FacebookTwitterLinkedIn

Ransomware den Behörden melden

Inhaltsverzeichnis

  1. Sollten Ransomware-Vorfälle gemeldet werden?
  2. Weitere Gründe.
  3. Wie meldet man einen Ransomware-Vorfall?
  4. Wenn Sie Opfer einer Ransomware sind, melden Sie diesen Vorfall bitte Ihren örtlichen Behörden.

Opfer eines Cyberangriffs, ganz abgesehen von einem Ransomware-Angriff zu werden, setzt voraus, dass mehrere schwierige Entscheidungen getroffen werden. Es geht klar aus einem kürzlichen Europol Bericht hervor, dass eine dieser schwierigen Entscheidungen die Meldung an Behörden ist. Der Bericht hob hervor, wie wenige Ransomware-Vorfälle gemeldet werden und dass die Behörden oft nur durch die Medien von Vorfällen, anstatt durch das Opfer erfahren.

Es ist leicht zu fordern, dass Opfer von Verbrechen sie aus mehreren rechtlichen und ethischen Gründen melden sollten, ganz abgesehen davon, den Behörden zu helfen, diejenigen zu fassen, die Verbrechen begehen. Die Wirklichkeit ist, dass Opfer eines Verbrechens zu werden, ein gewisses Stigma anhaftet. Es kann peinlich sein zuzugeben, dass man irregeführt oder betrogen wurde. Für Organisationen, die Opfer eines Ransomware-Angriffs wurden, scheint dieses Stigma einer der Hauptgründe dafür zu sein, dass spezifische Verbrechen nicht gemeldet werden.

Ransomware-Vorfälle an die Behörden melden

Das aktuelle Umfeld von Ransomware-Bedrohungen hat sich dahingehend entwickelt, dass Ransomware-Banden oder Banden „Kartells„ geformt haben, die sich auf große Organisationen spezialisiert haben, egal ob es sich um private Firmen oder Regierungsbehörden handelt. Diese Verschiebung, die gegen Anfang 2019 auftrat, hat dann zu riesigen Organisationen geführt, einige davon Fortune 500 Unternehmen, und eine immer länger werdende Liste von Opfern entstand. Garmin, Canon und Konica Minolta sind nur einige der hochrangigen Opfer, die von einer Ransomware-Bande massiv beeinträchtigt wurden.

Das Stigma einer Ransomware zum Opfer gefallen zu sein, hat eine neue Bedeutung erhalten, da Unternehmen die Auswirkungen, die ein solcher Angriff auf ihre Kunden und dem Verhältnis zu den Aktionären haben wird, fürchten. Dies könnte ein Grund dafür sein, dass Verbrechen zu wenig gemeldet werden. Jeder Cybervorfall wirkt sich nicht nur auf die untere Linie aus und die Wiederherstellung kann ein teures Vorhaben sein, aber eine Rufschädigung ist zu erwarten. Experten denken, dass die Transparenz bezüglich eines Ransomware-Vorfalls helfen kann, die Rufschädigung effektiver zu beheben, als Versuche diese unter den Teppich zu kehren. Der Rest dieses Artikels ist der Frage gewidmet, warum Vorfälle den Behörden gemeldet werden sollten und warum dies so wichtig ist.

Sollten Ransomware-Vorfälle gemeldet werden?

Kurz gesagt ja, aber kurze Antworten tragen wenig zur Wichtigkeit der ursprünglichen Frage bei. Die einfachste Antwort ist, dass es für viele Organisationen erforderlich ist, bestimmte Compliance-Richtlinien oder Standards zu befolgen und Verstöße zu melden. Vor einem Jahr konnte man noch sagen, dass ein Ransomware-Vorfall keine Datensicherheitslücke darstellte oder anders gesagt, dass ein Cybervorfall, bei dem sensible Kundendaten oder die von eingetragenen Benutzern eines Dienstes, kompromittiert wurden. Der Beginn des Jahres 2020 zerschlug die akademische Debatte darüber, ob ein Ransomware-Angriff eine Datensicherheitslücke sei oder nicht.

Im Januar 2020 tauchten Nachrichtenmeldungen auf, dass die Maze Ransomware-Bande damit drohte, von Opfern gestohlene Daten zu veröffentlichen, bevor die Ransomware ausgeführt wurde und Daten verschlüsselt wurden.

Ransomware-Angriffe umfassen Datenexfiltration

Bald wurden aus den Drohungen Wirklichkeit, als Maze begann Daten freizugeben, die sie über was man eine „undichte Stelle“ nennen würde, gestohlen hatte, die typischerweise in den Ecken des Dark Webs gehostet werden. Dies platzierte spezifische Ransomware-Vorfälle fest in der Kategorie Datensicherheitslücke und mussten als solche gehandhabt werden. Für viele Gesetzgebungs- und Compliance-Standards gibt es eine Verpflichtung Vorfälle den entsprechenden Behörden, die innerhalb dieser Gesetzgebung spezifiziert sind, zu melden.

