Site Logo

Threat Spotlight: Ransomware-Trends

Themen:
12. Aug.. 2021
|
Fleming Shi

2021 ist die Zahl der Ransomware-Angriffe stark angestiegen und auch die geforderten Lösegeldsummen wurden umfangreicher. Cyberkriminelle suchen sich zudem immer größere Ziele aus. Dabei verlagert sich ihr Fokus aktuell auf unsere kritische Infrastruktur. Sie entwickeln umfangreiche Angriffskampagnen auf die Software-Lieferkette, die lang anhaltende Nachwirkungen mit sich ziehen können.

Aufgrund der düsteren Aussichten für die Zukunft von Ransomware wird niemand vor finanziellen Schäden oder Marken-vernichtenden Schlagzeilen verschont bleiben. Ransomware-Kriminelle greifen die Grundlage unserer digitalen Wirtschaft an: Vom vertrauenswürdigen Softwareanbieter bis hin zum IT-Service-Provider kann es jeden treffen.

Viele dieser Angriffe werden von einer Handvoll bekannter Ransomware-Banden durchgeführt. Unsere Analyse der Ransomware-Angriffe, die zwischen August 2020 und Juli 2021 stattfanden, ergab, dass REvil für 19 % und DarkSide für 8 % der Angriffe verantwortlich war.

Ransomware-Angreifer



In diesem Threat Spotlight werden wir die Ransomware-Angriffsmuster untersuchen, die wir bei unserer Analyse der Angriffe in den letzten 12 Monaten identifiziert haben, und unsere Erkenntnisse zur Prävention und Wiederherstellung mit Ihnen teilen.

Bedrohung im Fokus


Ransomware – Cyberkriminelle verwenden betrügerische Software, die per E-Mail-Anhang oder Link in ein System eingeschleust wird, um das Netzwerk zu infizieren und E-Mails, Daten und andere wichtige Dateien zu verschlüsseln, bis ein Lösegeld gezahlt wird. Diese sich entwickelnden und ausgeklügelten Angriffe sind schädlich und kostspielig. Sie können tägliche Betriebsabläufe lahmlegen, Chaos verursachen und zu finanziellen Verlusten durch Ausfallzeiten, Lösegeldzahlungen, Wiederherstellungskosten und andere ungeplante und unerwartete Ausgaben führen.

Die kriminellen Akteure, die hinter diesen Angriffen stehen, haben ihre Taktiken im Laufe der Zeit verbessert. Einige von ihnen setzen heute auf eine doppelte Erpressung. Sie stützen ihre Lösegeldforderungen auf Forschung, die sie vor dem Angriff durchführen. Sie stehlen die sensiblen Daten ihrer Opfer und verlangen eine Zahlung im Austausch für das Versprechen, die Daten nicht zu veröffentlichen oder an andere Kriminelle zu verkaufen. Da man Kriminellen nicht trauen kann, werden die Opfer, die zahlen, häufig einige Monate später kontaktiert und aufgefordert, eine weitere Auszahlung vorzunehmen, damit die gestohlenen Daten geheim bleiben. Einige Ransomware-Kriminelle akzeptieren Zahlungen, verkaufen die Daten aber trotzdem.

Die Details


In den vergangenen 12 Monaten haben Barracuda-Experten 121 Ransomware-Vorfälle identifiziert und analysiert. Im Jahresvergleich entspricht diese Zahl einem Anstieg der Angriffe um 64 %. Wir konnten feststellen, dass Cyberkriminelle ihre Angriffe nach wie vor auf kommunale Behörden sowie Gesundheits- und Bildungseinrichtungen konzentrieren, dass jedoch auch immer öfter andere Unternehmensarten betroffen sind.

