HardBit 2.0: Angreifer verfolgen neue Erpressungstaktik

Die Sicherheitsforscher von Varonis Threat Labs haben HardBit erstmals im Oktober 2022 beobachtet, die seit November unter der Version 2.0 auftritt. Im Gegensatz zu den meisten Ransomware-Akteuren verfügt HardBit nicht über eine Leak-Site. Gleichwohl behaupten die Cyberkriminellen, dass sie die Daten der Opfer stehlen. Zudem drohen mit ihrer Veröffentlichung, falls der Anwender kein Lösegeld zahlt. HardBit 2.0 verwendet ähnliche Techniken und Angriffstaktiken wie andere Ransomware-Gruppen. Etwa die Verbreitung von bösartigen Payloads an arglose Mitarbeiter, die Verwendung kompromittierter Anmeldeinformationen und die Ausnutzung von Schwachstellen in Hosts.

HardBit erfragt Details zur Versicherungspolice

Was nun diese neue Gruppe von bekannten Cybercrime-Gruppen unterscheidet, ist die Erpressungstaktik: In der Ransomware-Nachricht an die Opfer findet sich keine konkrete Lösegeldforderung, sondern die Aufforderung, anonym Details über die Versicherungspolice zu nennen: „Wenn Sie uns anonym mitteilen, dass Ihr Unternehmen für 10 Millionen Dollar versichert ist, und andere wichtige Angaben zum Versicherungsschutz machen, verlangen wir in der Korrespondenz mit dem Versicherungsagenten nicht mehr als 10 Millionen Dollar. Auf diese Weise könnten Sie einen Leak vermeiden und Ihre Informationen entschlüsseln.“

Nicht die Cyberkriminellen, sondern die „hinterlistigen“ Versicherungen werden auf diese Weise als Gegner dargestellt. Entsprechend sei es auch im Interesse der Opfer, auf diese Weise mit den Erpressern zusammenzuarbeiten: „Aber da der hinterhältige Versicherungsvertreter absichtlich so verhandelt, dass er nicht für den Versicherungsanspruch zahlt, gewinnt in dieser Situation nur die Versicherungsgesellschaft. Um all dies zu vermeiden und das Geld von der Versicherung zu bekommen, sollten Sie uns anonym über die Bedingungen des Versicherungsschutzes informieren. Die armen Multimillionäre unter den Versicherern werden nicht verhungern und durch die Zahlung des im Vertrag festgelegten Höchstbetrags nicht ärmer werden. […] Lassen Sie sie also dank unseres Zusammenwirkens die in Ihrem Versicherungsvertrag vorgeschriebenen Bedingungen erfüllen.“

Ziel ist weiterhin die Erpressung von Geld

In aller Regel sind die Versicherten vertraglich verpflichtet, den Angreifern keine Versicherungsdaten mitzuteilen. Denn sonst besteht die Gefahr, dass der Schaden nicht übernommen wird. Aus diesem Grund bestehen die Cyberkriminellen darauf, dass diese Daten anonym weitergegeben werden. Ihr Ziel ist und bleibt die Erpressung von Geld und betroffene Unternehmen sind gut beraten, ihnen nicht zu vertrauen. Technische Details zum Ablauf des Angriffs von der Anfangsphase und der Deaktivierung von Sicherheitsfunktionen bis hin zur Erlangung der Persistenz und dem Einsatz der Verschlüsselungsroutine sowie Indikatoren der Kompromittierung (Indicators of Compromise, IoCs) finden Sie im Blog-Beitrag von Varonis.

Varonis verfolgt seit 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter. Es stellt die lokal wie in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie. Hierzu gehören sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten oder auch Strategie- und Produktpläne. Die Datensicherheits-Plattform (DSP) von Varonis erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten. Sie verhindert Datensicherheitsverstöße, indem sie regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung. (sg)  

Lesen Sie auch: HackerOne: Neues Programm von Varonis zur Entdeckung von Schwachstellen