Threat Spotlight: Die unbekannten Ransomware-Geschichten

Ransomware ist in einem Jahr, das von geopolitischer Unsicherheit und Chaos geprägt ist, weiterhin eine Bedrohung für Unternehmen aller Größenordnungen. Das Jahr 2022 begann mit dem Krieg in der Ukraine und seitdem wurde aus der Absicht der Cyberkriminellen, sich bei vielen aufsehenerregenden Cyberangriffen rein finanziell zu bereichern, das Bestreben, so viel Störungen und Schaden wie möglich zu verursachen.

Ransomware-Angriffe grassieren weiterhin. Manchmal entpuppen sie sich als Wellen von Wiperware. Unsere Forscher analysierten zwischen August 2021 und Juli 2022 viel beachtete Ransomware-Angriffe und stellten eine Zunahme der Angriffe auf alle der am häufigsten betroffenen Branchen fest, bei denen sich insbesondere die Angriffe auf kritische Infrastrukturen vervierfachten.

Neben diesen großen Angriffen, die für Schlagzeilen sorgen, gibt es jedoch noch zahlreiche weitere kleine Unternehmen, die im Stillen mit Ransomware kämpfen und versuchen, sich nach erfolgreichen Angriffen zu erholen. Um ein Licht auf diese unbekannten Geschichten über Ransomware zu werfen, haben wir in diesem Jahr auch Daten und Beispiele von unserem SOC-as-a-Service-Team gesammelt. Dabei haben wir uns das Volumen der Angriffe angesehen, die das SOC aufgedeckt hat, und die Anzahl der Ransomware-Vorfälle, bei deren Behandlung sie Unternehmen geholfen haben.

Das Volumen der vom SOC entdeckten Ransomware-Bedrohungen stieg zwischen Januar und Juni dieses Jahres auf über 1,2 Millionen pro Monat an. Die Zahl der tatsächlichen Ransomware-Vorfälle stieg vergleichsweise im Januar sprunghaft an und ging dann im Mai zurück.

In diesem Threat Spotlight untersuchen wir die Ransomware-Angriffsmuster, die wir bei unserer Analyse der Angriffe während dieser 12 Monate identifiziert haben und informieren Sie über unsere Erkenntnisse zur Vorbeugung und Wiederherstellung.

Bedrohung im Fokus

Ransomware – Cyberkriminelle verwenden betrügerische Software, die per E-Mail-Anhang oder Link in ein System eingeschleust wird, um das Netzwerk zu infizieren und E-Mails, Daten und andere wichtige Dateien zu verschlüsseln, bis ein Lösegeld gezahlt wird. Diese raffinierten Angriffe, die stetig weiterentwickelt werden, sind schädlich und kostspielig. Sie können den täglichen Geschäftsbetrieb lahmlegen, allgemeines Chaos verursachen und zu finanziellen Verlusten durch Ausfallzeiten, Lösegeldzahlungen, Wiederherstellungskosten und andere nicht budgetierte und unvorhergesehene Ausgaben führen.

Im Jahr 2021 kam der Trend der doppelten Erpressung auf, bei dem Angreifer sensible Daten ihrer Opfer stehlen und eine Zahlung im Gegenzug für das Versprechen verlangen, die Daten nicht zu veröffentlichen bzw. an andere Kriminelle zu verkaufen. Darüber hinaus haben wir in unserer diesjährigen Studie Fälle gefunden, in denen Angreifer nun eine Verspätungsgebühr oder Verzugsstrafe fordern, wenn Lösegeldzahlungen nicht umgehend geleistet werden.

Die Details

Bei den 106 öffentlich bekannt gewordenen Angriffen, die unsere Experten analysiert haben, sind die vorherrschenden Ziele nach wie vor fünf Schlüsselindustrien: Bildung (15 %), Gemeinden (12 %), Gesundheitswesen (12 %), Infrastruktur (8 %) und Finanzwesen (6 %).

Die Anzahl der Ransomware-Angriffe hat sich im Vergleich zum Vorjahr in jeder dieser fünf Branchen erhöht und die Angriffe auf andere Branchen haben sich im Vergleich zum Vorjahr mehr als verdoppelt.

