Es war nur eine Frage der Zeit, eine Bedrohungsgruppe mit dem Namen ChamelGang verwendet Ransomware als sekundäre Angriffsart, um ihre Spuren zu verwischen. Sicherheitsforscher von Sentinellabs von SentinelOne haben diese bisherige Anomalie in einem Report aufgedeckt.
Laut den Erkenntnissen nutzt die APT sowohl Datenverschlüsselung als auch Exfiltration und Erpressung.
Unternehmen und Organisationen, die Opfer dieser Gruppe wurden, werden durch die Ransomware abgelenkt und wissen oftmals nicht, dass vor der Verschlüsselung auch noch eine umfassende Exfiltration stattgefunden hat. Es ist davon auszugehen, dass der eigentliche Auftrag die Spionage war und die Verschlüsselung und Erpressung als Extra-Geschäft genutzt werden. Wenn die Angreifer schon mal im Netz sind, verdienen sie sich bei der Gelegenheit noch mal etwas extra dazu, so könnte man meinen.
Diese zusätzliche Taktik macht Cyberangriffe wesentlich gefährlicher. Es ist nicht auszuschließen, dass mehrere Ransomware-Bedrohungsakteure davon Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln. Angenommen, eine Ransomware-Gruppe hat sich einen ersten Zugang verschafft und ihre Ransomware im Stillen überall verteilt. Alles, was es nun noch braucht, ist ein Bedrohungsakteur, der einen „Spionagemarktplatz“ einrichtet, auf dem auch andere bösartige Akteure nach Einfallstoren für jenes Unternehmen oder Organisation suchen. Weiter gedacht, würden dann auch nationalstaatliche Akteure davon profitieren, die die Einfallstore zu Spionagezwecken nutzen möchten. Eine Ransomware-Gruppe könnte dann den Zugang zunächst an eine andere Gruppe verkaufen, die ausschließlich Spionage betreiben möchte und danach dann ein zweites Mal Geld verdienen, in dem es Daten verschlüsselt und das Opfer erpresst.
Nicht zuletzt aus diesem Grund sollten Unternehmen wie Organisationen mehr in ihre Phishing-Prävention investieren und vor allem die eigenen Mitarbeiter schulen. Security Awareness Trainings mit dem Ziel einer dauerhaften Verhaltensveränderung und der Etablierung einer starken Sicherheitskultur sind geeignete Mittel, um Phishing zu stoppen. Ohne Phishing als Einfallstor müssen APTs mehr finanziellen und zeitlichen Aufwand betreiben, um an ihr Ziel zu kommen, so dass sich, egal welches Geschäftsmodell, weniger lohnt.