Ransomware wird 2021 noch gefährlicher

Ein Unternehmen, das Opfer eines Ransomware-Angriffs wird, ist schnell nicht mehr in der Lage, seine Geschäfte zu führen, weil Cyber-Kriminelle das Netzwerk mit Malware verschlüsseln und damit funktionsunfähig machen.

Die Hacker sperren solche Netzwerke aus einem einfachen Grund: Es ist der schnellste und einfachste Weg, Geld zu erpressen und es ist unwahrscheinlich, dass sie erwischt werden. Die Angreifer fordern eine Lösegeldzahlung im Austausch für den Entschlüsselungsschlüssel für die Dateien.

Im Laufe des Jahres 2020 sind die Erpressungsforderungen gestiegen, wobei Ransomware-Banden nun regelmäßig Millionen von Dollar in Bitcoin von den Opfern fordern. Die bedauerliche Realität ist, dass Ransomware weiterhin erfolgreich ist, weil eine beträchtliche Anzahl von Opfern den Erpressungsforderungen der Kriminellen nachgibt, indem sie das Lösegeld bezahlen.

Obwohl die Polizei und Cybersecurity-Firmen davor warnen, dass Unternehmen nicht an Kriminelle zahlen sollten, haben viele das Gefühl, dass dies der schnellste und einfachste Weg ist, ihr Netzwerk wiederherzustellen und langfristige wirtschaftliche Schäden zu verhindern – obwohl es immer noch viele anhaltende Probleme verursacht.

Ransomware-Banden nutzen zunehmend eine neue Taktik, um die Opfer zur Zahlung zu zwingen: Sie drohen damit, gestohlene Daten des Opfers weiterzugeben, was bedeutet, dass sensible Unternehmensdaten oder persönliche Informationen von Kunden und Klienten schließlich anderen Kriminellen zugänglich gemacht werden.

„Aus der Perspektive eines finanziell motivierten Kriminellen bleibt Ransomware die lukrativste Art von Cyberangriff, vor allem wenn die Opfer hochwertige Unternehmen sind. Ende 2020 intensivieren Cyber-Kriminelle ihre Angriffe, um ihre finanziellen Gewinne zu maximieren und die Chancen zu erhöhen, bezahlt zu werden“, sagt Anna Chung, Cybersecurity Threat Research Analyst für Unit 42 bei Palo Alto Networks.

Ransomware-Angriffe sind mächtiger und lukrativer als je zuvor – in einem solchen Ausmaß, dass fortgeschrittene cyberkriminelle Gruppen dazu übergegangen sind, sie gegenüber ihren traditionellen Formen der Kriminalität einzusetzen – und es ist sehr wahrscheinlich, dass sie im Jahr 2021 noch mehr überhand nehmen.

Was wäre zum Beispiel, wenn Ransomware-Banden viele verschiedene Organisationen gleichzeitig in einem koordinierten Angriff angreifen könnten? Dies würde die Möglichkeit bieten, in kürzester Zeit illegal viel Geld zu verdienen – und eine Möglichkeit, wie bösartige Hacker dies versuchen könnten, ist die Kompromittierung von Cloud-Diensten mit Ransomware.

„Das nächste, was wir sehen werden, ist wahrscheinlich ein größerer Fokus auf die Cloud. Da jeder auf die Cloud umsteigt, hat COVID-19 die Cloud-Implementierung vieler Organisationen beschleunigt, so dass die meisten Organisationen Daten in der Cloud gespeichert haben“, sagt Andrew Rose, Resident CISO bei Proofpoint.

Einen Vorgeschmack auf das Ausmaß der weitreichenden Störungen, die verursacht werden können, sahen wir, als Cyber-Kriminelle den Smartwatch- und Wearable-Hersteller Garmin mit Ransomware angriffen. Der Angriff führte dazu, dass Anwender auf der ganzen Welt tagelang keinen Zugriff auf die Dienste des Unternehmens hatten.

Wenn sich Kriminelle Zugang zu Cloud-Diensten verschaffen könnten, die von mehreren Unternehmen genutzt werden, und diese verschlüsseln, würde dies zu weitreichenden Unterbrechungen bei vielen Unternehmen auf einmal führen. Und es ist durchaus möglich, dass Ransomware-Banden in diesem Szenario zweistellige Millionenbeträge an Erpressungsgeldern fordern würden.

