu reduzieren.

Danksagungen

Es braucht ein ganzes Dorf, um ein Buch zu produzieren, und dieses ist keine Ausnahme. Wir möchten den vielen Menschen danken, die dazu beigetragen haben: vom Konzept bis zur Produktion und allem dazwischen.

Zuallererst danken wir unseren Lektoren Haze Humbert und James Manly, deren langjährige Verlagserfahrung und professionelle Einblicke unbezahlbar waren. Wir wissen besonders zu schätzen, wie sie die Herde zusammengehalten und den Prozess geduldig vorwärtsgetrieben haben, während sie uns gleichzeitig Zeit ließen, uns durch die unbekannten Gefilde der Zusammenarbeit während der Pandemie zu navigieren.

Wir danken auch unseren Kollegen Michael Ford und Ben Mayo, die sich die Zeit genommen haben, das Buch in den frühen Phasen Korrektur zu lesen, um sicherzustellen, dass wir die Bedürfnisse unserer Leser umfassend abdecken. Michael hat auch ausführliches und wichtiges Feedback zum gesamten Buch gegeben, für das wir ihm nicht genug danken können. Wir möchten auch Pearsons exzellentem Redaktions- und Produktionsteam danken, einschließlich Julie Nahil, Menka Mehta, Aswini Kumar und Jill Hobbs.

Man kann ein Buch nach dem Umschlag beurteilen, und wir schätzen uns glücklich, dass der Künstler Jonah Elgart sein unglaubliches Können für diese Arbeit zur Verfügung gestellt hat. Er hat die Konstruktion echter Piratenschiffe recherchiert, Bilder und Ideen geteilt und sogar einige »Easter Eggs« in der Zeichnung versteckt. Danke, Jonah, dass du unsere geschriebenen Worte mit einem so schönen Kunstwerk schmückst.

Marc Grens, Experte für Kryptowährungszahlungen und Mitgründer von DigitalMint, hat sich freundlicherweise die Zeit für ein ausführliches Interview genommen und viele Fragen zur Entwicklung von Due Diligence und Zahlungsprozessen bei Kryptowährungen umfassend beantwortet. Seine Expertise in diesem Bereich war unbezahlbar, und wir sind sehr dankbar für die Möglichkeit, diese Informationen an unsere Leser weitergeben zu können.

Die Cyberversicherungs-Veteranen Bob Wice und Frank Quinn nahmen sich die Zeit für ein ausführliches Interview, sodass wir einen Blick hinter die Kulissen der Cyberversicherung und des Risikomanagements werfen konnten. Danke für euer Vertrauen und die Möglichkeit, dieses Wissen mit den Lesern dieses Buches zu teilen.

Ransomware und digitale Erpressung sind ein komplexes und sich schnell weiterentwickelndes Thema. Wir haben durch Erfahrung gelernt, indem wir – mit der Unterstützung unseres unglaublichen Teams – eine Vielzahl von Fällen bei LMG Security bearbeiteten. Vielen Dank an unsere Kollegen bei LMG, insbesondere Derek Rowe, Madison Iler und Dan Featherman. Dank auch an unseren langjährigen Anwalt (jetzt Richter) Shane Vannatta, der uns durch die frühen Tage von Ransomware und Cybererpressung führte.

Wir danken auch unseren vielen Kollegen, die uns über die Jahre hinweghalfen, ein Verständnis für Ransomware und Cybererpressung zu entwickeln: Scott Koller, Ryan Alter, Randy Gainer, David Sande, Marc Kronenberg, Bill Siegel, David Sherman, Katherine Keefe, Brett Anderson, Luke Green, Sue Yi, Mike Wright, Jody Westby, Sean Tassi, Peter Enko, Dave Chatfield, Mark Greisinger, Vinny Sakore, Andrew Lipton, Michael Phillips, Marc Schein und Michael Kleinman.

Jeder von uns möchte auch noch ein paar persönliche Dankesworte aussprechen.

Von Sherri: Vielen Dank an meine Kleinen, Violet und Thunder, deren Liebe und Enthusiasmus mir jeden Tag Auftrieb gaben. Mein Mann Tom Pohl und meine großartigen Freunde Annabelle Winne und Jeff Wilson waren immer für mich da: Sie spornten mich an, hörten zu und gaben kluge Ratschläge. Ohne euch wäre das nicht möglich gewesen. Ich bin auch meinen Freunden und meiner Familie dankbar, insbesondere meinem Vater E. Martin Davidoff, meiner Mutter Sheila Davidoff, meiner Schwester Laura Davidoff Taylor sowie Jessie Clark, Shannon O’Brien, Kaloni Taylor, Steve McArthur, Kevin Head, Samantha Boucher, Deviant Ollam, Kelley Sinclair und so vielen anderen. Eure stete Unterstützung hat mir mal wieder durch den langen Weg des Schreibens eines Buches geholfen. Mehr als alles andere bin ich glücklich, mit Karen Sprenger und Matt Durrin arbeiten zu können, meinen unglaublichen Mitautoren! Ich habe so viel von euch gelernt, sowohl an vorderster Front bei der Response auf Erpressungsfälle als auch beim Schreiben dieses Buches. Ein besseres Team kann man sich nicht wünschen.

