Ransomware-Trends

Bedrohungen im Blickpunkt: Ransomware-Trends

Druckfreundlich, PDF & E-Mail

2021 ist die Zahl der Ransomware-Angriffe stark angestiegen und auch die geforderten Lösegeldsummen wurden umfangreicher. Cyberkriminelle suchen sich zudem immer größere Ziele aus. Dabei verlagert sich ihr Fokus aktuell auf unsere kritische Infrastruktur. Sie entwickeln umfangreiche Angriffskampagnen auf die Software-Lieferkette, die lang anhaltende Nachwirkungen mit sich ziehen können.

In Zukunft sieht es leider so aus, dass wohl nur die wenigsten vor finanziellen Schäden oder der negativen Publicity, die mit einem Ransomware-Angriff einhergehen, verschont bleiben werden. Ransomware-Kriminelle greifen die Grundlage unserer digitalen Wirtschaft an: Vom vertrauenswürdigen Softwareanbieter bis hin zum IT-Service-Provider kann es jeden treffen.

Viele dieser Angriffe werden von einer Handvoll bekannter Ransomware-Banden durchgeführt. Unsere Analyse der Ransomware-Angriffe, die zwischen August 2020 und Juli 2021 stattfanden, ergab, dass REvil für 19 % aller Angriffe verantwortlich war und DarkSide für mindestens 8 %.

Ransomware-Angreifer

 

In diesem Threat Spotlight werden wir die Ransomware-Angriffsmuster untersuchen, die wir bei unserer Analyse der Angriffe der letzten 12 Monate identifiziert haben, und unsere Erkenntnisse zur Prävention und Recovery mit Ihnen teilen.

Bedrohung im Fokus

Ransomware – Cyberkriminelle verwenden betrügerische Software, die per E-Mail-Anhang oder Link in ein System eingeschleust wird, um das Netzwerk zu infizieren und E-Mails, Daten und andere wichtige Dateien zu verschlüsseln, bis ein Lösegeld gezahlt wird. Diese raffinierten Angriffe, die stetig weiterentwickelt werden, sind schädlich und kostspielig. Sie können den täglichen Geschäftsbetrieb lahmlegen, allgemeines Chaos verursachen und zu finanziellen Verlusten durch Ausfallzeiten, Lösegeldzahlungen, Wiederherstellungskosten und andere nicht budgetierte und unvorhergesehene Ausgaben führen.

Die kriminellen Akteure, die hinter diesen Angriffen stehen, haben ihre Taktiken im Laufe der Zeit verbessert. Einige von ihnen setzen heute auf eine doppelte Erpressung. Dabei spähen sie vor dem eigentlichen Verschlüsselungsangriff zunächst die Daten ihrer Opfer aus. Diese sensiblen Daten stehlen sie und verlangen im Austausch für das Versprechen, die Daten nicht zu veröffentlichen oder an andere Kriminelle zu verkaufen, die Zahlung einer bestimmten Geldsumme. Natürlich gibt es für die Opfer keine Garantie, dass die Angreifer ihre Versprechen halten. Oft werden die Betroffenen einige Monate nach erfolgter Lösegeldzahlung erneut kontaktiert und dazu genötigt, eine weitere Auszahlung vorzunehmen, damit die entwendeten Daten nicht weitergegeben werden. Einige Ransomware-Kriminelle geben die Daten trotz erfolgter Zahlung weiter.

Die Details

In den vergangenen 12 Monaten haben Barracuda-Forscher 121 Ransomware-Vorfälle identifiziert und analysiert. Im Jahresvergleich entspricht diese Zahl einem Anstieg der Angriffe um 64 %. Wir konnten feststellen, dass Cyberkriminelle ihre Angriffe nach wie vor auf kommunale Behörden sowie Gesundheits- und Bildungseinrichtungen konzentrieren, dass jedoch auch immer öfter andere Unternehmensarten betroffen sind.

Angriffe auf Infrastrukturgesellschaften, Reiseanbieter, Finanzdienstleister und andere Unternehmen machten zwischen August 2020 und Juli 2021 57 % aller Ransomware-Vorfälle aus – im Vergleich zu nur 18 % in unserer Studie aus dem Jahr 2020. Auf infrastrukturbezogene Unternehmen entfallen 11 % aller von uns untersuchten Angriffe. Tatsächlich handelt es sich bei immer mehr Ransomware-Vorfällen um Angriffe auf die Software-Lieferkette, in deren Rahmen mehrere Unternehmen auf einmal infiltriert werden können.

Threat Spotlight

 

In der Vergangenheit haben wir bereits darauf hingewiesen, dass Kommunen nicht immer gut auf diese Art von Angriffen vorbereitet sind, da sie oft mit knappen Budgets, kleinen IT-Teams und veralteten Tools arbeiten. Aber das Problem ist tatsächlich schlimmer, als wir dachten. Beispielsweise werden vertrauenswürdige Softwareanbieter infiziert und ihre Kundendaten missbraucht, sodass es zu einer besorgniserregenden Anzahl an Angriffen aus unerwarteten (weil eigentlich vertrauenswürdigen) Quellen kommt.

