Eskalation bei Ransomware-Attacken

Die Einschläge werden dichter. Alle elf Sekunden wird ein Unternehmen Opfer von Ransomware, so eine Untersuchung von Cybersecurity Ventures. Immer raffiniertere Cyberattacken wirken sich sogar auf unser tägliches Leben aus – von Angriffen auf Krankenhäuser bis hin zu Unterbrechungen der Kraftstoff- und Lebensmittelversorgung. Um weitreichende Folgen zu vermeiden, benötigen Unternehmen moderne Datenmanagementlösungen, die in der Lage sind, kritische Systeme und Prozesse schnell wiederherzustellen und gleichzeitig die Ausfallzeiten erheblich zu verringern.

Cyberkriminelle werden immer aggressiver. Um sich ihr erpresstes Geld zu sichern, haben sie ihre Taktik im Laufe der Zeit geändert: Heute gehen sie über das Verschlüsseln von Produktions- und Sicherungsdaten hinaus. Sie stehlen – oder genauer gesagt „exfiltrieren“ – sensible Unternehmensdaten und drohen damit, sie im Rahmen sogenannter „doppelter Erpressung“ im Darkweb zu veröffentlichen.

Vom Aufstieg der Ramsonware

Der Anstieg von Ransomware-Angriffen lässt sich zum Teil auf die zunehmende Verbreitung von Kryptowährungen zurückführen. Denn mit deren Hilfe können Cyberkriminelle ihre Angriffe nahezu anonym durchführen, nicht nachverfolgbare Zahlungen fordern und in vielen Fällen das Lösegeld problemlos eintreiben. Diese Anonymität förderte die erste Generation von Ransomware, sozusagen „Ransomware 1.0“ – die WannaCry-Ära.

Ransomware 1.0-Varianten wie WannaCry zielten auf Produktionsdaten ab und verschlüsselten diese. Backup-Systeme wurden schnell zur De-facto-Lösung gegen diese Form der Bedrohungen. Unternehmen, die ihre Daten mit Lösungen wie Cohesity schützten, konnten Funktionen nutzen, die ihnen nicht nur eine schnelle Reaktion auf Angriffe ermöglichten, sondern auch eine rasche Wiederherstellung ohne jede Lösegeldzahlung.

Als die Wiederherstellung von Daten aus Backup-Tools, um die Zahlung des Lösegelds zu vermeiden, immer mehr zum Standard wurde, waren die Cyberkriminellen gezwungen, ihren Ansatz zu ändern. Zusätzlich zu User- und Produktionsdaten nahmen sie nun auch die Backup-Daten und -Systeme ins Visier, was zur Entstehung von „Ransomware 2.0“ führte.

Cyberkriminelle setzten Ransomware 2.0-Varianten wie DarkSide und Ryuk ein, um aggressiv die Backup-Datensätze anzugreifen, die bei unterschiedlichen Legacy-Backup-Anbietern gespeichert sind. Bei der Analyse des Quellcodes von DarkSide stellten Sicherheitsforscher fest, dass der Code dazu verwendet wurde, die Daten verschiedener Backup-Lösungen, Sicherheitsdienste und wichtiger Microsoft-Dienste wie VSS und SQL Server zu deaktivieren oder zu löschen, bevor ein Angriff auf die Produktionskopien der Daten erfolgte. Mit modernen Datenmanagementlösungen wie Cohesity können Unternehmen ihre Backup-Daten davor schützen.

Doch was ist mit der Bedrohung durch Datenexfiltration? Laut einer Studie von Covewave wurden bei 80 Prozent der Ransomware-Angriffe im zweiten Quartal 2021 angeblich Daten von Cyber-Kriminellen gestohlen. Fast zwei Drittel der betroffenen Unternehmen bestätigen, dass sie ein Lösegeld gezahlt haben, damit ihre sensiblen Daten nicht an die Öffentlichkeit gelangen. Dies stellt die nächste Stufe der Angreifertaktik dar und führt zum Aufkommen von „Ransomware 3.0“.

Ransomware-Angriffe sind im Allgemeinen zerstörend, aber die Datenexfiltration hebt die Bedrohung auf eine neue Ebene. Nach Angaben von IBM Security belaufen sich die durchschnittlichen Kosten von Datenschutzverletzungen auf fast 4,24 Millionen US-Dollar. Zusätzlich zu den direkten Kosten für die Beseitigung der Auswirkungen, den behördlichen Sanktionen und der Aufklärungsarbeit, umfassen diese Kosten auch den Schaden, den eine Datenpanne für die Marke und den Ruf eines Unternehmens bei Kunden, Lieferanten, Partnern und Mitarbeitern bedeutet.