Von Matt: Ich möchte besonders meiner Frau Karah Durrin und meiner Tochter Lauren Durrin danken. Sie waren während des Schreibens meine stille Inspiration, und es wäre ohne ihre großartige und unermüdliche Unterstützung nicht möglich gewesen. Ich möchte auch allen Freunden und Verwandten danken, die mir geholfen haben, diesen Weg zu gehen. Neben den Menschen in meinem persönlichen Leben geht ein dickes Dankeschön an das Team von LMG Security, das mir die Möglichkeit bot, Cybersicherheit zu meinem Beruf zu machen. Es war ein wilder Ritt, doch ich bin froh, von einer so wunderbaren und talentierten Gruppe von Menschen umgeben zu sein. Schließlich möchte ich noch meinen Partnern Sherri Davidoff und Karen Sprenger danken. Ohne diese beiden großartigen Frauen hätte ich meine Leidenschaft für Cybersicherheit wohl nie entdeckt. Sherri glaubte an mich und gab mir die Möglichkeit, in das Geschäft einzutauchen. Karen ist nicht nur eine fantastische Sicherheitsexpertin, sondern sie lehrte mich auch, wie man ein sauberes forensisches Festplatten-Image erzeugt. Ich bin sehr dankbar, euch beide als Freunde und Mentoren zu haben. Danke euch beiden, ich freue mich auf unsere nächsten gemeinsamen Abenteuer!

Von Karen: Neben den Obengenannten möchte ich meiner Mutter Genie Thorberg danken, meiner größten Heldin und die Person, die mir gezeigt hat, wie man einen Computer nutzt. Mein Vater Bob Sprenger gab mir zu gleichen Teilen Liebe und Lebensweisheiten. Meine Schwester Rhonda Johnson war die erste und beste von vielen starken Frauen, die mir den Weg wiesen. Meinen Partnern bei diesem Abenteuer, Sherri Davidoff und Matt Durrin, danke ich für Liebe, Lacher und ihr Engagement während dieses Projekts. Zwar bin ich noch nicht zur Nachteule geworden, doch ihr habt eine einschüchternde Aufgabe möglich und, kaum zu glauben, unterhaltsam gemacht. Ich freue mich darauf, in den vielen noch kommenden Jahren viele Cybercrime-News-Links auszutauschen. Ich hatte das große Glück, an den Schlüsselstellen meiner Karriere für von Frauen geführte Unternehmen arbeiten zu können. Dank an Linda Wright und Desiree Caskey, die mir vor vielen Jahren den Einstieg ermöglichten – bevor ich erkannte, dass es nur wenige Frauen in technischen Berufen gibt. Und an Sherri ein besonderes Dankeschön, dass sie das Risiko eingegangen ist und mir den Freiraum gegeben hat, um mit Cybersicherheit und Akquisition auf eigenen Beinen stehen zu können. Durch die Arbeit mit dir habe ich viel gelernt und bin gewachsen. Schließlich möchte ich meinen beiden Pudeln Jasper und Gracie danken, die während der ganzen Zeit viele Stunden zu meinen Füßen lagen und mir Gesellschaft leisteten, sowie Sadie, die gegen Ende dazugestoßen ist. Ohne die drei wäre das alles nicht möglich gewesen.

1Auswirkungen

Ach, was ist schon eine kleine Erpressung unter Freunden?

– Bill Watterson

Unternehmen X war eine florierende Wirtschaftsprüfungsgesellschaft. Der Hauptsitz befand sich in einer großen amerikanischen Stadt. Jeden Tag übernahmen die Mitarbeiter die Buchhaltung, Finanzaufsicht, Steuervorbereitung und eine Vielzahl weiterer Aufgaben für hunderte von Kunden.

An einem Montagmorgen war plötzlich alles vorbei. Ein früh im Büro eingetroffener Mitarbeiter hörte furchterregenden Lärm. Jeder Computer schrie eine Nachricht: »Achtung! Was ist passiert? All Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Daten wurden mit bewährten Algorithmen sicher verschlüsselt. Sie können im Moment nicht auf die Dateien zugreifen. Doch keine Sorge. Sie haben eine Chance!«

Überall im Büro lag Papier herum. Alle Drucker hatten die Lösegeldforderung ausgedruckt, bis die Papierschächte leer waren. Die von den Mitarbeitern zur Verarbeitung von Kreditkarten genutzten Kassensysteme hatten die Lösegeldforderung auf Quittungen ausgedruckt, bis die Tische überquollen.

Eine kühle Voicemail erwartete einen der Gesellschafter: »Hallo, Herr [ZENSIERT],« begann eine emotionslose männliche Stimme mit osteuropäischem Akzent, »ich möchte Sie darüber informieren, dass wir 500 Gigabyte Daten von Ihren Servern heruntergeladen haben. Falls Sie planen, Ihre Daten wiederherzustellen, ohne für die Entschlüsselung zu bezahlen, werden wir Ihre Unternehmensdaten im Darknet verkaufen. Wenn Sie uns nicht SOFORT kontaktieren, werden wir Ihre Kunden darüber informieren, dass wir im Besitz ihrer privaten Daten wie Sozialversicherungsnummern und Steuerformulare sind. Wir empfehlen Ihnen dringend, sich mit uns in Verbindung zu setzen. Eine E-Mail-Adresse haben wir in der Textdatei auf Ihrem Desktop hinterlassen.«

Nach einer kleinen Kunstpause fuhr die Stimme fort: »Wenn wir diese Daten veröffentlichen, ist Ihr Unternehmen so gut wie am Ende. Wir freuen uns auf Ihre Antwort per E-Mail.« Klick. Damit endete die Voicemail.

Die Kriminellen verlangten 1,2 Millionen US-Dollar für die Wiederherstellung des Zugriffs und dafür, die Kundendaten nicht zu veröffentlichen.