Während die Angriffe auf Gemeinden nur geringfügig zunahmen, ergab unsere Analyse der letzten 12 Monate, dass sich die Ransomware-Angriffe auf Bildungseinrichtungen mehr als verdoppelt und die sich Angriffe auf die Gesundheits- und Finanzbranche verdreifacht haben.

Angriffe im Zusammenhang mit Einrichtungen der Infrastruktur haben sich vervierfacht, was ein Zeichen dafür ist, dass die Cyberkriminellen beabsichtigen, einen größeren Schaden anzurichten, der über die Auswirkungen auf das unmittelbare Opfer hinausgeht. Dies führt mir vor Augen, wie anfällig wir alle für potenzielle Cyberangriffe sind, die von Nationalstaaten unterstützt werden, da diese Bedrohungsakteure sind, die es mit großer Wahrscheinlichkeit auf Infrastruktur-Ziele abgesehen haben.

In diesem Jahr haben wir die viel beachteten Angriffen eingehender untersucht, um herauszufinden, welche anderen Branchen allmählich ins Visier genommen werden. Aus den folgenden Diagrammen können Sie entnehmen, dass Serviceanbieter am stärksten betroffen waren (14 %). Unabhängig davon, ob sie IT-Services oder andere Unternehmensservices anbieten, sind diese Arten von Organisationen aufgrund des Zugriffs auf die Systeme ihrer Kunden attraktive Ziele für Ransomware-Banden. Der Zugang zu Opfern vervielfacht sich, wenn die Angreifer mit ihrer Strategie zu landen und sich auszubreiten Erfolg haben.

Ransomware-Angriffe auf Organisationen in den Bereichen Automobilindustrie, Gastgewerbe, Medien, Einzelhandel, Software und Technologie haben ebenfalls zugenommen und werden von uns weiter beobachtet.

Beachten Sie, dass unsere Daten zwischen August 2021 und Juli 2022 keine Ransomware-Angriffe auf Cybersecurity-Unternehmen zeigen. Der kürzlich aufgedeckte Angriff auf Cisco wurde erst Mitte August bestätigt und war daher nicht in unserem Datensatz enthalten.

Die wichtigsten Erkenntnisse

Im vergangenen Jahr haben die Strafverfolgungsbehörden mehr Ransomware-Zahlungen sichergestellt und die Zusammenarbeit zwischen den Vereinigten Staaten und der Europäischen Union bei der Bekämpfung von Ransomware wurde intensiviert.

Daher überrascht es mich, dass Ransomware-Angreifer angesichts dieses staatlichen Durchgreifens nicht aufgeben und das Ransomware-Geschäft weiterhin mit ausgedehnten Erpressungsversuchen betreiben.

Ich bin auch verwundert, dass es wir immer noch viele erfolgreiche Angriffe auf VPN-Systeme ohne stärkere Authentifizierungssysteme sehen. Die rasche Umstellung auf externes Arbeiten aufgrund der COVID-19-Pandemie hat dies als einen Schwachpunkt vieler Organisationen aufgedeckt. Es leuchtet ein, dass Cyberkriminelle weiterhin versuchen werden, diese Schwachstellen auszunutzen, aber die Unternehmen hatten genug Zeit, ihre Authentifizierung zu verbessern.

Die gute Nachricht ist, dass wir bei unserer Analyse der viel beachteten Angriffe feststellten, dass weniger Opfer Lösegeld gezahlt haben und mehr Unternehmen dank besserer Abwehrmaßnahmen standhalten konnten, insbesondere bei Angriffen auf kritische Infrastruktur.

Die Zusammenarbeit mit dem FBI und anderen Strafverfolgungsbehörden zeigt ebenfalls Wirkung. Ich glaube, dass die Angriffe auf kritische Infrastruktur ein Weckruf für die Behörden waren, der sie dazu drängte, Maßnahmen zu ergreifen und dass die Vereinbarungen zwischen verschiedenen Nationalstaaten und Regierungsvertretern ein kollaboratives Umfeld für die Bekämpfung dieser Verbrechen geschaffen haben.

