Erpresserische Schadsoftware wird von kriminellen Gruppierungen weiterhin vermehrt mit der Androhung eines zusätzlichen Datenlecks kombiniert. Wer nicht Lösegeld bezahlt, findet nach einer Frist seine wertvollen Unternehmensdaten offen im Internet wieder. In Q2/2020 betrug die durchschnittliche Lösegeldforderung USD 175.000 mit deutlichem Trend nach oben. Dabei werden Unternehmen als Opfer gezielt ausgesucht, Schutzgeldforderungen an aktuelle wirtschaftliche Verhältnisse angepasst und mit Hinweisen auf einen Reputationsverlust bzw. kostspielige Verfahren im Rahmen der jeweiligen Datenschutzverordnung (z.B. EU-DSGVO, Kalifornien/USA) unter Druck gesetzt.

Um Backups, Meldungen und Selbstanzeigen von Unternehmen zuvor zu kommen, bilden sich vermehrt Kartelle, die über neueste Schadsoftware und gezielte Opfer-Auswahl ihren kriminellen Schutzgeld-Umsatz maximieren wollen. Mittlerweile mehren sich auch Gerüchte, wonach bestimmte Gruppierungen mehr als nur Schutzgeld erpressen. Die Gruppierung „REvil“ a/k/a „Sodinokibi“ a/k/a „GOLD SOUTHFIELD“ soll auch an der staatlich-sanktionierten Spionage für einen russischen Corona-Impfstoff beteiligt sein, wie Sicherheitsforscher mutmaßen.

Im Jahr 2019 wurden kommunale Einrichtungen (z.B. Gerichte, Stadtverwaltungen, Wasserwerke) angegriffen, da diese erfahrungsgemäß kaum in IT-Grundschutz investierten oder Warnungen (wegen der Folgekosten) ignorierten. Seit der Pandemie liegt der Fokus der Kriminellen bei Gesundheitseinrichtungen, da die Erpresser auf eine höhere Zahlungsbereitschaft hoffen – der Verlust von Patientendaten bzw. medizinischen Daten könnte auf eine höhere Zahlungsbereitschaft von Schutzgeldern schliessen lassen. Experten sehen bei einer Bezahlung eine hohe Gefahr für gestohlene Patientendaten, denn Cyber-Kriminelle werden wohl kaum nach einer Schutzgeld-Bezahlung eine DSGVO-konforme Löschung bestätigen…

Die meisten Akteure/Kartelle stammen indiziert aus der russischen Föderation („Commonwealth of Independent States“) und bereits mehrfach entdecken Sicherheitsforscher die automatische Deaktivierung der Schadsoftware, wenn das Betriebssystem aktivierte Ländereinstellungen (Sprache, Tastaturlayout, Zeitzone) für „CIS“-Länder vorweisen kann – ein Beispiel dafür ist „Buran“ mit seinem „CIS-Killswitch“.