Aufgrund gravierender Sicherheitsmängel auf ihrer eigenen Seite wurden die Systeme der INC Ransomware Gruppe kompromittiert und dabei Daten sichergestellt. Die Operation wurde von Cyber Centaurs, einem auf digitale Forensik und Incident Response spezialisierten Unternehmen, durchgeführt, das den erfolgreichen Zugriff bereits im vergangenen November öffentlich machte.
INC Ransomware ist eine sogenannte Ransomware-as-a-Service-(RaaS) Operation, die Mitte 2023 erstmals in Erscheinung trat. Das RaaS Modell haben wir auf diesem Blog bereits früher behandelt: Kurz gesagt beschreibt es die Entkopplung von Malware Entwicklung und Einsatz. Entwickler programmieren die Schadsoftware und stellen sie Dritten zur Verfügung, während Käufer die Infrastruktur bereitstellen, um die Malware zu verbreiten und gezielt gegen Personen oder Organisationen einzusetzen.
Der Bedrohungsakteur verzeichnete im Laufe der Zeit mehrere prominente Opfer, darunter Yamaha Motor, Xerox Business Solutions, den schottischen NHS, McLaren Health Care, die Texas State Bar, Ahold Delhaize, das panamaische Wirtschaftsministerium, das Büro des Generalstaatsanwalts von Pennsylvania sowie Crisis24.
Schutz kritischer Daten
Aus diesem Vorfall lassen sich mehrere zentrale Erkenntnisse ableiten. Erstens bleibt der Schutz von Daten von höchster Priorität die Liste der betroffenen Organisationen spricht in diesem Zusammenhang für sich. Zudem unterstreicht der Fall, dass viele Cyberangriffe nicht bei einer einzelnen Straftat enden: In den oben genannten Fällen beschränkten sich die Angreifer nicht auf die Verschlüsselung von Systemen mittels Ransomware, sondern betrieben parallel eine gezielte Datenexfiltration. Sobald Angreifer Zugriff auf ein System erlangen, verfolgen sie in der Regel maximale Schadens und Erpressungspotenziale.
Die zweite Erkenntnis lautet: Wiederherstellung ist möglich, jedoch keineswegs trivial. Im vorliegenden Fall war der Einsatz spezialisierter Experten erforderlich, um exfiltrierte Daten zurückzugewinnen. Ob für die Entschlüsselung verbliebener Daten ein Lösegeld gezahlt wurde, wurde dabei nicht öffentlich kommuniziert.
Organisationen wird dringend empfohlen, ihre Systeme durch verlässliche Backup oder andere Datensicherungslösungen abzusichern und sicherzustellen, dass diese regelmäßig aktualisiert und überprüft werden. Nur so lässt sich die Widerstandsfähigkeit gegenüber komplexen und mehrstufigen Cyberangriffen nachhaltig erhöhen.
Ihre Daten in Ihren Händen – Mit TECH-ARROW