Drei Ransomware-Angriffe in der Praxis

Die meisten Ransomware-Angriffe machen allerdings keine Schlagzeilen. Viele Opfer entscheiden sich dafür, nicht bekannt zu geben, wenn sie betroffen sind, und die Angriffe sind oft häufig sehr ausgeklügelt und für kleine Unternehmen äußerst schwer zu handhaben. Um einen genaueren Blick darauf zu werfen, wie sich Ransomware auf kleinere Unternehmen auswirkt, lassen Sie uns drei Beispiele durchgehen, die wir in unserem SOC-as-a-Service gesehen haben, auf die Anatomie jedes Angriffs eingehen und Lösungen erörtern, die eventuell die Angriffe stoppen hätten können.

Fallstudie 1: BlackMatter

Anfänglicher Bedrohungsvektor: Angreifer nutzten eine im August 2021 gesendete Phishing-E-Mail, um eines der Konten des Opfers zu kompromittieren. Von dort aus weiteten sie ihren Angriff auf das Ziel aus, indem sie die Infrastruktur scannten und seitlich infiltrierten, um schließlich Hacking-Tools zu installieren und Daten zu stehlen.

Lösegeldforderung: Das Unternehmen erhielt die Lösegeldforderung im September 2021 und wandte sich über seinen Managed Service Provider an das SOC-as-a-Service-Team, um Hilfe zu erhalten.

Eindämmung und Analyse: Das SOC-Team analysierte Ereignisprotokolle, setzte EDR-Tools ein, isolierte infizierte Systeme und stellte einen Kontakt zum FBI her. Das Team richtete auch Geoblocking in der Firewall des Unternehmens ein, integrierte sie zur Überwachung und implementierte ein Zurücksetzen des Passworts.

Wiederherstellung: Die verschlüsselten Rechner wurden vom Backup wiederhergestellt und die betroffenen Rechner wurden wieder online geschaltet. Eine vollständige Kontoprüfung wurde durchgeführt und die Multifaktor-Authentifizierung wurde aktiviert.

Lösegeldzahlung: In diesem Fall entschied sich das Unternehmen für die Zahlung des Lösegelds und handelte eine Bitcoin-Zahlung in Höhe der Hälfte der ursprünglichen Forderung aus. Leider wurden die gestohlenen Daten einige Wochen später von den Cyberkriminellen weitergegeben.

Fallstudie 2: Karakurt

Anfänglicher Bedrohungsvektor: Im Oktober 2021 führte ein Brute-Force-Angriff auf eine VPN-Anmeldeseite zur Kompromittierung mehrerer Domain-Controller. Die Cyberkriminellen nutzten dann das Remote-Desktop-Protokoll (RDP), um in die kompromittierten Systeme einzudringen. Im November 2021 begannen die Angreifer, die Firewall-Regeln zu ändern.

Lösegeldforderung: Das Unternehmen erhielt die Lösegeldforderung im Januar 2022 und wandte sich über seinen Managed Service Provider an das SOC-as-a-Service-Team, um Hilfe zu erhalten.

Incident Response: Das Team analysierte Ereignisprotokolle und isolierte die infizierten Systeme. Auf der Firewall wurde Geoblocking eingerichtet und die Indikatoren für die Kompromittierung (IOC), die gefunden wurden, wurden blockiert. Datenspeicher-Cloud und Remote-Desktop-Apps wurden blockiert. Der Kunde wurde in die Überwachung einbezogen, das kompromittierte Konto wurde zurückgesetzt und es wurden spezielle SIEM-Regeln erstellt.

Wiederherstellung: Das Unternehmen arbeitete mit einem Drittanbieter für Wiederherstellung und Forensik zusammen.

Gestohlene Daten: Die bei dem Angriff gestohlenen Daten wurden im Februar 2022 online veröffentlicht.

