Falsche Leaks, echte Panik: So reagieren Unternehmen richtig

Ausnutzung von Unsicherheit

Einige Cyberkriminelle haben erkannt, dass sie keinen tatsächlichen Angriff durchführen müssen, um Profit zu erzielen. Gruppen wie Babuk2 veröffentlichen auf ihren Leak-Seiten angebliche Opferlisten, die aus alten, bereits bekannten Datenlecks bestehen oder vollständig erfunden sind. Öffentlich zugängliche Informationen, etwa aus Social-Media-Profilen, Unternehmenswebseiten oder frei verfügbaren Datenbanken, werden als gestohlene Daten ausgegeben. Ziel ist es, Unternehmen, die ihre IT-Sicherheitslage nicht genau kennen, zu täuschen.

Ein Unternehmen, das unsicher ist, ob es kompromittiert wurde, könnte aus Sorge vor Reputationsverlust oder rechtlichen Konsequenzen Lösegeld zahlen, selbst für Daten, die nie exfiltriert wurden. Diese Strategie dient zudem teilweise auch dem Aufbau von schneller Glaubwürdigkeit im Ransomware-as-a-Service-Ökosystem (RaaS). Eine umfangreiche Liste vermeintlicher Opfer macht eine Gruppe für potenzielle Partner kurzfristig attraktiver, auch wenn die Erfolge gefälscht sind. Für die Kriminellen ist dies ein Spiel mit minimalem Aufwand: Selbst, wenn nur ein Unternehmen den Bluff glaubt und zahlt, ist der Gewinn gesichert. Babuk2 ist hierfür ein prominentes Beispiel, da die Gruppe wiederholt Daten aus früheren Angriffen anderer Banden wie Cl0p wiederverwendet oder frei erfundene Opferlisten veröffentlicht, um ihre Aktivität zu übertreiben.

Betrügerische Angebote auf kriminellen Marktplätzen

Parallel zu gefälschten Datenlecks florieren betrügerische Angebote auf kriminellen Marktplätzen. Kriminelle verkaufen angebliche Zugangsdaten zu Unternehmensnetzwerken, die veraltet, ungültig oder vollständig erfunden sind. Solche Access-as-a-Service-Angebote locken andere, oftmals nicht hochentwickelte, Cyberkriminelle an, die auf schnellen Zugriff hoffen, um Ransomware einzuschleusen.

Häufig gehen die Käufer jedoch leer aus, während die Verkäufer ohne Risiko profitieren. Diese Betrügereien innerhalb der kriminellen Szene verdeutlichen die Skrupellosigkeit der Akteure. Gleichzeitig erhöhen sie den Druck auf Unternehmen, da die bloße Existenz solcher Angebote die Illusion einer akuten Bedrohung erzeugt.

Fehlerhafte Berichterstattung in den Medien

Ein oft übersehener Faktor ist die Rolle der Medien, die durch ungenaue Berichterstattung den Angreifern in die Hände spielt. Wenn Medien gefälschte Datenlecks als echte Angriffe darstellen oder alte Daten als neue Bedrohungen präsentieren, verstärken sie die Unsicherheit bei Unternehmen und deren Kunden. Diese ungenaue Berichterstattung erhöht die Glaubwürdigkeit von Gruppen wie Babuk2, die dadurch als erfolgreicher wahrgenommen werden, als sie tatsächlich sind. Dies zieht weitere Partner an, die sich der Gruppe im RaaS-Modell anschließen wollen, und verstärkt den Druck auf Unternehmen, Lösegeld zu zahlen, um negative Schlagzeilen zu vermeiden.

Zudem kann die Übertreibung echter Bedrohungen, wie sie etwa bei Gruppen wie Akira oder RansomHub vorkommt, die tatsächliche Gefahr verzerren. Während diese Gruppen für echte Angriffe bekannt sind, führt unkritische Berichterstattung dazu, dass Unternehmen alle Leak-Seiten als gleich gefährlich wahrnehmen. Dies kann dazu führen, dass echte Bedrohungen übersehen oder unterschätzt werden, während gefälschte Leaks unnötige Panik auslösen. So unterstützen Medien unbeabsichtigt die Strategien der Angreifer.

„Unternehmen müssen Datenlecks kritisch prüfen, ihre Sicherheitslage genau kennen und Medienberichte hinterfragen, um Täuschungen zu erkennen und echte Bedrohungen effektiv abzuwehren. Nur durch Wachsamkeit und gezielte Maßnahmen können sie sich gegen die raffinierten Manöver der Cyberkriminellen behaupten.“

Robert Wortmann, Trend Micro

Echte Bedrohungen nicht ignorieren

Trotz der Verbreitung gefälschter Datenlecks bleibt die Gefahr durch echte Ransomware-Angriffe hoch. Viele Gruppen konzentrieren sich auf tatsächliche Datenexfiltration und Verschlüsselung, ohne Hinweise darauf, dass sie systematisch gefälschte Opfer veröffentlichen. Ihre Aktivitäten zeigen, dass nicht jede Leak-Seite bloße Propaganda ist. Unternehmen müssen daher wachsam bleiben, um echte Bedrohungen von Täuschungen zu unterscheiden. Gezielte Schutzmaßnahmen für Unternehmen, um sich vor gefälschten Datenlecks und betrügerischen Angeboten zu schützen, sollten Unternehmen folgende Maßnahmen umsetzen:

• Kritische Überprüfung von Datenlecks: gibt es Hinweise auf einen Zugriff, gibt es Ransomnotes oder Hinweise auf Exfiltration?
• Dokumentation der Sicherheitslage: Eine lückenlose Historie aller Sicherheitsvorfälle führen, um alte Daten von neuen Bedrohungen zu trennen und Zahlungen für bereits bekannte Leaks zu vermeiden.
• Proaktive Überwachung: Threat-Intelligence-Dienste nutzen, um Aktivitäten auf Leak-Seiten und Dark-Web-Marktplätzen frühzeitig zu identifizieren und zu bewerten.
• Kritischer Umgang mit Medienberichten: Medienberichte nicht ungeprüft übernehmen, sondern deren Quellen verifizieren und mit internen Sicherheitsdaten abgleichen.

Fazit

Gefälschte Datenlecks und betrügerische Angebote auf kriminellen Marktplätzen sind ein wachsendes Problem in der Ransomware-Landschaft. Gruppen wie Babuk2 nutzen recycelte oder erfundene Opferlisten, um Unternehmen zu täuschen und ihre Glaubwürdigkeit im RaaS-Ökosystem zu stärken. Fehlerhafte Medienberichterstattung verschärft dieses Problem, indem sie die Reichweite der Angreifer erweitert und Panik schürt. Unternehmen müssen Datenlecks kritisch prüfen, ihre Sicherheitslage genau kennen und Medienberichte hinterfragen, um Täuschungen zu erkennen und echte Bedrohungen effektiv abzuwehren. Nur durch Wachsamkeit und gezielte Maßnahmen können sie sich gegen die raffinierten Manöver der Cyberkriminellen behaupten.

Über den Autor:
Robert Wortmann ist Principal Security Strategist bei Trend Micro.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.