Mobile-Menu

Cybererpressung im Aufwind Funktionsfähiges Backup bleibt unverzichtbar

Autor / Redakteur: Sergej Epp / Dr. Jürgen Ehneß

Eine neue Studie von Palo Alto Networks und Crypsis zeigt die aktuelle Bedrohungslage durch Ransomware auf – und bekräftigt die Notwendigkeit eines funktionierenden Backups.

Firma zum Thema

Die Cybergangster werden immer dreister und gieriger.
Die Cybergangster werden immer dreister und gieriger.
(Bild: gemeinfrei / Pixabay )

Am 31. März, dem World Backup Day, rückte das Thema Ransomware erneut in den Fokus. Die seit einigen Jahren zunehmende Cyberbedrohung ist mittlerweile Haupttreiber für die Modernisierung der Backup-Lösungen in vielen Unternehmen. Palo Alto Networks und das Crypsis Incident Response Team haben im Rahmen einer gemeinsamen Studie die Ransomware-Bedrohungslandschaft im Jahr 2020 analysiert. Der jüngste Ransomware Threat Report, der kürzlich vorgestellt wurde, enthält Details zu den wichtigsten Ransomware-Varianten, durchschnittlichen Ransomware-Zahlungen, Prognosen und Maßnahmen zur Reduktion des Ransomware-Risikos.

Ransomware ist einfach verfügbar und nutzbar

Angreifer wissen, dass Ransomware, insbesondere basierend auf dem „Ransomware-as-a-Service“-Modell (RaaS), einfach verfügbar und nutzbar ist. Das kriminelle Geschäftsmodell erweist sich als äußerst effektiv und in vielen Fällen als profitabel – sowohl durch direkte Zahlungen als auch durch den Verkauf wertvoller Informationen. Das RaaS-Modell ermöglicht es Cyberkriminellen, vorhandene Ransomware-Software zur Durchführung von Angriffen zu nutzen und so einen Anteil an jeder erfolgreichen Lösegeldzahlung zu verdienen.

Ransomware-Betreiber verschaffen sich weiterhin mit herkömmlichen Methoden Zugang zu den Umgebungen der Opfer, zum Beispiel durch Phishing, schwache oder kompromittierte RDP-Zugangsdaten (Remote Desktop Protocol) und Ausnutzung von Anwendungs-/Software-Schwachstellen. Trotz der größeren Anzahl von Telearbeitern im Jahr 2020 sind diese Zugangstechniken gleichgeblieben. Viele Betreiber kombinieren auch Standard-Malware wie Dridex, Emotet und Trickbot für den Erstzugang. Sobald sie in ein Netzwerk eingedrungen sind, verwenden die Angreifer native Tools wie PSExec und PowerShell, um das Netzwerk aufzuzählen und sich seitlich zu bewegen.

Geldforderungen und Profit steigen

Das durchschnittlich gezahlte Lösegeld für Unternehmen in den USA, Kanada und Europa stieg von 115.123 US-Dollar im Jahr 2019 auf 312.493 US-Dollar im Jahr 2020 – ein Anstieg von 171 Prozent im Vergleich zum Vorjahr. Darüber hinaus verdoppelte sich das höchste gezahlte Lösegeld von fünf Millionen US-Dollar (2019) auf zehn Millionen US-Dollar (2020). In der Zwischenzeit werden die Cyberkriminellen immer gieriger. Von 2015 bis 2019 lag die höchste Ransomware-Forderung bei 15 Millionen US-Dollar, im Jahr 2020 stieg sie auf 30 Millionen US-Dollar.

Bemerkenswert ist, dass die Lösegeldforderungen für Maze im Jahr 2020 durchschnittlich 4,8 Millionen US-Dollar betrugen, ein deutlicher Anstieg im Vergleich zum Durchschnitt von 847.344 US-Dollar für alle Ransomware-Familien im Jahr 2019. Cyberkriminelle wissen, dass sie mit Ransomware viel Geld verdienen können, und werden mit ihren Forderungen immer dreister.

Gesundheitswesen verstärkt im Visier

Die Welt änderte sich mit COVID-19, und Ransomware-Betreiber nutzten die Pandemie, um Unternehmen und sonstige Einrichtungen auszuspionieren. Das Gesundheitswesen, das im Jahr 2020 am häufigsten Ziel von Ransomware war, ist besonders stark betroffen. Die Ransomware-Betreiber waren bei ihren Angriffen dreist und versuchten, so viel Geld wie möglich zu verdienen. Sie wussten, dass Kliniken ihren Betrieb aufrechterhalten müssen, um COVID-19-Patienten zu behandeln und Leben zu retten. Die Kliniken konnten es sich nicht leisten, auf ihre Systeme zu verzichten, und waren daher eher bereit, Lösegeld zu zahlen.