Zwar konzentrieren sich Cyberkriminelle bei Ransomware-Angriffen immer noch stark auf Unternehmen in den Vereinigten Staaten, doch unsere Untersuchungen haben ergeben, dass auch der Rest der Welt immer häufiger betroffen ist. Ungefähr die Hälfte der Angriffe der letzten 12 Monate trafen US-Unternehmen (44 %). Im Vergleich dazu: 30 % der Vorfälle erfolgten in EMEA, 11 % in den Ländern des asiatisch-pazifischen Raums, 10 % in Südamerika und 8 % in Kanada und Mexiko.

Ransomware-Angriffe Land

Nutzung von Anwendungsschwachstellen bei Ransomware-Angriffen

Auch die Ransomware-Angriffsmuster entwickeln sich weiter. Anstatt wie bisher schädliche Links und Anhänge zu nutzen, um Ransomware in Systeme einzuschleusen, haben sich Cyberkriminelle neue Taktiken einfallen lassen. Zuerst suchen Angreifer nach Möglichkeiten, durch Phishing-Angriffe Zugangsdaten zu entwenden. Anschließend werden die gestohlenen Zugangsdaten dazu verwendet, die vom Opfer genutzten Webanwendungen zu übernehmen. Sobald die Anwendung kompromittiert wurde, können Angreifer Ransomware und andere Malware in das System bringen. Dies kann dazu führen, dass sowohl das Netzwerk als auch die Systeme anderer Anwendungsnutzer infiziert werden.

Hier sei noch einmal daran erinnert, dass es viele verschiedene Arten von Webanwendungen gibt, zum Beispiel auch solche, die es Benutzern ermöglichen, von zu Hause aus zu arbeiten. Ein Web-Portal für ein Segment Ihrer IT-Infrastruktur ist genauso risikobehaftet wie eine SaaS-Anwendung. Im vergangenen Jahr haben Angreifer in mehreren Fällen eine Anwendungs-Sicherheitslücke ausgenutzt, um die Kontrolle über die jeweilige Anwendungsinfrastruktur zu erlangen und schließlich die wertvollsten Daten zu verschlüsseln.

Bei den von OWASP benannten Top-10-Bedrohungen für die Anwendungssicherheit handelt es sich um Mechanismen, mit denen Angreifer sich Zugang zur Infrastruktur von Unternehmen verschaffen können. Wenn Remote-Mitarbeiter etwa über ein VPN auf ihr Unternehmensnetzwerk zugreifen, birgt das ein erhebliches Risiko, da ihre VPN-Zugangsdaten im Dark-Web offengelegt sein könnten. So ist beispielsweise der Ransomware-Angriff, der in diesem Mai die Unterbrechung im Betrieb der Colonial Pipeline verursachte, darauf zurückzuführen, dass Hacker über ein VPN-Konto Zugriff auf das Netzwerk erhielten, indem sie ein gestohlenes Passwort aus dem Dark-Web nutzten.

Lösegeldforderungen – aktuelle Trends

Wie wir in den letzten Jahren gesehen haben, steigen die geforderten Lösegeldsummen dramatisch an. Die durchschnittliche Forderung pro Angriff liegt mittlerweile bei über 10 Millionen USD. Bei nur 18 % der Vorfälle wurden weniger als 10 Millionen US-Dollar eingefordert. Bei 30 % der Vorfälle wurden über 30 Millionen US-Dollar erpresst.

Lösegeldforderungen

Seitdem Kryptowährungen immer populärer werden, haben wir sowohl eine Steigerung der Anzahl an Ransomware-Angriffen als auch der eingeforderten Lösegeldbeträge feststellen müssen. Da einige Bitcoin-Transaktionen mittlerweile erfolgreich nachverfolgt werden können, sind einige Kriminelle bereits auf alternative Zahlungsmethoden umgestiegen, wie z. B. die Ransomware-Bande REvil, die Monero anstelle von Bitcoin verlangt.

Bei unseren Nachforschungen konnten wir jedoch auch zahlreiche Fälle beobachten, in denen Opfer die Lösegeldzahlungen durch Verhandlungsgespräche reduzieren konnten. JBS gelang es, eine Forderung über 22,5 Millionen USD auf 11 Millionen USD herunterzuhandeln. Brenntag, ein deutsches Unternehmen in der Distribution von Chemikalien, überwies seinen Erpressern statt 7,5 Millionen USD nur 4,4 Millionen USD. Unternehmen müssen also nicht immer die ursprüngliche Lösegeldforderung bezahlen. Wenn Ransomware-Opfer bereit sind, ein Lösegeld zu zahlen, ist es für sie daher wichtig, sich vorher entsprechende Verhandlungsmethoden anzueignen. Diese Vorgehensweise kann für sie Einsparungen in Millionenhöhe bedeuten.

