Ransomware hat sich zu einem kriminellen Geschäft mit hohen Um- und Einsätzen entwickelt und kann für betroffene Firmen zu großen Problemen führen. Und auch wenn das Thema sonst sehr ernst zu nehmen ist: Nicht jeder Angriff verläuft wie geplant. Der Security-Anbieter Sophos zählt einige Pannen auf, die zum Schmunzeln einladen. Bei einem Ransomware-Angriff befinden sich Eindringlinge oft mehrere Tage bis zu Wochen im Netzwerk, bevor sie ihre Erpressungen starten. Während dieser Zeit bewegen sie sich durch das Netzwerk, stehlen Daten, installieren neue Tools, löschen Backups und noch vieles mehr. Um nicht entdeckt zu werden, müssen die Cyberkriminellen Taktiken oftmals mitten im Einsatz ändern oder für die geplante Malware-Einsätze einen zweiten Anlauf nehmen, wenn der erste scheitert. Dieser Druck kann zu Fehlern führen.
Das Sophos Rapid Response-Team hat einige verpatze Ransomware-Attacken zusammengetragen. Hier die Top 5 der Ransomware-Pannen:
Die Avaddon-Gruppe, die von ihrem Opfer gebeten wurde, doch die eigenen Daten zu veröffentlichen – man könne einen Teil nicht wiederherstellen. Die Gruppe, zu dusselig zu verstehen, was ihr Opfer im Sinn hatte, machte die Ankündigung, Opferdaten zu veröffentlichen, wahr und das betroffene Unternehmen kam so wieder in den Besitz seiner Daten.
Die Maze-Attacke, bei dem Cyberkriminelle eine große Menge Daten eines Unternehmens gestohlen wurden, nur um dann festzustellen, dass diese unlesbar waren: bereits verschlüsselt von der DoppelPaymer Ransomware. Eine Woche vorher.
Der Conti-Angriff, bei dem Hacker ihre eigene, neu installierte Hintertür verschlüsselten. Sie hatten AnyDesk auf einem infizierten Rechner installiert, um sich Fernzugang zu sichern und rollten dann die Ransomware aus, die alles auf dem Gerät verschlüsselte – somit auch AnyDesk.
Die Mount-Locker-Bande, die nicht verstehen konnte, warum ein Opfer sich weigerte zu zahlen, nachdem sie eine Stichprobe geleakt hatten. Die veröffentlichen Daten gehörten aber zu einer ganz anderen Firma.
Ein Angriff, bei dem die attackierende Gruppe, die Konfigurationsdateien für den FTP Server, den sie zur Datenexfiltration nutzte, zurückließ. Damit konnte sich das Opfer einloggen und die gestohlenen Daten sämtlich löschen.
