Threat Spotlight: Ransomware

Threat-Spotlight: Ransomware

Druckfreundlich, PDF & E-Mail

Cyberkriminelle verüben Ransomware-Angriffe auf Behörden, das Gesundheitswesen sowie Bildungseinrichtungen. Während eine Zunahme an Angriffen aufgrund der bevorstehenden Präsidentenwahl in den USA zu erwarten war, nutzen Cyberkriminelle auch die COVID-19-Pandemie und die damit verbundene Arbeit im Homeoffice aus und verursachen verheerende Schäden für Unternehmen. Ransomware existiert zwar schon seit über zwei Jahrzehnten, aber die Bedrohung hat in letzter Zeit rapide zugenommen.

In den vergangenen 12 Monaten haben Barracuda-Wissenschaftler 74 Untersuchungen und Analysen zu Ransomware-Vorfällen durchgeführt. Letztes Jahr zeigte eine genaue Betrachtung von kommunalen Ransomware-Angriffen, dass lokale Behörden ein bevorzugtes Ziel von Cyberkriminellen sind. Das ist heute immer noch der Fall: Die Mehrheit der dieses Jahr untersuchten Ransomware-Angriffe nahm Kommunen ins Visier, darunter lokale Behörden, Schulen, Bibliotheken, Gerichte und weitere Einrichtungen. Die diesjährige Analyse beinhaltet auch Daten zu Organisationen im Gesundheitswesen und in der Logistik – zwei Bereiche, die eine wesentliche Rolle für unser körperliches Wohlergehen sowie die wirtschaftliche Nachhaltigkeit und Erholung während der Pandemie spielen.

Threat-Spotlight: Ransomware

Hier wird ein genauerer Blick auf die neusten Ransomware-Angriffe und auf Lösungen zur Erkennung, Abwehr und Behebung dieser Angriffe geworfen.

Bedrohung im Fokus

Ransomware Cyberkriminelle verwenden betrügerische Software, die als E-Mail-Anhang oder Link zugestellt wird, um das Netzwerk zu infizieren und E-Mails, Daten und andere wichtige Dateien zu sperren, bis ein Lösegeld gezahlt wird. Diese sich stetig entwickelnden und raffinierten Angriffe sind schädlich und kostspielig. Sie können den täglichen Betrieb lahmlegen, Chaos verursachen und zu finanziellen Verlusten durch Ausfallzeiten, Lösegeldzahlungen, Wiederherstellungskosten und andere nicht budgetierte und unvorhergesehene Ausgaben führen.

Durch die Pandemie arbeiten Millionen von Menschen von zu Hause aus. Cyberkriminelle haben durch diesen schnellen und weitverbreiteten Wechsel ins Homeoffice eine größere Angriffsfläche gewonnen. Die schwachen Sicherheitsvorkehrungen von Heimnetzwerken machen es Cyberkriminellen einfach, diese zu infiltrieren, in Geschäftsnetzwerke einzudringen und Ransomware-Angriffe zu starten.

Die Details

Neben dem starken Fokus auf kommunale Behörden, die für Cyberkriminelle eindeutig ein Erfolgsbereich sind, werden auch Bildungseinrichtungen und das Gesundheitswesen zunehmend zur Zielscheibe. Die ständigen Angriffe auf das Gesundheitswesen sind nicht überraschend, da über eine Vielzahl von Bedrohungen und Angriffen der Cybersicherheit im Zusammenhang mit der Pandemie berichtet wurde.

Cyberkriminelle verüben Angriffe auf Behörden, das Gesundheitswesen und Bildungseinrichtungen mit #ransomwareZum Tweeten hier klicken

Zu Angriffen auf Bildungseinrichtungen, einschließlich Hochschulen, gehört der Diebstahl persönlicher Daten, Krankenunterlagen sowie der Gesundheitsvorsorge-Daten. Zwei aus den Nachrichten bekannte Fälle sind etwa das Florida Orthopedics Institute und die UFSC School of Medicine. Ersterem steht eine Sammelklage bevor und letztere zahlte 1,1 Millionen US-Dollar Lösegeld.

