Das Verschlüsseln von Daten ist ein sehr entwicklungsintensiver Prozess, welcher außerdem fehleranfällig ist. Die Beschädigung oder Vernichtung von zuvor kopierten Daten scheint daher in der Datenerpressungslandschaft lukrativer zu sein.
Bereits 2021 hat sich die Dreifach-Erpressung bei Cybercrime-Fällen etabliert. Das bedeutet, dass Opfer einer Cybercrime-Attacke für den Schlüssel bezahlen, der ihre Daten wieder lesbar macht, sowie für die Sicherheit, dass interne Dokumente nicht veröffentlicht werden. Sollten diese beiden Methoden nicht ausreichen, folgt eine Vielzahl von DDoS-Angriffen. Ein Distributed-Denial-of-Service (DDoS) ist eine spezielle Form der Cyber-Kriminalität, die auf die Überlastung der Kapazitäten von Webservern, Online-Services oder ganzer Netzwerke abzielt. Infolgedessen ist der angefragte Dienst nicht mehr oder nur noch stark eingeschränkt verfügbar.
Das Verschlüsseln von Daten ist für Cyberkriminelle sehr aufwendig und trotzdem fehleranfällig. Deshalb verzichten mittlerweile einige darauf und stehlen lediglich Daten, mit deren Hilfe sie ihre Opfer erpressen und ihnen mit der Veröffentlichung der Daten drohen können. Optimierte Ransomware enthält neuerdings auch eine Erase-Funktion, welche Daten zusätzlich beschädigt oder gänzlich vernichtet.
Ransomware die Daten unwiederbringlich zerstört, ist unter dem Begriff Wiper bekannt. Generell achten Cyberkriminelle jedoch darauf, dass die Möglichkeit besteht die Daten wiederherzustellen, allein um die Zahlungsbereitschaft ihrer Opfer aufrechtzuerhalten.
Verschlüsselung ist der Standard unter Cyberkriminellen
Dateien werden verschlüsselt, indem die ursprüngliche Version mit einer verschlüsselten Version überschrieben wird. Die Daten lassen sich dann nur mit Hilfe eines speziellen kryptografischen Schlüssels wiederherstellen. Für die Herausgabe dieses Schlüssels muss das Opfer teuer bezahlen. Doch Kryptografie ist komplex und in vielen Fällen gelang es Sicherheitsforschern und Cyber Security Unternehmen, aufgrund von Fehlern in der Ransomware, die Daten auch ohne Herausgabe des kryptografischen Schlüssels wiederherzustellen. Ein weiteres Risiko für Cyberkriminelle besteht darin, dass die Verschlüsselung von Daten sehr viel Zeit in Anspruch nimmt. Es kann durchaus passieren, dass dieser Vorgang durch verdächtige Schreibvorgänge und hohe CPU-Last durch Ransomware-Erkennungssysteme, welche statistische Analysen verwenden, entdeckt und gestoppt wird.
Die Zukunft ist partielles Überschreiben
Um das Risiko zu senken, verschlüsseln manche Cyberkriminellen die Daten nur teilweise, wobei zwischen verschiedenen Optimierungsstufen gewählt werden kann (Intermittent Encryption). Diese Verschlüsselungsmethode hilft Erkennungssysteme zu umgehen und die Dateien der Opfer in kürzerer Zeit zu verschlüsseln. Denn je schneller Dateien verschlüsselt werden, desto geringer ist das Risiko erkannt zu werden. Im Gegensatz zur vollständigen Verschlüsselung kann die intermittierende Methode eine höhere Ähnlichkeit zwischen unverschlüsselten und verschlüsselten Versionen einer bestimmten Datei aufweisen und wird dadurch seltener durch Analysen entdeckt.
Eine andere Variante ist es, ganz auf das Verschlüsseln zu verzichten und lediglich interne Daten zu kopieren. Ein spezielles Tool zum Exfiltrieren von Daten des Opfers von BlackMatter, ist unter dem Namen ExMatter bekannt. Innerhalb dieses Tools wurde durch Reverse-Engineering der Sicherheitsfirma Cyderes eine Erase-Funktion zum Vernichten von Daten entdeckt.
Diese Funktion kommt zum Einsatz, nachdem die Daten auf einen externen Server der Cyberkriminellen kopiert wurden. Dabei überschreibt die Erase-Funktion offenbar Teile einer Datei mit Daten einer anderen Datei des Opfers und macht diese dadurch unbrauchbar. Die Idee dahinter ist, dass Opfer einer solchen Cyberattacke eher Lösegeld für den Erhalt der Originaldateien bereit sind zu zahlen, als das Puzzle der Datenfragmente zu lösen. Eine mögliche Schwäche von ExMatter könnte es sein, dass einige Dateien durch das Zufallsprinzip eventuell mehrmals überschrieben werden, während andere möglicherweise nie ausgewählt und überschrieben werden, bevor das Programm beendet wird.
Sicherheitsexperten vermuten, dass Kriminelle durch das Überschreiben von Dateien mit legitimen Daten des Opfers, normale Aktivitäten imitieren wollen, um nicht durch Sicherheits-Software-Wiper oder Ransomware-Erkennungssysteme entdeckt zu werden.
Das Cybercrime-Ökosystem
Ransomware wird von wenigen spezialisierten „Ransomware-as-a-Service“-Anbietern (RaaS) entwickelt, welche daraufhin durch deren sogenannte Affiliates lizenziert wird. Für diesen Service erhalten RaaS-Entwickler einen Teil der erzielten Lösegelder als eine Art Provision. Dabei stehen RaaS-Anbieter in einem harten Konkurrenzkampf untereinander. Die Folge dieses Wettbewerbs ist optimierte Ransomware mit Intermittent Encryption (partielle Verschlüsselung) oder Ransomware einschließlich einer Erase-Funktion, wodurch Daten durch Cyberkriminellen vernichtet werden. Die Verwendung von Datenvernichtungsfunktionen an Stelle von Verschlüsselung von Daten nach dem RaaS-Prinzip würde in Zukunft eine große Verschiebung in der Datenerpressungslandschaft bedeuten.