Die zerstörerische Natur von Ransomware könnte auch von Hacking-Aktivitäten ausgenutzt werden, die nicht nur durch Geld motiviert sind. Das erste Beispiel hierfür war 2017, als NotPetya Netzwerke  Schäden in Milliardenhöhe verursachte. Während der Angriff so gestaltet war, dass er wie Ransomware aussah, war die Malware in Wirklichkeit auf reine Zerstörung ausgelegt, da es nicht einmal eine Möglichkeit gab, die Lösegeldforderung zu bezahlen.

NotPetya wurde dem russischen Militär zugeschrieben, und es ist wahrscheinlich, dass auch andere Nationalstaaten diese Taktik nutzen. Für eine Regierung oder ein Militär, das nicht möchte, dass der Feind erfährt, wer hinter einem zerstörerischen Malware-Angriff steckt, könnte es ein nützliches Täuschungsmanöver sein, sich als Cyber-Kriminelle auszugeben.

„Wir haben bereits einen Präzedenzfall gesehen, der von nationalstaatlichen Akteuren geschaffen wurde, die dies genutzt haben, aber was ist, wenn sie den nächsten Schritt machen? Die zerstörerischen Fähigkeiten von Ransomware sind für böswillige Akteure sicherlich attraktiv und sie könnten sie nutzen, um Störungen zu verursachen“, sagt Sandra Joyce, Senior Vice President und Head of Global Intelligence bei FireEye.

„Da Ransomware im kriminellen Untergrund weiter zunimmt, müssen wir uns darüber im Klaren sein, dass die Nationalstaaten dies beobachten und als Waffe ihrer Wahl einsetzen könnten“, fügt sie hinzu.

Ransomware wird weiterhin eine große Bedrohung darstellen, aber Unternehmen können sich davor schützen, indem sie eine kleine Anzahl von relativ einfachen Cybersicherheitspraktiken anwenden.

Sie sollten sicherstellen, dass sie planmäßig und schnell Cybersicherheits-Patches und andere Updates implmentieren. Diese Patches werden oft veröffentlicht, weil Softwareunternehmen auf bekannte Schwachstellen in ihren Produkten aufmerksam geworden sind, die von Cyberkriminellen ausgenutzt werden könnten – durch die schnelle und rechtzeitige Anwendung des Patches wird verhindert, dass böswillige Hacker diese als Mittel zum Einbruch in das Netzwerk nutzen.

Eine weitere Methode, mit der sich Cyberkriminelle Zugang zu Netzwerken verschaffen, ist das Ausnutzen von schwachen Passwörtern, die sie entweder in Dark-Web-Foren kaufen oder einfach durch Erraten gängiger oder Standardpasswörter erlangen.

Um dies zu verhindern, sollten Unternehmen ihre Mitarbeiter dazu ermutigen, komplexere Passwörter zu verwenden. Die Anmeldung sollte über die zusätzliche Sicherheit der Multi-Faktor-Authentifizierung erfolgen, so dass es für einen Eindringling schwieriger wird, Zugang zu einem Netzwerk zu erhalten.

Unternehmen sollten sich auch auf eine Ransomware-Attacke vorbereiten und durchspielen, was passieren könnte, wenn sie Opfer einer Ransomware-Attacke werden. Regelmäßig Backups des Netzwerks zu erstellen und diese offline zu speichern, bedeutet, dass es im schlimmsten Fall möglich ist, es von einem relativ aktuellen Punkt aus wiederherzustellen – und zwar ohne den Forderungen der Cyberkriminellen nachzugeben.

Setzen Sie auf das Air Gap, also die physische Trennung von Netzwerk und Backup. Ein Magnetband, das im Panzerschrank lagert, ist vor Hackern sicher. Und zahlen Sie auf keinen Fall Lösegeld. Denn wenn Hacker-Banden kein Geld mehr mit Ransomware verdienen, haben sie letztlich auch kein Interesse mehr, Kampagne zu fahren.