In der Zwischenzeit lag das Unternehmen brach. Datenbanken mit Kundendaten waren vollständig verschlüsselt und nicht nutzbar. Mitarbeiter hatten keinen Zugriff auf Netzwerkfreigaben, einschließlich der Kundendaten, Gehaltsabrechnungen, Personaldaten und vielem mehr. Alle Kunden, die auf die tägliche Buchhaltung oder auf zeitkritische Dienste angewiesen waren, waren aufgeschmissen.

Glücklicherweise funktionierte die cloudbasierte E-Mail des Unternehmens noch – und auch das nutzten die Kriminellen aus. »Guten Morgen«, schrieben sie in einer nachfolgenden E-Mail. »Ich denke, Sie verstehen immer noch nicht, in welcher Situation sich Ihr Unternehmen befindet. … Zunächst verkaufen wir die persönlichen Daten aller Mitarbeiter und Kunden auf dem Markt. … [Sie] werden sowohl von Ihren Mitarbeitern als auch von Ihren Kunden verklagt.« Die Kriminellen hängten die persönliche Steuererklärung des Mitgesellschafters an, um die Gefahr zu verdeutlichen.

Es war schnell klar, dass die Kriminellen auch die E-Mail-Accounts des Unternehmens geknackt hatten und die Antworten des Opfers überwachten. »Wir haben den Report Ihres [Antivirus-Anbieter] gesehen«, schrieben die Kriminellen. »Er enthält viele Fehler.«

Die Kriminellen folgten einem standardisierten Vorgehen. Tagein, tagaus nahmen sie das Internet nutzende Unternehmen in Geiselhaft. Zuerst verschafften sie sich Zugang zum Netzwerk der Opfer. Bei Unternehmen X trat der initiale Hack im Mai auf, als ein Mitarbeiter einen Anhang in einer Phishing-E-Mail öffnete. Der Computer des Mitarbeiters wurde mit Malware infiziert, genauer gesagt mit einem Trojaner für den Remote-Zugriff (bekannt als »RAT«), der den Kriminellen den entfernten Zugriff auf den Computer des Mitarbeiters ermöglichte. Die Antivirensoftware von Unternehmen X erkannte die Infektion nicht. Die Kriminellen lauschten etwa drei Monate lang. Gelegentlich loggten sie sich am Computer des Mitarbeiters ein. Wahrscheinlich wollten sie prüfen, ob der Zugang immer noch funktionierte, ansonsten taten sie aber nicht viel. Es ist möglich, dass die Kriminellen in dieser Zeit mit den Zugangsdaten für den gehackten Computer im Darknet hausieren gingen. Als »Initial Access Broker« bezeichnete Hacker sind darauf spezialisiert, sich Zugang zu Computern zu verschaffen. Sie verkaufen den Zugang an andere Kriminelle und schlagen so schnell Kapital aus ihrem Verbrechen. Die Käufer – häufig organisierte kriminelle Gruppen – gehen dann den nächsten Schritt, spionieren das Netzwerk des Opfers aus und versuchen dann Lösegeld zu erpressen.

Im August loggten sich dann plötzlich Kriminelle, die später als die Ransomware-Gang »Twisted Spider«1 identifiziert wurden, auf dem infizierten Computer des Mitarbeiters ein. Mittels gängiger Pentest-Tools stahlen sie die Passwörter des Computers, darunter auch den Benutzernamen und das Passwort des MSP (Managed Services Provider), der die Computer des Unternehmens per Fernwartung administrierte. Mit diesen Anmeldedaten konnten sie die vollständige Kontrolle über das Netzwerk von Unternehmen X übernehmen.

Die Twisted Spider Gang kam direkt zur Sache: Sie kopierten alle Dateien aus dem primären Datenrepository des Unternehmens und installierten dann eine schnelle und effektive Ransomware, die alle Server des Unternehmens verschlüsselte, inklusive der Datenbanken, Anwendungsserver, Domain Controller und mehr. Die Arbeitsplätze blieben außen vor. Um einzelne Accounts oder Computer kümmerte man sich gar nicht erst. Es war ein sauber ausgeführter Blitzeinbruch.

Die Kriminellen kannten die Achillesferse ihres Opfers. Sie wussten, dass schon die kurzfristige Unterbrechung des Geschäftsbetriebs wirkungsvoll war, doch viel verheerender waren die langfristigen Konsequenzen durch verärgerte Kunden, deren Daten gestohlen wurden. Die Twisted-Spider-Hacker demonstrierten, dass sie Zugang zu sensiblen, regulierten Daten wie Sozialversicherungsnummern und Steuerdaten hatten. Sie wiesen die leitenden Mitarbeiter des Opfers explizit darauf hin, dass sie von Angestellten und Kunden verklagt werden könnten. Sie machten klar, dass sie darauf vorbereitet waren, die Daten zu veröffentlichen und die Kunden direkt zu kontaktieren, um der Reputation des Unternehmens zu schaden. Das hätte wiederum zu Geschäftseinbußen und Gerichtsverfahren führen können. Für das Unternehmen ging es also ums nackte Überleben.

Unternehmen X, oder besser gesagt ihre Cyberversicherung, zahlte das Lösegeld, abzüglich einer Selbstbeteiligung von 25.000 US-Dollar. Die Autoren dieses Buches wurden mit den Verhandlungen betraut. Sie konnten einen hohen Preisnachlass aushandeln und den Fall für etwas weniger als 600.000 US-Dollar beilegen. Wie nicht anders zu erwarten gab Twisted Spider während der Verhandlungen Insiderinformationen preis: Unternehmen X hatte eine Versicherungspolice mit einer Ransomware-Grenze von 600.000 US-Dollar.