Trend zur doppelten Erpressung

Ein üblicher Ransomware-Angriff besteht darin, dass der Ransomware-Betreiber Daten verschlüsselt und das Opfer zur Zahlung eines Lösegelds zwingt, um sie zu entsperren. Bei einer doppelten Erpressung verschlüsseln und stehlen die Ransomware-Betreiber Daten, um das Opfer weiter zu zwingen, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden. Diese Hosting-Standorte werden von den Ransomware-Betreibern erstellt und verwaltet. Mindestens 16 verschiedene Ransomware-Varianten drohen jetzt damit, Daten preiszugeben oder Leak-Sites zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. Einige Ransomware-Betreiber beweisen ihr Wissen über die Netzwerkumgebung eines Opfers zusätzlich, indem sie die Daten in Form von Verzeichnissen oder Dateibäumen anzeigen.

Mehrere Ransomware-Familien, wie NetWalker, RagnarLocker, DoppelPaymer und viele andere, haben ihre Fähigkeit zur Exfiltration von Daten und zur Verwendung doppelter Erpressungstechniken bereits gezeigt. Die Ransomware-Familie, die sich diese Taktik am häufigsten zunutze machte, war NetWalker. Von Januar 2020 bis Januar 2021 ließ NetWalker Daten von 113 Angriffszielen weltweit durchsickern und übertraf damit andere Ransomware-Familien bei weitem. RagnarLocker lag an zweiter Stelle und machte Daten von 26 Angriffszielen weltweit zugänglich. Das US-Justizministerium hatte im Januar 2021 bekannt gegeben, internationale Strafverfolgungsmaßnahmen zu koordinieren, um die NetWalker-Ransomware-Bande zu zerschlagen. Die von den NetWalker-Betreibern verwaltete Dark-Web-Domain, auf der die geleakten Daten gehostet wurden, ist nicht mehr zugänglich.

Wie lässt sich das Ransomware-Risiko reduzieren?

Die Abwehr von Ransomware-Angriffen erfordert teilweise ähnlich Maßnahmen wie der Schutz vor anderer Malware, mit einem stärkeren Fokus auf Backup und Wiederherstellung.

Die Gefahr lauert oft im E-Mail-Eingang

Die meisten Ransomware-Varianten verschaffen sich den Zugang zum fremden Netzwerk via E-Mail. Unternehmen sollten ihre Benutzer daher für die E-Mail-Sicherheit sensibilisieren. Ebenso sinnvoll sind technische Maßnahmen zur Erkennung und Beseitigung bösartiger E-Mails, sobald diese in das Postfach eines Mitarbeiters gelangen. Unternehmen sollten auch sicherstellen, dass sie ein ordnungsgemäßes Patch-Management durchführen, und überprüfen, welche Dienste möglicherweise dem Internet ausgesetzt sind. Remote-Desktop-Dienste sollten korrekt konfiguriert und abgesichert werden, wobei nach Möglichkeit das Prinzip der geringsten Privilegien angewandt werden sollte, mit einer Richtlinie zur Erkennung von Mustern, die mit Brute-Force-Angriffen verbunden sind.

Funktionsfähiger Backup- und Wiederherstellungsprozess ist unverzichtbar

Unternehmen sollten ihre Daten stets sichern und einen geeigneten Wiederherstellungsprozess einrichten. Ransomware-Betreiber werden gezielt Backups vor Ort verschlüsseln, daher sollten Unternehmen dafür sorgen, dass alle Backups sicher offline vorgehalten werden. Wiederherstellungsprozesse müssen implementiert und mit wichtigen Beteiligten geprobt werden, um Ausfallzeiten und Kosten im Falle eines Ransomware-Angriffs zu minimieren.

Umfassende Sicherheitskontrollen reduzieren das Risiko

Die effektivsten Formen des Schutzes vor Ransomware sind Endpunktsicherheit, URL-Filterung oder Web-Schutz, erweiterte Bedrohungsabwehr (unbekannte Bedrohungen/Sandboxing) und Anti-Phishing-Lösungen, die in allen Unternehmensumgebungen und auf allen Geräten eingesetzt werden. Diese Lösungen garantieren zwar keinen vollständigen Schutz, aber sie reduzieren das Risiko einer Infektion durch gängige Varianten erheblich. Zudem stehen verschiedene Optionen bereit, so dass mindestens eine der Sicherheitskomponenten im Ernstfall greift.

Ransomware dürfte weiter zunehmen

Der einfache Weg zum Erfolg bei Ransomware-Angriffen dürfte dazu beitragen, dass weitere finanziell motivierte Akteure in der nächsten Zeit darauf aufspringen werden. Die Angreifer sind ständig auf der Suche nach Unternehmen, die sie ins Visier nehmen können. Sie wissen, dass Ransomware nicht nur effektiv ist, sondern mittlerweile durch das As-a-Service-Modell mit geringem Aufwand verbunden ist. Hinzukommt das geringe Risiko, entdeckt zu werden. Die Forscher von Palo Alto Networks und Crypsis gehen daher davon aus, dass immer mehr Akteure das RaaS-Modell nutzen werden, um Geld zu erpressen. Unternehmen sollten die genannten Maßnahmen, also Risikosensibilisierung, eine effektive Strategie für Backup und Wiederherstellung sowie den Einsatz von Cybersicherheitslösungen, konsequent umsetzen.

Über den Autor

Sergej Epp ist Chief Security Officer und Cyber Security Advisor bei Palo Alto Networks.

(ID:47412425)