Angriffe auf Infrastrukturgesellschaften, Reiseanbieter, Finanzdienstleister und andere Unternehmen machten zwischen August 2020 und Juli 2021 57 % aller Ransomware-Vorfälle aus – im Vergleich zu nur 18 % in unserer Studie aus dem Jahr 2020. Auf infrastrukturbezogene Unternehmen entfallen 11 % aller von uns untersuchten Angriffe. Tatsächlich handelt es sich bei immer mehr Ransomware-Vorfällen um Angriffe auf die Software-Lieferkette, in deren Rahmen mehrere Unternehmen auf einmal infiltriert werden können.

Threat spotlight

 

Wir haben zuvor hervorgehoben, dass Kommunen nicht immer gut auf diese Art von Angriffen vorbereitet sind und häufig mit knappen Budgets, geringem IT-Personal und veralteten Tools zu tun haben. Aber das Problem ist tatsächlich schlimmer, als wir dachten. Beispielsweise werden vertrauenswürdige Softwareanbieter infiziert und ihre Kundendaten missbraucht, sodass es zu einer besorgniserregenden Anzahl an Angriffen aus unerwarteten (weil eigentlich vertrauenswürdigen) Quellen kommt.

Zwar konzentrieren sich Cyberkriminelle bei Ransomware-Angriffen immer noch stark auf Unternehmen in den Vereinigten Staaten, doch unsere Untersuchungen haben ergeben, dass auch der Rest der Welt immer häufiger betroffen ist. Ungefähr die Hälfte der Angriffe der letzten 12 Monate trafen US-Unternehmen (44 %). Im Vergleich dazu: 30 % der Vorfälle erfolgten in EMEA, 11 % in den Ländern des asiatisch-pazifischen Raums, 10 % in Südamerika und 8 % in Kanada und Mexiko.

Ransomware-Angriffe Land

Nutzung von Anwendungsschwachstellen bei Ransomware-Angriffen


Auch die Ransomware-Angriffsmuster entwickeln sich weiter. Anstatt wie bisher schädliche Links und Anhänge zu nutzen, um Ransomware in Systeme einzuschleusen, haben sich Cyberkriminelle neue Taktiken einfallen lassen. Zuerst suchen Angreifer nach Möglichkeiten, durch Phishing-Angriffe Zugangsdaten zu entwenden. Anschließend werden die gestohlenen Zugangsdaten dazu verwendet, die vom Opfer genutzten Webanwendungen zu übernehmen. Sobald die Anwendung kompromittiert wurde, können Angreifer Ransomware und andere Malware in das System bringen. Dies kann dazu führen, dass sowohl das Netzwerk als auch die Systeme anderer Anwendungsnutzer infiziert werden.

Hier sei noch einmal daran erinnert, dass es viele verschiedene Arten von Webanwendungen gibt, zum Beispiel auch solche, die es Benutzern ermöglichen, von zu Hause aus zu arbeiten. Ein Web-Portal für ein Segment Ihrer IT-Infrastruktur ist genauso risikobehaftet wie eine SaaS-Anwendung. Im vergangenen Jahr haben Angreifer in mehreren Fällen eine Anwendungs-Sicherheitslücke ausgenutzt, um die Kontrolle über die jeweilige Anwendungsinfrastruktur zu erlangen und schließlich die wertvollsten Daten zu verschlüsseln.

Bei den von OWASP benannten Top-10-Bedrohungen für die Anwendungssicherheit handelt es sich um Mechanismen, mit denen Angreifer sich Zugang zur Infrastruktur von Unternehmen verschaffen können. Wenn Remote-Mitarbeiter etwa über ein VPN auf ihr Unternehmensnetzwerk zugreifen, birgt das ein erhebliches Risiko, da ihre VPN-Zugangsdaten im Dark-Web offengelegt sein könnten. Zum Beispiel begann der Ransomware-Angriff, der im Mai zum erweiterten Herunterfahren von Colonial Pipeline führte, als Hacker über ein VPN-Konto Zugriff auf das Netzwerk erhielten, indem sie ein kompromittiertes Passwort verwendeten, das im Dark Web gefunden wurde.

