Kennen Sie diese Situation? Sie sitzen in einem Verkaufsgespräch mit einem Vertriebsmitarbeiter und dieser fragt Sie im Rahmen des Gesprächs nach Ihrem möglichen Budget. Hintergrund ist, dass er Sie als Kunden und den damit verbundenen Lead besser qualifizieren möchte, um das mögliche Potenzial dieses Geschäfts abschätzen zu können.
Warum sollten also Cyberkriminelle nicht auch nach dem Budget fragen, wenn sie ihre Systeme mit Ransomware verschlüsselt haben?
Es wird kaum ein Unternehmen geben, das für solche Vorfälle ein extra Budget eingeplant hat. Vor allem wird niemand sagen, wieviel Lösegeld man bereit ist zu zahlen, um eine bestehende Ransomware-Verschlüsselung wieder aufzuheben. Eine neue Ransomware-Bedrohung namens HardBit in der Version 2.0 geht in diesem Zusammenhang einen neuen Weg, die der Frage nach dem Budget sehr nahe kommt!
Wie hoch ist die Deckungssumme Ihrer Cyber-Versicherungspolice?
Genau diese Frage stellen die Cyberkriminellen unter dem Namen HardBit-Gruppe den betroffenen Unternehmen nach einer erfolgreichen HardBit 2.0–Ransomware-Attacke/-Verschlüsselung und verfolgen damit eine völlig neue Erpressungstaktik. Als Teil der Verhandlungen werden diese Unternehmen mit Cyber-Versicherungspolicen dazu ermutigt, den Angreifern Details preiszugeben, damit deren Forderungen entsprechend der Police angepasst werden können. Dies ist ein einzigartiger Trick der Cyberkriminellen, um sicherzustellen, dass ihre Lösegeldforderungen von der Versicherungsgesellschaft des betroffenen Unternehmens ohne Zwischenhändler gedeckt werden. Insbesondere versuchen die Cyberkriminellen, das betroffene Unternehmen davon zu überzeugen, dass es in seinem eigenen Interesse ist, alle Versicherungsdetails offenzulegen, damit sie ihre Forderungen so anpassen können, dass der Versicherer alle Kosten übernimmt und das betroffene Unternehmen keine zusätzlichen Zahlungen leisten muss. Ziel ist die Vermittlung des Eindrucks bei den betroffenen Unternehmen, dass die HardBit-Gruppe nur auf die Schädigung der Versicherer, nicht aber auf die Schädigung der betroffenen Unternehmen aus ist.
Beispieltext der HardBit Group: „For example your company is insured for 10 Million dollars, while negotiating with your insurance agent about the ransom he will offer us the lowest possible amount, for example 100 thousand dollars, we will refuse the paltry amount and ask for example the amount of 15 million dollars (…) He will do anything to derail negotiations and refuse the pay us out completely and leave you alone with your problem (…)”
Sie spekulieren also darauf, dass es den Unternehmen egal ist, wie hoch der Schaden für ihre Versicherung ist – solange sie selbst ungeschoren davonkommen. Dies ist eine neue und perfide Taktik, und die Gruppe verwendet momentan keine doppelte oder dreifache Erpressungstaktik wie die meisten anderen Ransomware-Angreifer, da die Gruppe keine Datenleck-Website betreibt, obwohl diese Hackergruppe behauptet, Daten zu stehlen, bevor sie Dateien verschlüsselt.
Auch wenn es auf den ersten Blick verlockend erscheinen mag, einer solchen Forderung nachzukommen, um die brenzlige Situation schnellstmöglich zu bereinigen, sollten Unternehmen diesen Schritt keinesfalls gehen. Im Übrigen ist der rechtliche Hintergrund klar geregelt. Versicherte Unternehmen dürfen keine Versicherungsdaten an Angreifer herausgeben, da sonst die Gefahr besteht, dass der Schaden nicht übernommen wird – mehr als nachvollziehbar und wer weiß, ob sie bei einem erneuten Angriff nicht mit den übermittelten Versicherungsdaten erpresst werden? Vielleicht als HardBit-Variante 3.x.
Der beste Schutz ist, es gar nicht erst so weit kommen zu lassen. Notwendig ist eine umfassende IT-Sicherheitsstrategie, die auch Maßnahmen vorsieht, um im Fall der Fälle den IT-Betrieb nach kurzer Unterbrechung wieder aufnehmen zu können, zum Beispiel durch einen Incident Response- und Business Continuity Pläne.
Letztlich gibt es jedoch keinen hundertprozentigen Schutz, weshalb eine Cyberversicherung ein unerlässlicher Baustein einer umfassenden Cyber-Resilienz Strategie ist.