Sobald Twisted Spider den Zahlungseingang (in Form einer Kryptowährung) verifiziert hatte, lieferten die Kriminellen vorkonfigurierte Software zur Entschlüsselung der Dateien und »bestätigten« per Chat, dass sie die Daten gelöscht hätten. Sie lieferten per E-Mail sogar eine vollständige Liste aller angeblich gelöschten Dateien, wahrscheinlich um das Opfer mit einer Dokumentation zu versorgen, die die Kunden beschwichtigen bzw. die Notwendigkeit einer (Selbst-)Anzeige abwenden sollte. Allerdings erachteten die Cyberanwälte von Unternehmen X die Anzeige aus rechtlichen und ethischen Gründen für notwendig.

1.1Eine Cyberepidemie

Unternehmen X war nicht das einzige, das unter einem solchen Angriff zu leiden hatte. Tausende (wenn nicht Millionen) von Organisationen wurden über das letzte Jahrzehnt mit digitaler Erpressung konfrontiert. Was als neuartiges Verbrechen begann, ist heute Alltag – mit hohen Kosten für die Gesellschaft.

Digitale Erpressung hat Krankenhäuser lahmgelegt, Schulschließungen erzwungen, die Nahrungsmittelversorgung unterbrochen und sogar zu massiver Treibstoffknappheit geführt. Heutzutage laufen über die technischen Lieferketten tausende Ransomware-Angriffe gleichzeitig ab.

Die durch Ransomware verursachten Kosten sollen 2021 20 Milliarden US-Dollar erreichen und laut des Forschungsunternehmens Cybersecurity Ventures2 bis 2031 auf 265 Milliarden US-Dollar ansteigen. In einer globalen Umfrage gaben 37% der Organisationen an, im Jahr 2020 von Ransomware-Angriffen betroffen gewesen zu sein3, auch wenn sich das tatsächliche Ausmaß des Problems kaum abschätzen lässt, da viele Opfer die Verbrechen nicht melden.4

Durch ihren Erfolg beflügelt, haben Cyberkriminelle in immer ausgefeiltere Techniken und Geschäftsmodelle digitaler Erpressung investiert. Aus kleinen, einmaligen Angriffen ist ein florierendes kriminelles Geschäft mit Lizenznehmern, Tochterunternehmen, spezialisierter Software und benutzerfreundlichen Strategiebüchern (Playbooks) erwachsen.

Auch die Verteidiger müssen ihre Bemühungen erhöhen. Durch digitale Erpressung verursachte Schäden lassen sich deutlich reduzieren oder sogar verhindern, wenn bei Anzeichen für einen Angriff schnell und strategisch gehandelt wird. Da sich die Taktiken digitaler Erpressung schnell ändern, müssen sich auch die Taktiken der Verteidiger fortlaufend anpassen.

In diesem Kapitel schaffen wir die Grundlagen, indem wie die Auswirkungen digitaler Erpressung betrachten und verstehen, wie diese Art der Kriminalität entstanden ist. Wir diskutieren die Fortschritte der Schlüsseltechnologien, die die Verbreitung von Ransomware und anderen Formen digitaler Erpressung besonders begünstigt haben. Moderne Cybererpresser-Gangs verwenden skalierbare Geschäftsmodelle, die häufig Partner und Spezialisten einbinden und die Veröffentlichung von Daten verstärkt als Druckmittel einsetzen. Wir schließen das Kapitel mit der Analyse des Geschäftsmodells digitaler Erpressung der nächsten Generation ab, was den Rahmen für die Reaktions- und Präventionstaktiken bildet, die wir in diesem Buch vorstellen.

1.2Was ist Cybererpressung?

Erpressung hat sich als Verbrechen allmählich gemeinsam mit der Menschheit entwickelt. Sie beschreibt den Akt, etwas von Wert »durch Gewalt, Einschüchterung oder unzulässige bzw. illegale Mittel«5 zu erlangen. Während sich das Internet weiterentwickelte und Organisationen auf der ganzen Welt immer abhängiger von den Computerressourcen wurden, passten Cyberkriminelle alte Taktiken an diese neue digitale Welt an.

1.2.1Die CIA-Triade

Um Druck zu erzeugen, greifen die Täter eines oder mehrere Sicherheitsziele für Informationen und Informationssysteme an, die durch den Federal Information Security Management Act (FISMA) von 2002 definiert wurden:

Vertraulichkeit (Confidentiality)

Integrität (Integrity)

Verfügbarkeit (Availability)

Umgangssprachlich werden diese drei Ziele als »CIA-Triade« bezeichnet.6 Die CIA-Triade wurde gezielt für den Einsatz bei Behörden, Lieferanten und Vertragsnehmern des Bundes entworfen, wurde aber von anderen Unternehmen und der Informationssicherheits-Community übernommen. Auch wenn digitale Erpressung jedes der drei CIA-Ziele verletzen kann, haben die heutigen Gegenspieler üblicherweise die Vertraulichkeit und Verfügbarkeit im Visier.

1.2.2Arten digitaler Erpressung

Digitale Erpressungsversuche fallen in eine von vier Kategorien: Enthüllung, Modifikation, Zugriffsverweigerung und Faux:

Enthüllung

greift die Vertraulichkeit der Informationen an. Zum Beispiel kann ein Täter die Daten eines Opfers stehlen und damit drohen, diese zu veröffentlichen, wenn kein Lösegeld gezahlt wird.

Modifikation

greift die

Integrität

der Informationen an. Ein Täter könnte Schlüsselelemente der Daten einer Organisation verändern, etwa Patientendaten oder Banktransaktionen. Er könnte anschließend eine Zahlung dafür verlangen, die Daten wiederherzustellen oder die Änderungen zu dokumentieren.