Es ist wichtig zu wissen, dass trotz der Entwicklung von Ransomware-Angriffen, die jetzt auch Daten-Exfiltration umfassen, die manchmal auch „Doppelte Erpressung„ genannt wird, nicht alle Ransomware-Angriffe auch Datensicherheitslücken sind. Der bestimmende Faktor wird sein, ob die Daten exfiltriert wurden oder nicht. Die neuste Entwicklung bei den Taktiken ist, dass Ransomware-Banden Callcenter benutzen, um die Opfer weiter zu bedrohen. In den meisten Ländern würde dieses erhöhte Niveau von Missbrauch als Verbrechen gelten und sollte deshalb auch den Strafverfolgungsbehörden gemeldet werden.

Weitere Gründe

Wenn ein Opfer verpflichtet ist Ransomware zu melden, weil aufgrund der Gesetzgebung ein starkes Argument den Vorfall zu melden besteht. Es gibt mehrere andere Gründe Ransomware-Vorfälle zu melden, unabhängig davon, ob es das Gesetz vorschreibt. Erstens haben die Daten, die Strafverfolgungsbehörden durch die Meldungen erhalten bis hin zu Fakten, die von forensischen Cybersicherheitsspezialisten stammen, eine große Reichweite wenn es darum geht, die Beteiligten zu fassen.

Durch das hohe Niveau an Anonymität, die Cyberkriminelle haben und durch die Verwendung von Technologien, wie dem Dark Web und anderen anonymisierenden Diensten, kann es eine schwierige Aufgabe darstellen, die Beteiligten zu fassen. Eine, die zu Beginn fast unmöglich sein kann. Mit der Zeit können Forscher jedoch zusammensetzen, wer hinter dem Angriff, oder in vielen Fällen, hinter einer Serie von Angriffen steckt. Das Melden des Vorfalls ermöglicht es Ermittlern Zugriff auf wichtige Daten zu erhalten, um genau das zu tun.

Je mehr Daten über den Ransomware-Vorfall erhoben werden, desto besser

Zweitens, je mehr Daten erhoben werden, desto besser das Bewusstsein und die Aufklärung darüber. Dies ist der Fall bezüglich Strafverfolgungs- und anderen Behörden, die gegen Cyberkriminalität schützen sollen und Warnungen herausgeben können. Typischerweise enthalten diese Warnungen Informationen über Taktiken, die von speziellen Banden benutzt werden, bevorzugte Kompromissvektoren und Maßnahmen, die durch andere Organisationen getroffen werden können, um zu verhindern, dass man Opfer eines bestimmten Ransomware-Strangs wird, der in der Warnung angegeben wird. Um diese Warnungen effektiv bei der Bekämpfung von Ransomware-Banden zu machen, müssen die Informationen höchster Qualität entsprechen und das Melden von Vorfällen durch Opfer hilft dabei, die korrekten Informationen zu verbreiten.

Als letztes ist es wichtig die internationale Natur der Cyberkriminalität zu erörtern. Cyberkriminelle Organisationen, wie Ransomware-Banden, werden aus mehreren Gründen auf Organisationen außerhalb ihres Heimatlandes abzielen. In Russland, wie bereits gut dokumentiert wurde, ist die Regierung bezüglich Cyberkriminellen, die es auf fremde Organisationen abgesehen haben, auf einem Auge blind, da die Angriffe nicht der Richtlinie für Auslandsbeziehungen schaden, oder sie könnte sogar bestimmte Absichten fördern.

Solche geopolitischen Einflüsse können es für Strafverfolgungsbehörden schwierig machen, diejenigen zur Rechenschaft zu ziehen, aber es ist nicht unmöglich. Viele Strafverfolgungsbehörden arbeiten bei der Bekämpfung von Cyberkriminalität zusammen, einschließlich Organisationen, wie Interpol und Europol. Gemeldete Vorfälle helfen den Ring um die Cyberkriminellen zu schließen, was zur Sicherstellung der Server und zu Verhaftungen führt, wenn die Stützen der Organisation ins Ausland reisen. Regierungen können auch Sanktionen gegen Staaten verhängen, von denen man annimmt, dass sie Cyberkriminelle beherbergen.

