Ransomware: Bedrohung bleibt

Ransomware hat sich zu einer echten Bedrohung gemausert. Was einst eine kleine cyberkriminelle Branche war, die sich darauf konzentrierte, Dateien auf PCs zu verschlüsseln und ein Lösegeld von ein paar hundert Dollar für einen Entschlüsselungsschlüssel zu verlangen, hat sich zu einem massiven Ökosystem entwickelt, das darauf ausgerichtet ist, kritische Dienste und Infrastrukturen zu erpressen – und Erpressungsforderungen in Höhe von Millionen von Dollar zu stellen.

Ransomware entwickelt sich ständig weiter, es tauchen neue Varianten auf, neue Ransomware-Gruppen entstehen, und neue Techniken und Taktiken werden entwickelt, um mit den Angriffen möglichst viel Geld zu verdienen.

Und wie die jüngsten Conti-Ransomware-Leaks gezeigt haben, sind die erfolgreichsten Ransomware-Banden so organisiert wie jede andere Gruppe von Softwareentwicklern. „Sie verhalten sich wirklich wie ein Unternehmen. Abgesehen von der Tatsache, dass sie nicht rechtmäßig registriert sind, sind sie es wirklich. Sie funktionieren wie ein echtes Unternehmen, und manchmal ist die Zahl der Mitarbeiter in diesen Organisationen größer als bei manchen Start-ups“, sagt Christine Bejerasco, CTO bei WithSecure. „Sie haben sich als sehr widerstandsfähig und flexibel erwiesen, wenn es darum ging, sich an neue Gegebenheiten anzupassen“, fügt sie hinzu.

Diese Widerstandsfähigkeit und Anpassungsfähigkeit hat zu einer Reihe von Ransomware-Angriffen auf der ganzen Welt geführt, bei denen die Cyber-Kriminellen oft mit Millionen von Dollar davongekommen sind. Und das sind nur die Ransomware-Vorfälle, von denen wir hören – viele werden einfach nicht gemeldet.

„Die größte Herausforderung besteht darin, dass wir die tatsächlichen Trends nicht kennen, da die meisten Unternehmen keine Vorfälle melden“, sagt Brett Callow, Bedrohungsanalyst bei Emsisoft. „Man kann nicht verwalten, was man nicht misst.“

Ransomware-Angriffe gegen kleinere Opfer bleiben unentdeckt

Während Ransomware-Angriffe auf große Organisationen bemerkt werden, wird ein Ransomware-Angriff auf ein kleines oder lokales Unternehmen, bei dem das Opfer schnell das Lösegeld zahlt, weil es das Gefühl hat, keine andere Wahl zu haben, möglicherweise überhaupt nicht gemeldet.

Einzelne Angriffe auf kleinere Ziele bringen nicht so viel Geld ein wie ein erfolgreicher Angriff auf ein großes Unternehmen, aber durch die Verkettung einer Reihe von Angriffen auf eine Reihe kleinerer Opfer können Ransomware-Angreifer dennoch einen beträchtlichen Gewinn erzielen.

Es ist unwahrscheinlich, dass kleine und mittlere Unternehmen so viel in die Cybersicherheit investieren wie große Unternehmen, so dass es einfacher sein könnte, in Netzwerke einzudringen. Das bedeutet, dass Ransomware-Gruppen innerhalb kurzer Zeit mehrere Ziele angreifen können, was entscheidend ist, wenn sie so viel Geld wie möglich verdienen wollen.

„Das bedeutet, dass sie vom anfänglichen Eindringen bis zur erfolgreichen Erpressung viel schneller vorankommen müssen“, sagt Callow, der darauf hinweist, dass es für Cyberkriminelle noch einen weiteren Vorteil hat, kleinere Unternehmen anzugreifen.

„Angriffe auf kleine Unternehmen ziehen möglicherweise nicht die gleiche Aufmerksamkeit auf sich – wenn sie auf lokale Lebensmittelläden abzielen, ist das Risiko, vom US Cyber Command verfolgt zu werden, möglicherweise etwas geringer“, sagt er.