7

Während diese Zeilen geschrieben werden, ist diese Art des Angriffs selten, doch die Angreifer könnten entscheiden, sie zukünftig verstärkt einzusetzen, wenn skalierbare Werkzeuge zur Modifikation verfügbar werden.

Zugriffsverweigerung

zielt auf die

Verfügbarkeit

der Informationen ab. Ransomware-Angriffe sind das gängigste Beispiel für einen solchen Angriff. In diesen Fällen verschlüsselt der Angreifer die Dateien des Opfers und verweigert die Freigabe des Entschlüsselungsschlüssels, bis ein Lösegeld gezahlt wird. Distributed-Denial-of-Service(DDoS)-Angriffe werden ebenfalls verwendet, um den Druck auf die Opfer zu erhöhen.

8

,

9

Faux

ist ein Angriff, der eine digitale Erpressung zu sein scheint, tatsächlich aber keine ist. Beispielsweise hat sich die destruktive Malware »NotPetya« als Ransomware getarnt, war aber tatsächlich so entworfen, dass sie die Systeme der Opfer ohne Hoffnung auf Wiederherstellung zerstört hat. (Details zu den NotPetya-Angriffen finden Sie in

Kapitel 7

.)

1.2.3Multikomponenten-Erpressung

Die Täter kombinieren vermehrt mehrere Formen der Erpressung, um ihre Gewinnchancen zu maximieren. Gegen Ende 2019 ebnete die Maze-Gruppe den Weg für den »Doppelerpressung«-Trend (engl. Double Extortion), bei dem Ransomware und die Enthüllung von Daten kombiniert wurden. Der Begriff »Doppelerpressung« beschreibt die Nutzung zweier unterschiedlicher Taktiken der digitalen Erpressung, etwa die Zugriffsverweigerung und die Enthüllung. Das erhöht den Druck durch den Täter und kann zu einer höheren Zahlung des Opfers führen.

Andere Gruppen wie RagnarLocker, Avaddon und SunCrypt haben DDoS-Taktiken mit traditioneller Ransomware oder Enthüllungsangriffen kombiniert.11,12 So startete beispielsweise im Oktober 2020 die SunCrypt-Gang beim Angriff auf einen Hersteller von Haushaltsgeräten einen DDoS-Angriff gegen das Netzwerk des Opfers, nachdem die Ransomware-Verhandlungen ins Stocken gerieten. Laut eines durchgesickerten Transkripts schrieben die Kriminellen: »Wir befanden uns in Verhandlungen, und Sie haben nicht mehr reagiert, weshalb weitere Aktionen durchgeführt wurden.«13

Wir diskutieren die Ausweitung der Erpressungstaktiken ausführlich in Kapitel 2.

1.3Auswirkungen moderner digitaler Erpressung

Cybererpressung kann Organisationen ernsthaften Schaden zufügen. Die Auswirkungen können Betriebsunterbrechungen, finanzielle Einbußen, Reputationsverlust und Gerichtsverfahren sein. Aber auch Dominoeffekte für Mitarbeiter, Kunden, Aktionäre und die größere Gemeinschaft sind möglich.

In diesem Abschnitt diskutieren wir die negativen Effekte digitaler Erpressung und schaffen die Grundlagen für Reaktion und Schadensminderung.

1.3.1Betriebsunterbrechung

Zu den kurzfristigen Auswirkungen digitaler Erpressung zählen partielle oder vollständige Betriebsunterbrechungen. Das ist insbesondere dann der Fall, wenn die Täter Verweigerungstaktiken wie Ransomware oder DDoS-Angriffe nutzen.

So war beispielsweise das kalifornische Gesundheitssystem Scripps Health im April 2021 von einem Ransomware-Angriff betroffen, bei dem der Zugriff auf die elektronischen Gesundheitsdaten für fast vier Wochen unterbrochen war. Während dieser Zeit mussten viele Patienten in andere Einrichtungen verlegt und viele (nicht so dringende) Termine verschoben werden.14 Später in diesem Sommer ließen mit der Ransomware-Gang REvil verbundene Hacker Ransomware bei 1.500 Organisationen auf der ganzen Welt platzen, die Schwachstellen in der beliebten Remote-Management-Software Kaseya ausnutzten.15 Infolgedessen war die schwedische Lebensmittelkette Coop gezwungen, hunderte Filialen zu schließen. Die Lebensmittel verdarben und das Unternehmen hatte erhebliche Einnahmeverluste.16

In einer kürzlich durchgeführten Umfrage gab ein Viertel der Unternehmen an, dass sie den Betrieb aufgrund eines Ransomware-Angriffs zumindest teilweise einstellen mussten.17 29 % mussten nach Aussagen des Sicherheitsunternehmens Cybereason Personal entlassen.18 Statistiken zu den Ausfallzeiten variieren stark, doch nach der Erfahrung der Autoren dauert die partielle Wiederherstellung üblicherweise zwischen zwei und fünf Tage. Die Wiederaufnahme des Normalbetriebs dauert zwei bis vier Wochen.

Die gute Nachricht (wenn man es so nennen will) ist, dass laut einer 2021 vom Sicherheitsunternehmen Sophos durchgeführten Umfrage 96% der Ransomware-Opfer zumindest einen Teil ihrer Daten zurückerhalten haben, sei es durch Wiederherstellung aus Datensicherungen, durch von den Tätern bereitgestellte Dekryptoren oder auf andere Weise. Doch es gibt einen Haken: Die Opfer, die Lösegeld gezahlt hatten, konnten im Schnitt nur 65% ihrer Daten wiederherstellen. Gerade mal 8% der befragten Opfer konnten alle Daten wiederherstellen.19 Permanenter Datenverlust kann zu Fehlern und zu vielen Jahren zusätzlicher Arbeit führen.