Lösegeldforderungen – aktuelle Trends


Wie wir in den letzten Jahren gesehen haben, steigen die geforderten Lösegeldsummen dramatisch an. Die durchschnittliche Forderung pro Angriff liegt mittlerweile bei über 10 Millionen US-Dollar. Bei nur 18 % der Vorfälle wurden weniger als 10 Millionen US-Dollar eingefordert. Bei 30 % der Vorfälle wurden über 30 Millionen US-Dollar erpresst.

Lösegeldforderungen

Seit der breiteren Einführung der Kryptowährung haben wir einen Zusammenhang zwischen zunehmenden Ransomware-Angriffen und höheren Lösegeldbeträgen festgestellt. Da einige Bitcoin-Transaktionen mittlerweile erfolgreich nachverfolgt werden können, sind einige Kriminelle bereits auf alternative Zahlungsmethoden umgestiegen, wie z. B. die Ransomware-Bande REvil, die Monero anstelle von Bitcoin verlangt.

Bei unseren Nachforschungen konnten wir jedoch auch zahlreiche Fälle beobachten, in denen Opfer die Lösegeldzahlungen durch Verhandlungsgespräche reduzieren konnten. JBS gelang es, eine Forderung über 22,5 Millionen US-Dollar auf 11 Millionen US-Dollar herunterzuhandeln. Brenntag, ein deutsches Unternehmen in der Distribution von Chemikalien, überwies seinen Erpressern statt 7,5 Millionen US-Dollar nur 4,4 Millionen US-Dollar. Unternehmen müssen also nicht immer die ursprüngliche Lösegeldforderung bezahlen. Wenn Ransomware-Opfer bereit sind, ein Lösegeld zu zahlen, ist es für sie daher wichtig, sich vorher entsprechende Verhandlungsmethoden anzueignen. Diese Vorgehensweise kann für sie Einsparungen in Millionenhöhe bedeuten.

Es gibt mittlerweile jedoch auch immer mehr Unternehmen, die sich weigern, ein Lösegeld zu zahlen. Das ist wahrscheinlich der Grund, wieso die Lösegeldforderungen in die Höhe schnellen. Dieser Trend führt auch dazu, dass es nun eine bessere Zusammenarbeit mit den Behörden gibt und dass auch professionelle Lösungsverhandlungsführer eingebunden werden. Dem FBI gelang es vor Kurzem etwa, die Bitcoin-Wallets von DarkSide aufzuspüren und dadurch einige der Lösegeldzahlungen zurückzuerlangen. Zahlungen an verbundene Verbrecherorganisationen der Ransomware-Gruppe wurden zudem unterbunden.

Das sind bereits einige ermutigende Entwicklungen im Kampf gegen Ransomware-Angriffe. Neben diesen rechtlichen Maßnahmen ist noch zu erwähnen, dass das Weiße Haus sich direkt an die Staats- und Regierungschefs der Welt gewandt und harte Maßnahmen gegen Akteure gefordert hat, die Cyberkriminelle direkt oder indirekt schützen. Angesichts der öffentlichkeitswirksamen Angriffe der letzten Zeit, insbesondere der auf kritische Infrastrukturen, bin ich der Meinung, dass die US-Regierung es nicht bei Warnungen belassen wird. Sie ist bereit, selbst gegen Nationalstaaten ernsthafte Maßnahmen zu ergreifen, wenn es eindeutige Beweise für Komplizenschaft oder Nachlässigkeit bei der Verfolgung von Cyberkriminellen gibt.

Wie man sich vor Ransomware schützt


Der erste Schritt bei der Bekämpfung von Ransomware besteht ganz einfach darin, davon auszugehen, dass Sie irgendwann selbst zum Opfer werden – dass es also nur eine Frage des Zeitpunkts ist. Als Nächstes müssen Sie sich zum Ziel setzen, den Lösegeldforderungen der Erpresser auf keinen Fall nachzukommen. Um dieses Ziel zu erreichen, müssen Sie anschließend mindestens die folgenden drei Anforderungen erfüllen.

