Sodinokibi – wenn Daten verschlüsselt und veröffentlicht werden

Sodinokibi-Angriffe beginnen oft mit einer Phishing-Mail.
Backdoorprogramme und Ransomware wie etwa Emotet und Ryuk, die 2019 dafür sorgten, dass unter anderem die Justus-Liebig-Universität offline ging, klauen zwar ab und zu Daten. Ihr Fokus liegt jedoch auf der Verschlüsselung und dem „Freikaufen“ durch Unternehmen. Sodinokibi („REvil“) stiehlt allerdings bei jeder Infektion sensible Daten – und erhöht den Druck.

Seit Mitte 2019 treibt ein Verschlüsselungstrojaner mit dem sperrigen Namen „Sodinokibi“ sein Unwesen im World Wide Web. Meist versteckt er sich in einer Phishing-E-Mail, die eine angebliche Bewerbung enthält. Aber auch angebliche E-Mails vom Bundesamt für Sicherheit in der Informationstechnik (BSI) können durch angehängte Zip-Archive die Ransomware in Unternehmensnetzwerken einschleusen. So können Daten nicht nur verschlüsselt, sondern es kann auch gezielt nach Firmengeheimnissen gesucht werden. Diese vertraulichen Informationen werden anschließend gern von den Cyberkriminellen als Druckmittel gegen das Unternehmen eingesetzt, wenn es der Lösegeldforderung zum Entschlüsseln der Daten nicht nachkommen will. Gedroht wird meist mit dem sogenannten „Public Shaming“, also dem öffentlichen Anprangern des betroffenen Unternehmens, wobei die geklauten Daten laut den Erpressern in einem Blog oder auf einer extra eingerichteten Homepage veröffentlicht oder auch im Darknet verkauft würden. Geschehen ist das beispielsweise kürzlich erst bei den Technischen Werken Ludwigshafen und der Anwaltskanzlei Grubman Shire Meiselas & Sacks (siehe Presseberichte hier und hier).

Da viele Unternehmen aus Angst vor einem Reputationsverlust einen solchen Angriff nicht öffentlich machen wollen, kann diese Drohung durchaus gut funktionieren und den Angreifern eine Menge Geld in die Kassen spülen. Der angebliche Vorgänger von Sodinokibi, GandCrab, hat seinen Entwicklern wohl 150 Mio. US-Dollar eingebracht. Eine schöne Summe, um sich in den Ruhestand zu verabschieden – und ein Ansporn für die Nachfolger.

Wie mit einer Verschlüsselungsattacke umgehen?

Da das Ausspionieren von Daten und die darauf folgende Drohung, diese zu veröffentlichen eine logische Weiterentwicklung der reinen Verschlüsselung ist und sich damit sicherlich weiterhin viel Geld „verdienen“ lässt, wird sich diese Art der Erpressung weiter ausbreiten. Die Kommunikationspolitik in Unternehmen kann je nach abgeflossenen Daten unterschiedlich ausfallen und muss vom Unternehmen selbst individuell getroffen werden. So hat zum Beispiel der im Sauerland ansässige Automobilzulieferer GEDIA die Zahlung von Lösegeld nach einer Sodinokibi-Attacke Anfang 2020 verweigert, trotz der Ankündigung der Erpresser, Pläne und Daten von Mitarbeitern sowie Kunden zu veröffentlichen. Auf diese Weise wurde der unmittelbare materielle Schaden auf die Kosten für die Säuberung der Systeme, tagelange Ausfälle der Produktion sowie eine Meldung an die Behörden “begrenzt“. Durch die neue Methode des „Public Shaming“ erhöhen sich jedoch auch die langfristigen finanziellen Einbußen, die durch eine Cyberattacke drohen. Diese Neuerung bietet somit einen Anlass, um die Risikoabschätzung für Cyberattacken – insbesondere durch Ransomware – neu zu bewerten.

Awareness-Maßnahmen und Co. zur Vorbeugung

Um diese Kosten und Einbußen zu vermeiden, bleibt letztlich nur, in die Prävention zu investieren: Dabei geht es eben nicht mehr nur um Backups, sondern um den wirklichen Schutz, also technisch (z.B. durch Netzwerk-Segmentierung und Sandboxing-Systeme), organisatorisch (Need-to-know-Prinzip) und menschlich (wie etwa durch Security-Awareness-Kampagnen  und die Etablierung einer Sicherheitskultur im Unternehmen). Weiß ein Mitarbeiter zum Beispiel durch gezieltes Traning mit Phishing-Simulationen, worauf er oder sie achten muss und erkennt infolge dessen eine Phishing-Mail, hat die Schadsoftware keine Chance, sich im Unternehmensnetzwerk festzusetzen und zu verbreiten. Es lohnt sich also, Mitarbeitern durch Tranings und Schulungen ihre Eigenverantwortung in der Informationssicherheit bewusst zu machen.