Durch Ransomware-Angriffe können Unternehmen sogar pleitegehen. 2019 musste der amerikanische Gesundheitsdienstleister Wood Ranch Medical seine Türen für immer schließen, nachdem ein Ransomware-Angriff alle Patientendaten verschlüsselt hatte. »Unglücklicherweise war der Schaden an unserem Computersystem so hoch, dass wir die dort gespeicherten Daten nicht wiederherstellen konnten. Da unser Backup-System ebenfalls verschlüsselt wurde, können wir unsere Krankenakten nicht wiederherstellen«, schrieb die Praxis in ihrer letzten Stellungnahme an die Patienten. »Wir werden unsere Praxis schließen und den Betrieb einstellen …«20

1.3.2Finanzielle Einbußen

Digitale Erpressung kann sich katastrophal auf den Finanzstatus des Opfers auswirken. Verluste entstehen üblicherweise durch die kurzfristige Unterbrechung des Umsatzgenerierungsprozesses, Kosten durch Denial of Service, Wiederherstellungskosten und durch die Lösegeldzahlung selbst. So meldete die Reederei Maersk beispielsweise einen Gesamtverlust zwischen 250 und 300 Millionen US-Dollar, nachdem ihre IT-Infrastruktur 2017 durch die destruktive NotPetya-Ransomware, die die Festplatten infizierter Computer zerstört, ausgelöscht wurde. Zwar wurde eine Wiederherstellungsoption gegen Zahlung eines Lösegelds angeboten, doch tatsächlich ließen sich die Dateien nicht wiederherstellen.21

In diesem Abschnitt diskutieren wir drei gängige Ursachen finanzieller Einbußen durch digitale Erpressung: Umsatzverluste, Wiederherstellungskosten und Lösegeldzahlungen.

1.3.2.1Umsatzverluste

Jede Betriebsunterbrechung führt offensichtlich zum Einbruch der Umsätze. Das gilt insbesondere für Unternehmen, die ihre Umsätze täglich generieren (im Gegensatz zu Non-Profit-Organisationen, Schulen und öffentlichen Einrichtungen, die auf Jahresbasis finanziert werden). Krankenhäuser, Einzelhändler, Dienstleister und Produktionsunternehmen sind von solchen Unterbrechungen besonders schwer betroffen. Zum Beispiel hatte Scripps Health nach einem Cyberangriff im Jahr 2021 Berichten zufolge Umsatzverluste in Höhe von 91,6 Millionen US-Dollar, im Wesentlichen durch »Volumenreduzierungen im Mai 2021 durch Verlegung von Notfällen und die Verschiebung von Operationen«.22

Betriebsunterbrechungsversicherungen können das Loch im Geldbeutel des Opfers stopfen. Üblicherweise greift diese Art Versicherung nach einer Sperrfrist (beispielsweise 24 Stunden), nach der der Versicherer die Einnahmeverluste bis zu einem festgelegten Betrag übernimmt.

1.3.2.2Wiederherstellungskosten

Die Kosten für die Wiederherstellung nach einem Ransomware-Angriff können sich schnell aufsummieren. In Abhängigkeit von der Recovery-Strategie müssen neue Hardware (etwa neue Festplatten oder neue Arbeitsplatzrechner, um die infizierten Computer schnell zu ersetzen), Softwarelizenzen, externer IT-Support, Sicherheits- und Forensik-Dienstleistung und mehr eingekauft werden.

Die Stadt Baltimore hat Berichten zufolge 18 Millionen US-Dollar ausgegeben, um die Folgen eines Ransomware-Angriffs durch RobbinHood im Jahr 2019 zu beseitigen. Das hat zu erheblichen Kontroversen geführt, da das geforderte Lösegeld nur einen Bruchteil dieses Betrags ausmachte (etwa 76.000 US-Dollar in Bitcoin).23 Ein Großteil des Betrags war ursprünglich für Parks und Freizeit eingeplant.24 Auch Scripps Health hat angeblich 21,1 Millionen US-Dollar für Denial of Service und die Wiederherstellung nach dem Angriff im Jahr 2021 ausgegeben.25

Laut Sophos haben sich 2021 die Kosten für die Behebung eines Ransomware-Angriffs im Vergleich zum Vorjahr mehr als verdoppelt und lagen durchschnittlich bei 1,85 Millionen US-Dollar.26 Laut IBMs Cost of a Breach-Report von 2021 lagen die Durchschnittskosten eines Ransomware-Angriffs bei 4,62 Millionen US-Dollar, wenn auch eine Datenschutzverletzung vorlag.

1.3.2.3Lösegeldzahlungen

Natürlich kann sich auch die Lösegeldzahlung selbst dramatisch auf die Finanzen des Opfers auswirken. Das durchschnittliche Lösegeld hat sich in den letzten Jahren enorm erhöht. Viele Lösegeldzahlungen werden nie öffentlich, weshalb ein vollständiges Bild unmöglich ist, aber wir können Trends erkennen, die auf den Informationen von Unterhändlern, Versicherungen und Kryptowährungs-Forschungsunternehmen basieren. Das Incident-Response-Unternehmen Coveware meldete ein durchschnittliches Lösegeld von 136.576 US-Dollar für das zweite Quartal 2021, basierend auf einer Analyse der Fälle, bei denen es in den Zahlungsprozess involviert war.27 Auch wenn der Betrag unter der hohen Summe lag, die Coveware für 2020 angegeben hat, so ist das doch eine dramatische Steigerung im Vergleich zum durchschnittlichen Lösegeld von 36.295 US-Dollar im zweiten Quartal 2019 und nur 6.733 US-Dollar Ende 2018.28