Entschärfung der Bedrohung mit Lösungen zur Datenresilienz

Um den Schaden solcher Ransomware einzudämmen, gehen führende Anbieter von Next-Gen-Datenmanagement-Lösungen wie Cohesity in ihren Architekturen zur Abwehr von Bedrohungen über den Zero-Trust-Ansatz hinaus. Strenge Multi-Faktor-Authentifizierungstechnologien, die Verschlüsselung von Daten bei der Übertragung und im Ruhezustand sowie Unveränderbarkeit sorgen für Datenresilienz. Diese Abwehrarchitektur bietet einen ganzheitlichen Ansatz für die frühzeitige Erkennung von Bedrohungen und eine schnelle Wiederherstellung. Sie spielen für Unternehmen eine Schlüsselrolle, um Datensicherheit und Governance zusammenzuführen.

Angesichts von Ransomware 3.0 können Unternehmen proaktive Maßnahmen ergreifen, um Cyberbedrohungen einzudämmen. Dazu sollten sie ihre Sicherheitsvorkehrungen auf ein solides Fundament stellen: Nötig sind Prozesse, die bekannte Schwachstellen schnell beheben, und gleichzeitig gewährleisten, dass Produktions- und Backup-Daten verschlüsselt und zuverlässig vor unbefugtem Zugriff geschützt sind.

Rundum geschützt vor Cyberangriffen mit Hilfe von KI und Automatisierung

Es versteht sich von selbst, dass Cybersecurity für Unternehmen sowohl die Produktions- als auch die Backup-Systeme abdecken muss. Aus diesem Grund sind unveränderliche Backups, die so konzipiert sind, dass sie nicht manipuliert werden können, heute unabdingbar. Zusätzlich zu den Abwehrmaßnahmen müssen auch Investitionen getätigt werden, um die Auswirkungen eines Angriffs zu verringern. Im Falle von Ransomware gehört dazu die Fähigkeit, einen Angriff so früh wie möglich zu erkennen. Dies kann durch die Überwachung quellseitiger Daten in der Produktion mit Hilfe von KI und ML geschehen. KI-basierte Scans erkennen Anomalien nahezu in Echtzeit.

Es ist außerdem entscheidend, dass Unternehmen die Ausfallzeiten von kritischen Systemen im Falle eines erfolgreichen Cyberangriffs erheblich reduzieren. Dazu brauchen sie offensive, dynamische Recovery-Zeiten und -Ziele und eine automatisierte Failover- und Failback-Orchestrierung. Die Unternehmen sollten diese geschäftskritischen Wiederherstellungsprozesse unbedingt testen. Das schließt die die Wiederherstellung von Systemen und Umgebungen sowie Übungen mit denjenigen, die den gesamten Prozess ausführen, mit ein.

Auch soziale Ausbeutung ist weiterhin eine Schlüsselmethode, mit der Cyberkriminelle Ransomware-Angriffe verbreiten. Investitionen in regelmäßige Mitarbeiterschulungen und Sensibilisierungsprogramme tragen zu einer „Security-first“- Mentalität bei und schließen diese Lücke in der Cyberabwehrkette.

Welche Bedrohungen kommen noch auf uns zu?

Die Weiterentwicklung von Ransomware hat uns gelehrt, dass Cyberkriminelle ihre Taktiken ständig ausbauen. Eine moderne Datenmanagementtechnologie ist daher für die Präventionsbemühungen der Unternehmen von entscheidender Bedeutung. Dazu braucht es die Funktionen einer Next-Gen-Datenmanagementplattform, wie unveränderbare Backups und Verschlüsselung in Kombination mit einer robusten Wiederherstellungsstrategie und der Implementierung einer Multi-Faktor-Authentifizierung. Diese bieten Unternehmen einen Weg, die Bedrohung durch Ransomware 3.0 und darüber hinaus zu bekämpfen.

Jakob Jung

Recent Posts

FBI warnt vor MedusaLocker

Mehrere US-Strafverfolgungsbehörden haben MedusaLocker ins Visier genommen, eine Ransomware-Bande, die es auf Organisationen im Gesundheitswesen…

22 Stunden ago

Diskussion um Zahlungsverbot bei Ransomware

Ransomware-Erpresser fordern Lösegeldzahlungen und viele Unternehmen knicken ein. In einem offenen Brief fordern Forscher ein…

24 Stunden ago

Kampf der Papierflut

Wie Scanner für effizientes und nachhaltiges Arbeiten am Erzbischöflichen Berufskolleg Köln sorgen, erläutert Frank Mihm-Gebauer,…

2 Tagen ago

NASA entdeckt Raketeneinschlag auf dem Mond

Die NASA entdeckt einen Doppelkrater auf dem Mond, der durch einen mysteriösen Raketenabsturz verursacht wurde.…

2 Tagen ago

ZuoRAT greift Router an

Die ausgeklügelte Malware ZuoRAT hat es auf Router abgesehen, um in Netzwerke einzudringen und nutzt…

2 Tagen ago

Sicherheitsrisiko Schatten-IoT

Schatten-IT im Internet der Dinge (IoT) verbirgt zahlreiche Risiken. Mirko Bülles, Director TAM bei Armis,…

3 Tagen ago