  • Setzen Sie alles daran, um den Verlust von Zugangsdaten zu verhindern. Implementieren Sie Anti-Phishing-Funktionen in Ihrem E-Mail-System und in anderen Zusammenarbeitstools, und schulen Sie kontinuierlich das Bewusstsein Ihrer Benutzer für die E-Mail-Sicherheit.

  • Sichern Sie Ihre Anwendungen und den Zugriff darauf. Neben der Verwendung einer Multi-Faktor-Authentifizierung sollten Sie auch Webanwendungssicherheits-Lösungen für alle Ihre SaaS-Anwendungen und Infrastruktur-Zugangspunkte implementieren. Schwachstellen in Anwendungen sind oft im Code oder in der zugrunde liegenden Infrastruktur versteckt; daher müssen Sie Ihre Anwendungen vor den von OWASP identifizierten Top-10-Bedrohungen schützen. Wenn Ihre Anwendung mit APIs interagiert, sollten Sie auch sicherstellen, dass Sie gegen die von OWASP identifizierten Top-10-Bedrohungen in puncto API-Sicherheit abgesichert sind. Zusätzlich zum Schutz Ihrer Anwendungen sollten Sie den Zugriff Ihrer Benutzer streng kontrollieren. Geben Sie ihnen nur so viele Zugriffsrechte, wie sie wirklich benötigen, um produktiv zu sein. Es empfiehlt sich, Zero Trust Access basierend auf den Sicherheitseinstellungen der Endpunkte zu implementieren.

  • Sichern Sie Ihre Daten. Nutzen Sie eine sichere Data-Protection-Lösung, die für einen stets aktuellen Schutz sorgt, Ihre kritischen Datenbestände identifizieren kann und über Funktionen für den Umgang mit Notfällen sowie Disaster Recovery verfügt. So können Sie Ransomware-Kriminellen die Stirn bieten.


Da Cyberkriminelle ihre Bemühungen wohl zukünftig noch verstärken werden, um höhere Summen erwirtschaften zu können, muss die Sicherheitsbranche neue Lösungen entwickeln, die für Unternehmen jeder Größe einfach nutzbar sind. Angreifer infiltrieren oft zunächst kleinere Organisationen, die mit größeren Unternehmen verbunden sind, und arbeiten sich dann weiter zu ihrem eigentlichen Ziel vor. Ich hoffe inständig, dass wir gemeinsam entsprechende Produkte entwickeln können, die reibungslos miteinander funktionieren, um eine solide Abwehr darzustellen. Und wenn Produkte für ein bestimmtes Marktsegment zu kompliziert sind, müssen wir anspruchsvolle Technologien und Produkte in Dienste umwandeln, die ohne kostspielige und zunehmend schwer zu findende Security-Mitarbeiter genutzt werden können.

Webinar: Die drei Stadien von Ransomware-Angriffen: Threat-Spotlight-Ergebnisse und -Analyse

Fleming Shi

Fleming Shi ist Chief Technology Officer bei Barracuda, wo er die Teams für Bedrohungsforschung und Innovationstechnik des Unternehmens bei der Entwicklung zukünftiger Technologieplattformen leitet. Er hält über 20 ausstehende und erteilte Patente in den Bereichen der Netzwerk- und Content-Sicherheit. Vernetzen Sie sich auf LinkedIn mit ihm.

Verwandte Beiträge:
The alphabet soup of cloud protection
The alphabet soup of cloud protection
 What is Advanced Bot Protection?
What is Advanced Bot Protection?
Threat Spotlight: Sextortion
Threat Spotlight: Sextortion
The third pillar to well-architected AWS cloud security - NetSec (Network Security)
The third pillar to well-architected AWS cloud security - NetSec (Network Security)