Es gibt mittlerweile jedoch auch immer mehr Unternehmen, die sich weigern, ein Lösegeld zu zahlen. Das ist wahrscheinlich der Grund, wieso die Lösegeldforderungen in die Höhe schnellen. Dieser Trend führt auch dazu, dass es nun eine bessere Zusammenarbeit mit den Behörden gibt und dass auch professionelle Lösungsverhandlungsführer eingebunden werden. Dem FBI gelang es vor Kurzem etwa, die Bitcoin-Wallets von DarkSide aufzuspüren und dadurch einige der Lösegeldzahlungen zurückzuerlangen. Zahlungen an verbundene Verbrecherorganisationen der Ransomware-Gruppe wurden zudem unterbunden.

Das sind bereits einige ermutigende Entwicklungen im Kampf gegen Ransomware-Angriffe. Neben diesen rechtlichen Maßnahmen ist noch zu erwähnen, dass das Weiße Haus sich direkt an die Staats- und Regierungschefs der Welt gewandt und harte Maßnahmen gegen Akteure gefordert hat, die Cyberkriminelle direkt oder indirekt schützen. Angesichts der öffentlichkeitswirksamen Angriffe der letzten Zeit, insbesondere der auf kritische Infrastrukturen, bin ich der Meinung, dass die US-Regierung es nicht bei Warnungen belassen wird. Sie ist bereit, selbst gegen Nationalstaaten ernsthafte Maßnahmen zu ergreifen, wenn es eindeutige Beweise für Komplizenschaft oder Nachlässigkeit bei der Verfolgung von Cyberkriminellen gibt.

Wie man sich vor Ransomware schützt

Der erste Schritt bei der Bekämpfung von Ransomware besteht ganz einfach darin, davon auszugehen, dass Sie irgendwann selbst zum Opfer werden – dass es also nur eine Frage des Zeitpunkts ist. Als Nächstes müssen Sie sich zum Ziel setzen, den Lösegeldforderungen der Erpresser auf keinen Fall nachzukommen. Um dieses Ziel zu erreichen, müssen Sie anschließend mindestens die folgenden drei Anforderungen erfüllen.

  • Setzen Sie alles daran, um den Verlust von Zugangsdaten zu verhindern. Implementieren Sie Anti-Phishing-Funktionen in Ihrem E-Mail-System und in anderen Zusammenarbeitstools, und schulen Sie kontinuierlich das Bewusstsein Ihrer Benutzer für die E-Mail-Sicherheit.
  • Sichern Sie Ihre Anwendungen und den Zugriff darauf. Neben der Verwendung einer Multi-Faktor-Authentifizierung sollten Sie auch Webanwendungssicherheits-Lösungen für alle Ihre SaaS-Anwendungen und Infrastruktur-Zugangspunkte implementieren. Schwachstellen in Anwendungen sind oft im Code oder in der zugrunde liegenden Infrastruktur versteckt; daher müssen Sie Ihre Anwendungen vor den von OWASP identifizierten Top-10-Bedrohungen schützen. Wenn Ihre Anwendung mit APIs interagiert, sollten Sie auch sicherstellen, dass Sie gegen die von OWASP identifizierten Top-10-Bedrohungen in puncto API-Sicherheit abgesichert sind. Zusätzlich zum Schutz Ihrer Anwendungen sollten Sie den Zugriff Ihrer Benutzer streng kontrollieren. Geben Sie ihnen nur so viele Zugriffsrechte, wie sie wirklich benötigen, um produktiv zu sein. Am besten implementieren Sie Zero-Trust-Access basierend auf dem Endgerätesicherheitsstatus.
  • Sichern Sie Ihre Daten. Nutzen Sie eine sichere Data-Protection-Lösung, die für einen stets aktuellen Schutz sorgt, Ihre kritischen Datenbestände identifizieren kann und über Funktionen für den Umgang mit Notfällen sowie Disaster Recovery verfügt. So können Sie Ransomware-Kriminellen die Stirn bieten.

Da Cyberkriminelle ihre Bemühungen wohl zukünftig noch verstärken werden, um höhere Summen erwirtschaften zu können, muss die Sicherheitsbranche neue Lösungen entwickeln, die für Unternehmen jeder Größe einfach nutzbar sind. Angreifer infiltrieren oft zunächst kleinere Organisationen, die mit größeren Unternehmen verbunden sind, und arbeiten sich dann weiter zu ihrem eigentlichen Ziel vor. Ich hoffe inständig, dass wir gemeinsam entsprechende Produkte entwickeln können, die reibungslos miteinander funktionieren, um eine solide Abwehr darzustellen. Und wenn Produkte für ein bestimmtes Marktsegment zu kompliziert sind, müssen wir anspruchsvolle Technologien und Produkte in Dienste umwandeln, die ohne kostspielige und zunehmend schwer zu findende Security-Mitarbeiter genutzt werden können.

Webinar: Die drei Stadien von Ransomware-Angriffen: Threat-Spotlight-Ergebnisse und -Analyse

Nach oben scrollen
Twittern
Teilen
Teilen