Auch Angriffe im Logistikbereich nehmen zu. Seit vergangenem Juli wurden sechs bemerkenswerte Ransomware-Angriffe untersucht. Diese Angriffe auf Logistikunternehmen können die Beförderung von Waren, einschließlich medizinischer Ausrüstung, persönlicher Schutzausrüstung und Produkten des täglichen Bedarfs, ernsthaft beeinträchtigen. Toll wurde zweimal innerhalb von drei Monaten angegriffen. Das deutet möglicherweise darauf hin, dass die Angreifer ihre Strategien ändern und vermehrt auf Ziele achten, die bereits als ungeschützt identifiziert wurden, um dann eine Serie von Angriffen zu starten.

Steigende Lösegelder

Nicht nur die Zahl der Angriffe selbst nimmt zu. Auch die Lösegelder und Lösegeldzahlungen steigen. In vielen Fällen ist die Wahrscheinlichkeit heutzutage größer, dass das Lösegeld gezahlt wird, und die Forderungen übersteigen oft eine Million US-Dollar. In 14 Prozent der untersuchten Fälle wurde bestätigt, dass das Lösegeld gezahlt wurde, und der durchschnittliche Zahlbetrag lag bei 1.652.666 US-Dollar. Auch ein extremes Beispiel ist bekannt: Garmin soll 10 Millionen US-Dollar Lösegeld gezahlt haben.

Auch kommunale Behörden zahlen Lösegelder. Es wurde bestätigt, dass ganze 15 Prozent der von Barracuda untersuchten kommunalen Behörden Zahlungen in Höhe von 45.000 bis 250.000 US-Dollar geleistet haben. Alle untersuchten Kommunen, die Zahlungen geleistet haben, hatten weniger als 50.000 Einwohner und schätzten Kosten und Aufwand, um die manuelle Wiederherstellung nach den Ransomware-Angriffen zu erreichen, als zu hoch ein. Das ist eine signifikante Veränderung im Vergleich zu letztem Jahr, in dem keine der angegriffenen Kommunen Lösegeld zahlten.

Lafayette, Colorado war eine Gemeinde, die dieses Jahr Lösegeld zahlte.  „Nach einer gründlichen Untersuchung der Situation inklusive Kosten und unter Berücksichtigung von potenziell langen und ungünstigen Serviceausfällen für die Bewohner haben wir beschlossen, dass der Erwerb des Entschlüsselungs-Tools den Zeit- und Kostenaufwand, Daten und Systeme wiederherzustellen, bei weitem überwiegt“, so Jamie Harkins, Bürgermeister von Lafayette, Colorado, in einem Video-Statement.

Neben Datendiebstahl, der Verschlüsselung von Dateien und Lösegeldforderungen fordern Cyberkriminelle auch Zahlungen von den Opfern, damit keine gestohlenen Informationen veröffentlicht werden, die zu öffentlicher Demütigung, rechtlichen Problemen und hohen Geldstrafen führen könnten. Viele Cyberkriminelle verbinden nun Ransomware mit Datenangriffen, um ihre Opfer umso stärker unter Druck zu setzen. Bei 41 Prozent der untersuchten Angriffe handelte es sich um Ransomware-Angriffe in Verbindung mit Datenverletzungen. Wenn das Lösegeld nicht gezahlt wird, werden die Daten der Opfer auf dem Server der Täter veröffentlicht oder im Darknet versteigert.

Cyberkriminelle unternehmen darüber hinaus Schritte, um ein breiteres Netz auszuwerfen und mehr Opfer einzufangen. Barracuda-Daten zeigen, dass im Juni ein bekanntes Botnet für über 80.000 Angriffe mit Avaddon-Ransomware verwendet wurde.