Die Cyberversicherung Coalition meldete eine durchschnittliche Lösegeldforderung von 1.193.159 US-Dollar für das erste Halbjahr 2021 – eine Erhöhung um 170% im Vergleich zum ersten Halbjahr 2020. (Beachten Sie, dass Lösegeld-forderung und Lösegeldzahlung zwei verschiedene Dinge sind. Die Täter verhandeln und lassen sich auf Preisnachlässe von 50% und mehr ein, insbesondere wenn es um höhere Beträge geht.) Coalition merkt an, dass »unsere Daten nur die Fälle berücksichtigen, in denen die Organisationen Ansprüche angemeldet haben und die Verluste über dem Selbstbehalt lagen«. Der durchschnittliche Verlust wird also noch höher liegen.29

Laut Chainalysis, einem Kryptowährungs-Forschungsunternehmen, sind die durchschnittlichen Lösegeldzahlungen deutlich gestiegen – von 12.000 US-Dollar im vierten Quartal 2019 auf 54.000 US-Dollar im ersten Quartal 2021.30 Die Daten basieren auf Zahlungen an bekannte, Ransomware zugeordnete Wallet-Adressen.

Die Autoren dieses Buches können den Trend hin zu höheren Lösegeldforderungen bestätigen. Als wir 2016 mit der Bearbeitung digitaler Erpressungsversuche begannen, lagen die Lösegeldforderungen üblicherweise bei einigen tausend US-Dollar. Während die Täter ihre Fähigkeiten und die Reichweite ausbauten, explodierten auch die Lösegeldforderungen. Während wir diese Zeilen 2022 schreiben, haben wir es regelmäßig mit Lösegeldforderungen zwischen 750.000 und 5 Millionen US-Dollar zu tun. Offensichtlich hat sich die Landschaft verändert.

1.3.3Reputationsverlust

Opfer digitaler Erpressung sehen sich dem Verlust von Vertrauen, öffentlichem Ansehen und der Reputation ausgesetzt, was zu größeren finanziellen Einbußen und rückläufigem Geschäftsvolumen führen kann. Laut Cybereason haben 53% der Opfer einer Ransomware-Attacke einen Markenschaden erlitten.33 Dieses Ergebnis wird umso wahrscheinlicher, wenn es bei der digitalen Erpressung zum Diebstahl sensibler Daten kam, was zum vollständigen Verlust der Privatsphäre der Betroffenen (Mitarbeiter, Kunden, Patienten) führen kann.

Die Kriminellen bauen auf die Angst vor Reputationsverlust. Ein Beispiel ist der von den Autoren behandelte Fall digitaler Erpressung im Jahr 2020, bei dem das Maze-Kartell der Unternehmensleitung folgende E-Mail geschickt hat:

Zuerst werden wir die persönlichen Daten Ihrer Mitarbeiter und Kunden auf dem Markt verkaufen, was uns bereits einen Gewinn einbringt. Dann informieren wir Ihre Kunden, dass ihre privaten Daten kompromittiert wurden. … Doch die größten Verluste werden Sie durch die Veröffentlichung der Daten erleiden, die wir von Ihren Servern heruntergeladen haben. Sie werden sowohl von Ihren Mitarbeitern als auch von Ihren Kunden verklagt werden. Nach der Veröffentlichung auf unserer Nachrichtenseite wird Ihr Unternehmen einen enormen Imageverlust erleiden. Ich denke, dass viele Ihrer aktuellen Kunden Ihre Dienste nicht mehr in Anspruch nehmen werden. Neue Kunden zu finden, wird in Zukunft problematisch sein, weil wohl niemand seine persönlichen Daten einem Unternehmen zur Verfügung stellen will, das sie nicht schützen kann.34

Ransomware-Angriffe schaffen es nicht oft in die Schlagzeilen, insbesondere bei Branchen, in denen die Öffentlichkeit nicht direkt betroffen ist. Allerdings nehmen heutzutage die Täter die Dinge häufig selbst in die Hand und drohen, die Betroffenen zu informieren, auch wenn das Opfer selbst das nicht macht. So werden Scham und Angst vor Blamage genutzt, um den Druck zu erhöhen.

Moderne digitale Erpresser eröffnen routinemäßig Datenleck-Portale im Dark Web, auf denen gestohlene Daten veröffentlicht werden. Immer mehr digitale Erpressungen finden breite Beachtung durch die Medien, was zum Teil auch an der ausgefeilten Öffentlichkeitsarbeit der Täter liegt. Das Ergebnis ist ein potenziell höherer Reputationsverlust der Opfer, was die Täter stärkt.

1.3.4Gerichtsverfahren

Gerichtsverfahren sind nach einer Cybererpressung mittlerweile üblich geworden. Dafür sind verschiedene Faktoren ausschlaggebend:

Der dramatische Anstieg veröffentlichter Daten

als Teil digitaler Erpressungen. Das erhöht die Publicity des Falls und kann, neben proaktiven Cybersicherheitsverordnungen, eine Anzeigepflicht für Datenschutzverstöße zur Folge haben.

Die steigende Zahl erfahrener Cyberrechtsanwälte und Regulierungsbehörden

, die die relevanten Gesetze/Vorschriften kennen und Erfahrung damit haben, auf Datenschutzverstöße, Betriebsausfälle und verwandte »Cyber«-Themen zu reagieren.

