KI-gestützte Datenerpressung: Eine neue Ära der Ransomware

By Craig Fretwell, Global Head of Security Operations, Rackspace Technology

AI-powered-data-extortion-Rackspace-Technology
A red image with text "Subscribe to the Rackspace Insights Newsletter" with a "Subscribe now" button. A mail icon is positioned to the right of the text.

Zwischen 2023 und 2024 sind die Ransomware-Zahlungen deutlich zurückgegangen. Verbesserte Backups, robuste Wiederherstellungspraktiken und eine verstärkte rechtliche Kontrolle, wie z. B. die OFAC-Richtlinien, die von Lösegeldzahlungen abraten, haben viele Unternehmen in die Lage versetzt, den Forderungen der Angreifer zu widerstehen. Aber die Angreifer geben nicht auf. Sie schwenken um.

Die Zeiten von Ransomware, die mit einem Klick verschlüsselt wurde und auf Lösegeld wartete, gehen schnell vorbei. Das Geschäftsmodell, das Tausende von Unternehmen auf der ganzen Welt lahmgelegt hat, entwickelt sich weiter - und das nicht im positiven Sinne. Wir werden jetzt Zeuge einer unheimlicheren, intelligenteren und effektiveren Bedrohung: KI-gestützte Datenerpressung. Dies ist keine Vorhersage, sondern geschieht gerade jetzt.

Der Niedergang der traditionellen Ransomware-Zahlungen

Zwischen 2023 und 2024 sind die Ransomware-Zahlungen deutlich zurückgegangen. Verbesserte Backups, robuste Wiederherstellungspraktiken und eine verstärkte rechtliche Kontrolle, wie die OFAC-Richtlinie, die von Lösegeldzahlungen abrät, haben viele Unternehmen in die Lage versetzt, den Forderungen der Angreifer zu widerstehen. Aber die Angreifer geben nicht auf. Sie schwenken um.

Anstatt sich nur auf die Verschlüsselung von Dateien zu verlassen, exfiltrieren Angreifer jetzt Daten und nutzen generative KI-Tools, um diese Informationen als Waffe einzusetzen. Wir sprechen hier von Hunderten von Gigabytes an E-Mails, Chatprotokollen, Präsentationen, Tabellenkalkulationen und Quellcode, die in gezieltes Erpressungsmaterial umgewandelt werden.

Schnelle Datenauswertung im großen Maßstab

Angreifer verwenden Large Language Models (LLMs) wie GPT-4, LLaMA 2 und andere Open-Source-Modelle, um massive gestohlene Datensätze innerhalb von Minuten zu verarbeiten und zu analysieren. Aufgaben, die früher Tage oder Wochen der manuellen Überprüfung erforderten, werden jetzt schnell automatisiert. KI analysiert und fasst E-Mails, Chatprotokolle, vertrauliche PDFs und Verträge zusammen, markiert sensible Begriffe wie "Redundanz", "Datenschutzverletzung" und "behördliche Maßnahmen" und ordnet Inhalte nach Auswirkungen und Risiken.

Diese Automatisierung ermöglicht es Bedrohungsakteuren, ihre Erpressungsstrategien schnell zu priorisieren und die wertvollsten Daten zuerst ins Visier zu nehmen, um den Nutzen zu maximieren.

Sentiment und kontextbezogene Analyse

AI liest nicht nur Daten. Mit sorgfältig konfigurierten Eingabeaufforderungen verfügen Angreifer jetzt über Werkzeuge, die den Kontext, den Ton und die Stimmung verstehen. Die Stimmungsanalyse erkennt Angst, Verlegenheit, Wut oder Täuschung in der internen Kommunikation. Die Erkennung von benannten Entitäten (Named Entity Recognition, NER) extrahiert schnell wichtige Details wie Namen, Rollen und Organisationsstrukturen. Relationship Mapping identifiziert risikoreiche Gespräche, z. B. wenn ein CEO vertrauliche Details einer Übernahme mit einem CFO bespricht.

Mit diesen Informationen können Angreifer präzise, psychologisch gezielte Erpresserbotschaften verfassen und eine IT-Krise zu einem Notfall auf Vorstandsebene machen, an dem Führungskräfte, Rechtsteams und Öffentlichkeitsarbeit beteiligt sind. Zum Beispiel:

"Wir haben E-Mail-Verkehr zwischen Ihrem CIO und einem Whistleblower über unethische Praktiken festgestellt. Sie haben 72 Stunden Zeit, um dem nachzukommen."

Kategorisierung gestohlener Daten für maximalen Nutzen

Bedrohungsakteure beginnen, gestohlene Daten strategisch zu klassifizieren und einzustufen, wobei sie sich auf die größten emotionalen oder finanziellen Auswirkungen konzentrieren:

AI-data-extortion-Table-Pic1

Durch die Kategorisierung der Daten nach ihrer potenziellen Auswirkung optimieren die Angreifer ihre Erpressungsstrategie, was die KI-gestützte Erpressung deutlich lukrativer macht als herkömmliche Ransomware.

Warum KI-gesteuerte Erpressung profitabler ist

Generative KI macht Erpressung präzise und profitabel. Herkömmliche Ransomware hängt stark vom Erfolg der Verschlüsselung, der Verfügbarkeit von Backups und Verhandlungen ab. KI-gestützte Erpressung umgeht all diese Komplexitäten:

  • Keine Abhängigkeit von der Verschlüsselung.
  • Schnelle Analyse von mehreren Opfern gleichzeitig.
  • Maßgeschneiderte Lösegeldforderungen, die auf präzisen finanziellen und rufschädigenden Auswirkungen basieren.

Beispielsweise stehlen Angreifer 40 GB von einem britischen Finanzunternehmen und identifizieren schnell FCA-Untersuchungsdokumente und interne Entlassungsgespräche. Die Angreifer schätzen die potenziellen Geldstrafen und den Imageschaden auf rund 800.000 Pfund und setzen eine scheinbar "vernünftige" Erpressungsforderung von 150.000 Pfund fest, zahlbar in Monero.

>

Warum dies schwieriger zu erkennen und abzuwehren ist

Traditionelle Sicherheitsmaßnahmen erkennen offensichtliche Aktivitäten wie Verschlüsselung oder bekannte Ransomware-Binaries. Die Exfiltration von Daten in Kombination mit einer KI-Analyse außerhalb des Netzwerks hinterlässt jedoch keine offensichtlichen Anzeichen: keine Malware-Persistenz, keine verdächtige Verschlüsselungsaktivität, kein traditioneller "smoking gun". Angreifer stehlen still und leise Daten, verschwinden unbemerkt und drohen aus der Ferne.

Erfahren Sie mehr über Rackspace Security Services →

Tags:

Mehr erfahren