Cyberkriminelle fordern Zahlung von ihren Opfern, indem sie mit der Veröffentlichung von Informationen drohen, die zu öffentlicher Demütigung, rechtlichen Problemen und hohen Geldstrafen führen könnten #ransomwareZum Tweeten hier klicken

Verteidigung gegen Ransomware-Angriffe

Die sich rasant entwickelnde E-Mail-Bedrohungsumgebung erfordert fortschrittliche Sicherheitstechniken für In- und Outbound, die über das traditionelle Gateway hinausgehen. Dazu gehören das Schließen technischer und menschlicher Lücken, um die Sicherheit zu maximieren und das Risiko zu minimieren, Opfer von ausgeklügelten Ransomware-Angriffen zu werden.

Spam-Filter/Phishing-Erkennungssysteme

Während viele bösartige E-Mails überzeugend erscheinen, können Spam-Filter, Phishing-Erkennungssysteme und entsprechende Sicherheitssoftware subtile Hinweise aufspüren und dabei helfen, zu verhindern, dass potenziell bedrohliche Nachrichten und Anhänge in E-Mail-Posteingänge gelangen.

Advanced Firewalls

Wenn ein Benutzer einen bösartigen Anhang öffnet oder auf einen Link zu einem Drive-by-Download klickt, bietet eine Advanced Network-Firewall, die zur Malware-Analyse in der Lage ist, eine Chance, den Angriff zu stoppen. Dies tut sie, indem sie die ausführbare Datei meldet, während diese versucht, das System zu passieren.

Malware-Erkennung

Bei E-Mails mit bösartigen Dokumenten im Anhang kann sowohl die statische als auch die dynamische Analyse Indikatoren dafür erkennen, dass das Dokument versucht, eine ausführbare Datei herunterzuladen und auszuführen, was kein Dokument jemals tun sollte. Die URL für die ausführbare Datei kann oft mit Hilfe von Heuristik oder Bedrohungsermittlungssystemen ausfindig gemacht werden. Eine durch statische Analyse festgestellte Verschleierung kann zudem ein Indiz dafür sein, dass ein Dokument verdächtig sein könnte.

Block Lists

Da der IP-Raum immer knapper wird, nutzen Spammer zunehmend ihre eigene Infrastruktur. Häufig werden dieselben IPs lange genug verwendet, damit Software sie erkennen und auf eine Sperrliste setzen kann. Selbst bei gehackten Websites und Botnets ist es möglich, Angriffe anhand der IP vorübergehend zu blockieren, sobald ein ausreichend großes Spam-Volumen erkannt wurde.

Schulungen zur Benutzer-Sensibilisierung

Machen Sie Phishing-Simulationen zum Bestandteil von Schulungen für das Sicherheitsbewusstsein, um sicherzustellen, dass Endbenutzer Angriffe erkennen und vermeiden können. Verwandeln Sie sie von einem Sicherheitsrisiko in eine Verteidigungslinie, indem Sie die Wirksamkeit von Schulungen im laufenden Betrieb testen und auswerten, welche Benutzer am anfälligsten für Angriffe sind.

Backup

Im Falle eines Ransomware-Angriffs kann eine Cloud-Backup-Lösung Ausfallzeiten minimieren, Datenverluste verhindern und Ihre Systeme schnell wiederherstellen, unabhängig davon, ob sich Ihre Dateien auf physischen Geräten, in virtuellen Umgebungen oder in der Public Cloud befinden. Im Idealfall sollten Sie die 3-2-1-Regel des Backups mit drei Kopien Ihrer Dateien auf zwei verschiedenen Medientypen mit mindestens einem Offsite-Backup befolgen, um zu vermeiden, dass Backups von einem Ransomware-Angriff betroffen werden.

Schützen Sie Ihr Unternehmen vor Ransomware-Angriffen

Nach oben scrollen
Twittern
Teilen
Teilen