Thought Leadership
Cyberkriminalität ist in der Regel ernst – finanzielle Schäden, Reputationsverluste und Betriebsunterbrechungen sind reale Risiken. Doch Sophos ist in den letzten Jahren auch auf die kuriosesten und bizarrsten Cybercrime-Vorfälle gestoßen.
Dabei lassen sich wertvolle Erkenntnisse für die Cyberabwehr ziehen.
Mehrfachangriffe auf ein Unternehmen
In einem besonders extremen Fall wurden drei separate Ransomware-Angriffe innerhalb von nur zwei Stunden auf dasselbe Unternehmen verübt. Die Angriffe durch die Gruppen Black Cat, LockBit und Hive mussten nacheinander abgearbeitet werden, um die Daten wiederherzustellen.
Lehre: Cyberkriminelle treten zunehmend nicht mehr einzeln auf. Das organisierte Ransomware-Ökosystem führt zu Konkurrenz um lohnende Ziele. Initial Access Broker (IABs), die Zugänge verkaufen, und Ransomware-Leak-Seiten verschärfen diese Dynamik. Unternehmen sollten daher auf ein robustes Incident-Response-Management und proaktive Prävention setzen.
Kriminelle untereinander
Eine weitere kuriose Beobachtung von Sophos X-Ops betrifft Angriffe zwischen Kriminellen selbst – sei es aus Geldstreitigkeiten oder Eitelkeiten. Durch solche Konflikte entstehen häufig wertvolle Hinweise für Ermittler: Benutzerkonten, Transaktions-IDs, IP-Adressen und sogar Screenshots gelangen so an die Sicherheitsforscher.
Lehre: Mit Kriminellen ist nicht gut Kirschen essen. Konflikte innerhalb der Szene können genutzt werden, um wertvolle Informationen über Angreifer, ihre Infrastruktur und Motive zu gewinnen.
Ransomware als „Pentest“-Anbieter
Manche Ransomware-Gruppen versuchen, sich als Sicherheitsexperten auszugeben und ihren Opfern nach der Zahlung „Sicherheitsberichte“ zu liefern. Diese Berichte sind meist fehlerhaft, obszön und wenig hilfreich.
Lehre: Ransomware-Gruppen sind keine Sicherheitsfirmen. Professionalisierung und Kommerzialisierung der Ransomware-Szene zeigen sich in solchen PR-Versuchen, die jedoch keinen echten Schutz bieten.
Bizarr und kreativ: Wenn kriminelle Energie umschlägt
Sophos X-Ops dokumentierte kuriose Ideen von Cyberkriminellen: Vorschläge, mit gestohlenem Geld einen Eisstand zu eröffnen, die Entwicklung von Malware in russischen Gefängnissen auszulagern oder E-Liquids an Schulkinder zu verkaufen.
Lehre: Die kriminelle Energie endet nicht mit dem Angriff. Die Art, wie Täter ihre Gewinne einsetzen oder investieren, kann zusätzliche Ermittlungsinformationen liefern, etwa zu Motivation, Verbindungen und operativen Strukturen.
Fazit: Lernen aus der Kuriosität
Auch unerfahrene Angreifer können erheblichen Schaden anrichten. Wichtig ist, dass Verteidiger die eingesetzten Werkzeuge, Taktiken und Techniken (TTPs) aller Ransomware-Gruppen im Blick haben. Nur eine Kombination aus technischer Abwehr, menschlicher Expertise und proaktiven Sicherheitsmaßnahmen kann Unternehmen ausreichend schützen.
Sophos X-Ops zeigt: Cyberabwehr bedeutet nicht nur Schutz vor Bedrohungen, sondern auch das Verständnis der Mechanismen, die hinter Angriffen stehen – selbst wenn diese skurril erscheinen.