Eine Zunahme der Gesetze und Vorschriften, die ganz konkret auf Datenschutzverletzungen, digitale Erpressung und Cybersicherheit abzielen

. Beispiele sind die Europäische Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR), die Datenschutzgesetze aller 50 amerikanischen Bundesstaaten und branchenspezifische Vorschriften wie der Health Insurance Portability and Accountability Act (HIPAA) und der Health Information Technology for Economic and Clinical Health (HITECH) Act. Hinzu kommen Vorgaben wie die vom amerikanischen Gesundheitsministerium (U.S. Department of Health and Human Services) veröffentlichte Ransomware-Anleitung, die festlegt, dass die Opfer davon ausgehen müssen, dass eine Verletzung stattgefunden hat, »bis die Organisation oder ein Geschäftspartner nachweisen kann, dass eine ›… geringe Wahrscheinlichkeit besteht, dass persönliche Gesundheitsdaten kompromittiert wurden‹«

35

.

Gerichtsverfahren können von Kunden, Mitarbeitern, Herstellern, Anteilseignern und von jeder anderen Partei angestrengt werden, die durch die digitale Erpressung potenziell zu Schaden gekommen ist. So kam es beispielsweise bei Scripps Health im Jahr 2021 zu massiven Betriebsunterbrechungen durch einen Ransomware-Angriff, in dessen Verlauf man 147.000 Patienten darüber informierte, dass ihre persönlichen Daten möglicherweise gestohlen wurden.36 Im Nachgang kam es zu mehreren Sammelklagen durch die Patienten, die dem Gesundheitsdienstleister Nachlässigkeit und falsches Risikomanagement vorwarfen.

Ein wachsender Trend der Kläger geht dahin, mögliche Schäden auch über Identitätsdiebstahl und Datenschutzververletzungen hinaus einzufordern. Nachdem Universal Health Service (UHS) im September 2021 von einem Ransomware-Angriff betroffen war, verklagte der Patient Stephen Motkowicz das Unternehmen, weil »der Datendiebstahl seine Operation verzögerte, wodurch die vom Arbeitgeber bereitgestellte Versicherung auslief und er eine andere Versicherung zu höheren Beiträgen abschließen musste«37.

Gerichtsverfahren sind darüber hinaus teuer, zeitaufwendig und ziehen auch Jahre nach dem Angriff negatives Medieninteresse auf sich.

1.4Wahl der Opfer

Wie in diesem Abschnitt beschrieben, können digitale Erpressungsversuche opportunistisch, gezielt oder in einer Mischung aus beidem erfolgen (hybrider Angriff). Die Arten von Angriffen zu verstehen, hilft Ihnen, die Wahrscheinlichkeit fortschrittlicher Verschleierungstaktiken einzuschätzen, das Risiko weiterer Kompromittierung zu bewerten und die Reaktion der Täter auf bestimmte Verhandlungsstrategien vorherzusagen.

1.4.1Opportunistische Angriffe

Bei einem opportunistischen Angriff ist die Strategie der Täter nicht auf ein bestimmtes Opfer ausgerichtet. Vielmehr maximieren die Täter ihre Rendite, indem sie ein weites Netz spannen und Opfer kompromittieren, die für sich genommen nur wenige Ressourcen benötigen. Üblicherweise nutzen die Täter automatisierte Werkzeuge wie Phishing-Toolkits, die bösartige Software en masse verteilen können, Tools zum automatisierten Ausfüllen von Anmeldeformularen (engl. Credential Stuffing), Software oder Dienste zur Suche nach Schwachstellen (engl. Vulnerability Scanning) und viele mehr. (Wir diskutieren diese Zugangsarten in Abschnitt 3.2 noch genauer.)

Opfer kann jede Organisation werden, die das Pech hat, ein Gerät mit einer Schwachstelle an der Systemgrenze einzusetzen, oder einen Mitarbeiter, der versehentlich den Link in einer Phishing-Mail anklickt. Das Risiko ist für Organisationen mit kleineren Cybersicherheitsbudgets höher, da sie nicht über die Ressourcen verfügen, Schwachstellen schnell zu beheben, Multi-Faktor-Authentifizierung einzuführen oder umfassende Präventionsmaßnahmen zu implementieren, wie sie in Kapitel 10 detailliert beschrieben werden.

Im folgenden Fallbeispiel wurde eine Tierklinik durch einen opportunistischen Ransomware-Angriff vollständig lahmgelegt – ohne dass der Täter manuell eingegriffen hätte.

1.4.2Gezielte Angriffe

Bei einem gezielten Angriff hat es der Täter auf ein bestimmtes Ziel abgesehen. Die gezielte digitale Erpressung kann viele Formen annehmen und verlangt üblicherweise erhebliche Investitionen des Täters, etwa die umfassende Erkundung, das Sammeln von Ressourcen, die Anpassung der Malware und andere spezialisierte Aktivitäten.

Üblicherweise greifen die Täter Organisationen an, die genug Umsatz generieren, um das geforderte Lösegeld zahlen zu können. Zusätzlich haben es die Täter häufig auf Organisationen abgesehen, bei denen technische Ausfälle gravierende Auswirkungen haben können (etwa Krankenhäuser, Technologieanbieter und Produktionsbetriebe) oder die hochgradig vertrauliche und/oder regulierte Informationen besitzen (z.B. Einrichtungen des öffentlichen Dienstes, Rechtsanwälte und Fachdienstleister). Der Täter hat so während der Erpressung ein starkes Druckmittel in der Hand.

Zum Beispiel wurde Tesla im Jahr 2020 von russischen Cyberkriminellen ins Visier genommen.41