Ransomware-Angreifer haben in den vergangenen Jahren Double Extortion adaptiert; eine kombinierte Erpressung mit Ransomware und Daten-Leaks. Sowohl die Anzahl aktiver Leak-Seiten als auch die Aktivität auf Leak-Seiten nimmt zu. Parallel nimmt die Zahlungsbereitschaft von Geschädigten ab.
Der Begriff Ransomware hat sich mit der Zeit gewandelt. Ransomware als Schadprogramm zielt zumeist mittels Verschlüsselung darauf ab, den Zugriff auf Daten zu verhindern. Betroffene sollen ein Lösegeld an den Angreifer zahlen, um wieder Zugriff auf ihre Daten zu erhalten.[1]
Einordnung
Erste Spuren gehen zurück ins Jahr 1998. Damals wurde die als „AIDS-Trojaner“ oder auch als „PC Cyborg“ benannte Ransomware auf 20.000 Disketten verschickt. Die Lösegeldzahlung sollte noch auf ein Bankkonto in Panama erfolgen.[2]
Seitdem haben sich Angreifer kontinuierlich weiterentwickelt. So adaptierten sie moderne Algorithmen für die Verschlüsselung. Die steigende Beliebtheit von Kryptowährungen seit 2013 erleichterte Lösegeldzahlungen. Ab 2018 organisierten sich Angreifer zunehmend in Gruppen mit Arbeitsteilung. Während Angriffe vorher in der Mehrheit Einzelpersonen trafen, zielen Angreifer nun häufiger auf Unternehmen.[3]
Durch die Arbeitsteilung entstanden erste Ransomware-as-a-Service (RaaS). Dieser Begriff ist eine Anlehnung an legitime Angebote wie Software-as-a-Service. Hinter einer RaaS steht eine Betreibergruppe. Diese entwickelt die Ransomware und führt in Einzelfällen auch Angriffe damit aus.
Bei einer RaaS lizenzieren die Entwickler die Ransomware an sog. Affiliates. Diese sind in der Regel die eigentlichen Angreifer, die eine Ransomware beim Betroffenen ausführen. Bei den meisten bekannten RaaS tritt der Affiliate zwischen 10 bis 20 % der Lösegeldzahlung an die Betreibergruppe ab. Diese Dienstleister-Kunden-Beziehung kann in der Underground Economy für nahezu jeden Aspekt eines Cyberangriffs beobachtet werden.
Double Extortion
Im Jahr 2019 entwickelte sich der Begriff Ransomware abermals weiter. Einige Angreifer stahlen Daten von Geschädigten. Erst nachgelagert erfolgte die Verschlüsselung des Geschädigten. Mit diesen gestohlenen Daten wurden die Geschädigten dann zusätzlich erpresst. Die Angreifer drohten ergänzend mit der Veröffentlichung.
Geschädigte kämpfen also nicht nur mit einer Verschlüsselung, sondern auch mit der drohenden Veröffentlichung ihrer eigenen Daten. Diese doppelte Erpressung wird auch Double Extortion genannt. Für Double Extortion nutzen die meisten Angreifer dedizierte Leak-Seiten. Diese verfolgen den primären Zweck, Geschädigte an den Pranger zu stellen und deren Daten zu veröffentlichen.
Double Extortion ist seit 2021 häufig zu beobachten. Die meisten RaaS verfügen hierfür über eine eigene Leak-Seite. Es gibt jedoch auch Leak-Seiten, welche in keinem Zusammenhang mit Ransomware stehen. Betroffene werden in diesen Fällen nur mit der Veröffentlichung ihrer Daten erpresst.
Seitens der Angreifer findet parallel keine Verschlüsselung der Daten statt. In der öffentlichen Berichterstattung wird dies aber häufig nicht differenziert und bei solchen Vorfällen auch von einem Ransomware-Angriff gesprochen, Ransomware also als Oberbegriff verwendet.
(…)
Den vollständigen Beitrag lesen Sie im Deutschen Polizeiblatt 4.2025, S. 9 ff.
[1] Vgl. auch Meywirth, Cybercrime aus Sicht des Bundeskriminalamts, DPolBl. 4.2025, S. 3 ff.
[2] CERT-Bund, BSI (Hrsg.), Ransomware Bedrohungslage 2022, v. 28.09.2022, S. 14, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.html?nn=129382,zul. 13.03.2025.
[3] BSI, Die Lage der IT-Sicherheit in Deutschland 2024, v. 12.11.2024, S. 19, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.html, zul. 13.03.2025.