Fallstudie 3: Lockbit

Anfänglicher Bedrohungsvektor: Die SSLVPN-Anmeldeseite hatte keine Multifaktor-Authentifizierung und die Angreifer konnten mit gestohlenen Zugangsdaten eindringen. Die Cyberkriminellen verwendeten dann bösartige PowerShell-Skripte und installierten dynamische Link-Bibliotheken (DLL) auf Systemebene, um weitere Zugangsdaten zu stehlen und Passwörter zu sammeln.

In diesem Fall führten mehrere Ausfälle in ihrer Security-Aufstellung zu schwerwiegenderen Folgen, darunter ein kompromittiertes System mit nicht unterstütztem Windows 7, für das Microsoft die Security-Updates im Januar 2020 eingestellt hatte. Ein kompromittiertes Administratorkonto führte zum Verlust weiterer Zugangsdaten und schließlich zu einem Golden-Ticket-Angriff, der dem Angreifer zusätzlichen Zugriff auf die Domain-Ressourcen verschaffte, während er gleichzeitig extrem unauffällig blieb.

Lösegeldforderung: Im April 2021 erhielt das Unternehmen die Lösegeldforderung und wandte sich über seinen Managed Service Provider an das SOC-as-a-Service-Team, um Hilfe zu erhalten.

Incident Response: Das Team analysierte Ereignisprotokolle und öffentlich zugängliche Server, stellte verdächtige Dateien unter Quarantäne und baute Active Directory neu auf.

Was diese Angriffe gemein haben

Es gibt einige Ähnlichkeiten zwischen diesen Angriffen, die erkannt werden sollten:

• Diese Angriffe waren kein eintägiges oder einwöchiges Ereignis. Sie wurden über mehrere Monate durchgeführt.
• VPN wird ständig ins Visier genommen. Warum? Weil es zu Ihrer Infrastruktur und Ihren Assets führt.
• Zugangsdaten werden entweder durch Phishing-Angriffe gestohlen oder im Dark Web gekauft.
• Die Verknüpfungen Ihrer E-Mail-Zugangsdaten mit Microsoft 365 sind zwar praktisch, bedeuten aber auch, dass SSO zu vielen potenziellen Routen in Ihre Infrastruktur führt.

Durch Überlagerung der drei Fallstudien mit dem MITRE ATT&CK Framework können Sie sehen, über welche Ressourcen und Tools die Angreifer verfügen. Jede Kombination dieser Tools und Methoden kann eine Herausforderung für den Schutz Ihres Unternehmens mit sich bringen und es gibt Hunderte von möglichen Kombinationen.

So schützen Sie sich vor Ransomware-Angriffen

Sie können jetzt fünf Schritte unternehmen, um sich vor dieser Art von Angriff zu schützen:

• Makros deaktivieren – Verhindern Sie die Ausführung von Makros, indem Sie Makro-Skripte in Microsoft Office-Dateien deaktivieren, die per E-Mail übertragen werden.
• Netzwerksegmentierung einrichten –Die Implementierung einer robusten Netzwerksegmentierung trägt dazu bei, die Verbreitung von Ransomware einzudämmen, falls diese in Ihr System gelangt.
• Entfernen Sie nicht verwendete oder nicht zugelassene Anwendungen – Untersuchen Sie nicht zugelassene Software, insbesondere Remote-Desktop- oder Remote-Monitoring-Software, die Anzeichen für eine Kompromittierung sein könnten.
• Schutz-Services für Web-Applikation und API verbessern – Schützen Sie Ihre Web-Applikationen vor böswilligen Hackern und bösartigen Bots, indem Sie Schutz-Services für Web-Applikation und API aktivieren, einschließlich Distributed Denial of Service (DDoS)-Schutz.
• Zugriffskontrolle für Backups verstärken – Das Backup sollte offline sein/Cloud-Zugangsdaten sollten sich von normalen Zugangsdaten unterscheiden.

Regelbasierte Sicherheitslösungen sind unzureichend gegenüber dieser Art von Angriffen und deren Entwicklung. Wenn sich die Angriffsfläche ausdehnt, ist künstliche Intelligenz erforderlich, um sowohl die Wirksamkeit zu steigern als auch das Verhalten dieser Angriffe zu verstehen.

Der Schutz vor Ransomware kann überraschend einfach sein.