Nach dem Angriff auf die Colonial Pipeline hat das US-Justizministerium den Großteil des gezahlten Lösegelds in Höhe von mehreren Millionen Dollar verwaltet, beschlagnahmt und zurückgegeben. Und obwohl es immer noch selten vorkommt, dass Personen, die an Ransomware-Angriffen beteiligt sind, aufgespürt oder verhaftet werden, ist es möglich, dass dieses direkte Vorgehen gegen die Fähigkeit der DarkSide-Ransomware-Bande, Geld zu verdienen, die Einstellung der Cyberkriminellen verändert hat.

„Seit diesem Ereignis haben die Bedrohungsakteure ihr Weltbild ein wenig geändert. Sie haben Konsequenzen gesehen, die sie bis zu diesem Zeitpunkt noch nicht kannten“, erklärt Sherrod DeGrippo, Senior Director of Threat Research and Direction bei Proofpoint. „Seitdem haben wir andere große Ransomware-Ereignisse gesehen, aber es gibt weniger wahllose Attacken als in der Vergangenheit gesehen haben“, fügt sie hinzu.

Ransomware ist laut – es gibt leiseren Alternativen

Banden könnten immer noch den Grundstein für eine neue Welle von Ransomware-Angriffen legen – oder, wie DeGrippo andeutet, einige Hackergruppen könnten ihre Aufmerksamkeit auf andere Cyberangriffe richten, die weniger laut, aber dennoch profitabel sind.

„Wir werden sehen, dass der anfängliche Zugang in großem Umfang genutzt wird, so dass es sich vielleicht um Ransomware-Nutzlasten im Endstadium handelt, vielleicht aber auch um etwas anderes – wir könnten eine große Rückkehr zu Banking-Trojanern erleben“, sagt sie und fügt hinzu: „Es gibt Optionen, die viel leiser sind, unter dem Radar, die immer noch beträchtliche Zahltage bieten, aber nicht die Aufmerksamkeit der Strafverfolgungsbehörden auf sich ziehen.“

Trojaner-Malware ermöglicht es Cyberkriminellen, sensible Informationen von Opfern zu stehlen, darunter auch Bankkontodaten, was ihnen die Möglichkeit gibt, direkt Geld von den Opfern zu stehlen.

Es gibt noch ein weiteres Problem, das einige Cyberkriminelle, die Ransomware einsetzen, dazu bewegen könnte, diesen Weg einzuschlagen: Kryptowährungen sind unbeständig. Eine Lösegeldzahlung in Bitcoin, die aufbewahrt wird, könnte also viel weniger wert sein, als die Angreifer erwarten. Für Cyberkriminelle könnte es verlockend sein, ihre Aufmerksamkeit auf die Verwendung von Malware zu richten, um wieder Bargeld zu stehlen.

„Wenn Sie einem Bedrohungsakteur sagen, dass Sie heute das Äquivalent von einer Million Dollar in Bitcoin oder eine Million Dollar in harter Währung aus einem Banktrojaner erhalten können, der dorthin transferiert wird, wo Sie Ihre Geldwäsche betreiben – ich denke, viele von ihnen würden sofort das Bargeld nehmen“, sagt DeGrippo.

Das bedeutet jedoch nicht, dass Ransomware in absehbarer Zeit verschwinden wird. Auch wenn einige ihren Blick woanders hinwenden, sind Ransomware-Angriffe immer noch ein lukratives Mittel, um illegal Geld zu verdienen – und Ransomware-Angriffe entwickeln sich ständig weiter.

Ransomware-Gruppen fokussieren Cloud-Anwendungen

Es scheint unvermeidlich, dass einige der raffiniertesten, gut ausgestatteten Ransomware-Banden ihre Aufmerksamkeit auf die Kompromittierung von Cloud-Service-Anbietern richten könnten, und zwar in Angriffen, die nicht nur ein Unternehmen, sondern Tausende betreffen würden.

Dieser Ansatz würde den Angreifern viel Spielraum geben, um von ihrem Ziel eine hohe Lösegeldforderung zu verlangen – eine Forderung, die aufgrund der weit verbreiteten Störung schnell bezahlt werden könnte.

