Die Macher von Maze und Sodinokibi läuten womöglich einen unerfreulichen Trend ein: Sie wollen sensible Dokumente infizierter Unternehmen online stellen.

Um zusätzlichen Druck auf Unternehmen auszuüben, deren Rechnernetze von Ransomware befallen sind, haben sich die Entwickler der Schädlinge “Maze” und “Sodinokibi” eine besonders perfide Strategie überlegt. Sie wollen die Infektionen nicht nur publik machen, sondern zusätzlich auch noch vertrauliche Firmendokumente im Netz veröffentlichen.

Wie aus Recherchen von IT-Security-Blogger Brian Krebs hervorgeht, haben die Verantwortlichen von Maze bereits begonnen, dieses Vorhaben in die Tat umzusetzen. Im Falle von Sodinokibi aka “REvil” steht zumindest die Drohung im (virtuellen) Raum; die Macher dieser Ransomware spielen alternativ auch mit dem Gedanken, gestohlene Daten an Konkurrenzfirmen zu verkaufen.

Maze: Erste Daten sind bereits online

Unter anderem berichtet Krebs in seinem Blog von einer “Public-Shaming”-Website, die offenbar von den Entwicklern der Ransomware Maze erstellt wurde. In gebrochenem Englisch kündigen sie an, dort Datenbankdumps und private Dokumente von Unternehmen posten zu wollen, die nicht auf ihre Forderungen eingehen und die versuchen, erfolgreiche Angriffe der Gang geheimzuhalten.

Zum Teil haben sie ihre Drohung laut Krebs gar schon in die Tat umgesetzt: Am vergangenen Montag zählte der Blogger dort acht Unternehmensnamen nebst zugehörigen Firmen-Websites. Ihnen seien jeweils Angaben zum Zeitpunkt der Infektion, eine GByte-Angabe zur Menge der gestohlenen Daten, IP-Adressen und Hostnamen sowie diverse abrufbare MS-Office-, Text- und PDF-Dateien zugeordnet gewesen.

Krebs gelang es nach eigenen Angaben, zu verifizieren, dass zumindest eines der gelisteten Unternehmen tatsächlich der Ransomware Maze zum Opfer gefallen war und mit dieser Information (noch) nicht an die Öffentlichkeit gegangen war.

Maze ist auch hierzulande aktiv: Im November dieses Jahres warnte Niedersachsens Zentrale Ansprechstelle Cybercrime (ZAC) vor E-Mails, die als 1&1-Rechnungen getarnt waren und in dessen Anhang sich ein Word-Dokument befand, das via Makro-Code die Ransomware nachlud.

Über Sodinokibi/REvil, der von einigen Forschern als legitimer Nachfolger der “pensionierten” Ransomware GandCrab betrachtet wird, haben wir bereits in der Vergangenheit berichtet. Dessen Macher haben sich laut Krebs bereits einige Tage vor Beginn der Public-Shaming-Aktion von Maze in einem Untergrundforum zu Wort gemeldet. Für den Fall, dass Unternehmen nicht zahlen wollen, drohen sie dort damit, vertrauliche Daten künftig entweder deren Konkurrenz zum Kauf anzubieten oder sie öffentlich verfügbar zu machen.

Mit jedem Sodinokibi-Angriff gehe ein Diebstahl von Unternehmensinformationen einher, stellen die Macher klar. In die Tat umgesetzt haben sie ihr Vorhaben, zumindest nach Krebs’ Informationen, bislang aber noch nicht.

Neue Erpressermasche wenig überraschend

Überraschend kommt der neueste Schachzug der Ransomware-Entwickler im Grunde nicht: Drohungen, Dateien zu veröffentlichen, tauchten bereits in der Vergangenheit in Erpresserbotschaften von Verschlüsselungstrojanern auf.

Er macht aber deutlich, dass Malware-Infektionen, bei denen die Drahtzieher Zugriff auf Dateien der Opfer haben, zugleich auch Datenlecks sind. Und dass es umso wichtiger ist, sie nicht einfach unter den Teppich zu kehren, sondern offensiv mit ihnen umzugehen. Und zwar nicht nur dann, wenn man von Gaunern dazu gezwungen wird.

Quelle: heise.de // Autor: Olivia von Westerhagen
Bild: Pexels auf Pixabay