Die obigen Gründe unterstreichen sicherlich, dass das Melden von Ransomware-Vorfällen den Strafverfolgungsbehörden hilft, aber was ist mit der betroffenen Organisation? Wenn Vorfälle gemeldet werden, sind die Strafverfolgungsbehörden in der Lage wertvolle Lösungsvorschläge zu bieten, die sich leicht von Vorteil für die schnelle Erholung der Organisation auswirken können. Außerdem sind mehrere Strafverfolgungsbehörden Partnerschaften mit privaten Sicherheitsfirmen eingegangen, um den Betroffenen kostenlose Entschlüsselungswerkzeuge bereitzustellen. Das Melden eines Vorfalls kann Unternehmensleitern helfen, das von ihnen benötigte Entschlüsselungswerkzeug zu bekommen, um sich von einem Angriff zu erholen. Partnerschaften, wie No More Ransom wollen eine Datenbank für Ransomware-Informationen zusammen mit Entschlüsselungswerkzeugen erzeugen, um all den Betroffenen zu helfen.

Wie meldet man einen Ransomware-Vorfall?

Um einen Vorfall zu melden, muss die relevante örtliche Behörde kontaktiert werden. Bevor das geschieht, müssen so viele forensische Daten wie möglich bezüglich des Vorfalls erhoben werden. Dies kann durch qualifizierte IT-Mitarbeiter erfolgen. Beachten Sie, dass die benötigten Informationen zum Berichten eines Ransomware-Angriffs unterschiedlich sein werden, abhängig von der Tatsache, ob Sie einen Angriff im Namen Ihres Unternehmens oder einfach als PC-Nutzer melden. Allgemein können Organisationen gebeten werden, die folgenden Informationen bereitzustellen, wenn sie den Vorfall melden.

  • Die Daten Ihrer Organisation (Branche, Geschäftsart, Größe) und wer am besten künftig mit den Behörden kommunizieren wird.
  • Ungefähres Datum und Uhrzeit des Ransomware-Angriffs.
  • Wie der Angriff stattfand (über einen E-Mail-Link oder einen Anhang, ausgenutzte Verwundbarkeit, falsch konfigurierten RDP-Port, etc.)
  • Eine Kopie oder ein Foto der Lösegeldforderung oder des Sperrbildschirms.
  • Name der Lösegeldvariante (gewöhnlich in der Lösegeldmitteilung enthalten oder die verschlüsselte Dateierweiterung, die nach der Verschlüsselung hinzugefügt wurde.)
  • Relevante IP-Adressen, die mit Ihrem Netzwerk verbunden sind, die Sie nicht kennen.
  • Die Dateierweiterung verschlüsselter Dateien.
  • E-Mail-Adresse, URL, oder andere Kommunikationsmethoden, die vom Auslöser der Bedrohung bereitgestellt wurden.
  • Elektronische Kopien aller Kommunikation, die Sie mit dem Auslöser der Bedrohung hatten.
  • Die Bitcoin-Wallet-Adresse des Auslösers der Bedrohung, die oft entweder in der Lösegeldmitteilung oder der anschließenden Kommunikation mit dem Angreifer bereitgestellt wird.
  • Höhe des geforderten Lösegelds und der bezahlte Lösegeldbetrag.
  • Allgemeine Verluste im Zusammenhang mit dem Ransomware-Angriff, einschließlich des Lösegeldbetrags.

Wenn Sie Opfer einer Ransomware sind, melden Sie diesen Vorfall bitte Ihren örtlichen Behörden:

Australia  Australien
ACSC
Austria Österreich
Polizei
Belgium Belgien
Police
Brazil Brasilien
Polícia Federal
Bulgaria Bulgarien
CyberCrime
Canada Kanada
Centre for Cyber Security
Croatia  Kroatien
Ministry of the Interior
Cyprus Zypern
Cyber Crime Police
Czech Republic Tschechische Republik
Policie
Denmark Dänemark
Politi
United Kingdom England
Action Fraud
Estonia Estland
Politsei
Finland Finnland
Poliisi
France Frankreich
Ministère de l'Intérieur
Germany Detuschland
Polizei
Greece Griechenland
Hellenic Police
Hong Kong Hong Kong
Hong Kong Police
Hungary Ungarn
Rendőrség
India Indien
Cyber Crime Cell
Iran Iran
Cyber Police
Ireland Irland
Garda Síochána
Israel Israel
Nomoreransom project
Italy Italien
Polizia di Stato
Japan Japan
Cybercrime Project
Latvia Lettland
Policija
Lithuania Litauen
ePolicija
Luxembourg Luxemburg
Police
Malta Malta
Pulizija
Netherlands Die Niederlande
Politie
New Zealand Neuseeland
Police
Russia Russland
Ministry of Internal Affairs
Scotland Schottland
Police Scotland
Singapore Singapur
Singapore Police Force
Slovakia Slowakei
Ministerstvo Vnútra
Slovenia Slowenien
Policija
South Korea Südkorea
National Police Agency
Spain Spanien
Policía Nacional
Sweden Schweden
Polisen
Ukraine Ukraine
Cyber Police
United States Vereinige Staaten
IC3
   
Viren und Malware Entfernung

Diese Seite bietet Informationen darüber, wie man Infektionen durch Malware, oder Viren vermeidet.

Malware Entfernung