„Wenn Ransomware-Angreifer in diese Richtung gehen, die Daten in der Cloud verschlüsseln und Lösegeld fordern, können Sie sich dann vorstellen, dass alle Kundendaten eines Dienstes verschlüsselt werden, weil es ihnen gelungen ist, auf ein Unternehmen zuzugreifen und alle Daten zu verschlüsseln? Das würde ein Unternehmen in die Knie zwingen“, sagt WithSecure-Mitarbeiter Bejerasco.

Wie Sie Ihr Netzwerk vor Ransomware-Angriffen schützen können

Ransomware ist eine große Bedrohung für die Cybersicherheit, aber es gibt Maßnahmen, die Unternehmen aller Größenordnungen ergreifen können, um zu verhindern, dass sie zu Opfern werden. In den meisten Fällen haben es Ransomware-Banden nicht auf ein bestimmtes Ziel abgesehen, sondern nutzen Sicherheitsschwachstellen aus, wo immer sie sie finden können.

Deshalb ist es wichtig, Sicherheitsupdates und Software-Patches so schnell wie möglich zu installieren, vor allem, wenn sie kritische Schwachstellen beheben, denn das verhindert, dass Cyberkriminelle sie ausnutzen, um sich Zugang zu Netzwerken zu verschaffen oder dort zu bleiben. Das Einspielen von Sicherheitsupdates für ganze Netzwerke kann eine Herausforderung sein, aber es ist eine der wichtigsten Maßnahmen, die eine IT-Abteilung ergreifen kann, um das Unternehmen vor Cyberangriffen zu schützen.

Die Multi-Faktor-Authentifizierung (MFA) kann ebenfalls einen wichtigen Schutz vor Ransomware und anderen Cyberangriffen bieten. Viele Ransomware-Kampagnen beginnen damit, dass Cyber-Kriminelle Benutzernamen und Passwörter stehlen und diese ausnutzen, um sich in Netzwerken zu bewegen. Die Einführung von MFA für Benutzer macht es Cyberkriminellen schwerer, gestohlene Passwörter zu verwenden. Unerwartete Anmeldebenachrichtigungen können darauf hinweisen, dass etwas nicht stimmt und untersucht werden muss.

Es ist auch sinnvoll, dafür zu sorgen, dass die Mitarbeiter eindeutige, komplexe Passwörter verwenden, die nicht leicht zu erraten – oder mit Brute-Force-Angriffen zu knacken – sind, um das Netzwerk so robust wie möglich gegen unbefugtes Eindringen zu machen.

Und da Ransomware auf der Verschlüsselung von Daten basiert, ist es wichtig, dass Unternehmen ihre Daten regelmäßig sichern – und zwar offline. Wenn dann das Schlimmste passiert und das Netzwerk von Ransomware befallen wird, besteht die Möglichkeit, die Daten wiederherzustellen, ohne ein Lösegeld an die Cyberkriminellen zu zahlen, obwohl die Zunahme von Angriffen mit doppelter Erpressung bedeutet, dass gestohlene Daten immer noch veröffentlicht werden könnten, weil das Lösegeld nicht gezahlt wird.

Strafverfolgungsbehörden und Regierungsvertreter raten Unternehmen dringend davon ab, Lösegeldforderungen zu zahlen. Dies fördert nicht nur weitere Ransomware-Angriffe, sondern Sie wissen auch nicht, an wen Sie zahlen – und Ihr Geld könnte an einen sanktionierten Staat oder einen Schurkenstaat gehen.

Unabhängig davon, ob sich ein Opfer für die Zahlung eines Lösegelds entscheidet oder nicht, ist es laut DeGrippo wichtig, dass im Voraus ein Plan für das weitere Vorgehen erstellt wird – denn eine im Voraus festgelegte Strategie ist viel besser als eine, die in Panik erstellt wird, nachdem man Opfer eines Ransomware-Angriffs geworden ist.

„Jedes Unternehmen muss schon lange vor einem Ransomware-Ereignis entscheiden, wie es damit umgehen will, und dazu gehört auch der Betrag, den man zahlen will oder nicht“, sagt sie. „Diese Diskussionen sind nicht gerade lustig. Aber sie sind unglaublich verheerend und schmerzhaft, wenn sie während eines Ransomware-Vorfalls geführt werden.“