Ein Leitfaden für sich entwickelnde Ransomware-Typen
Ransomware-Angriffe sind auf dem Vormarsch, und die Arten von Ransomware ändern sich ständig. Wir schlüsseln die Bedrohung auf und helfen Ihnen, Ihr Unternehmen zu schützen.
Wichtige Punkte
- Ransomware ist zu einer der häufigsten und schädlichsten Bedrohungen für die Cybersicherheit in einer Wirtschaft geworden, in der viele Menschen im Ausland arbeiten.
- Angreifer haben in der Regel Ransomware eingesetzt, um die Daten ihrer Opfer zu verschlüsseln und von den Unternehmen Zahlungen zu verlangen, um die Kontrolle über ihre Netzwerke und Informationen wiederzuerlangen.
- Es gibt jedoch keine einheitliche Methode für dieses Verbrechen, da sich die Ransomware-Typen ständig weiterentwickeln.
Ransomware-Angriffe haben in den Jahren 2020-21 stark zugenommen. Die nächtliche Verlagerung zur Telearbeit ließ den Unternehmen wenig Spielraum, um ihre IT-Sicherheit auf Herz und Nieren zu prüfen oder ihre Mitarbeiter angemessen zu schulen, um potenzielle Bedrohungen in der neuen Umgebung zu erkennen, was einer Welle von Angriffen durch opportunistische Cyberkriminelle Tür und Tor öffnete.
Mehr als ein Drittel der Unternehmen weltweit gaben kürzlich an, in den letzten 12 Monaten von einem Ransomware-Angriff betroffen gewesen zu sein. Dies geht aus einer Umfrage der International Data Corp. hervor. [1] Mimecasts State of Email Security 2021 (SOES) zeigte, dass Ransomware Unternehmen auf vielen Ebenen schadet. Erstens mussten sie nach einem Angriff durchschnittlich sechs Tage Ausfallzeit in Kauf nehmen. Zweitens waren viele Unternehmen letztlich gezwungen, Lösegeld zu zahlen, um die Kontrolle über ihre IT-Systeme wiederzuerlangen und den Betrieb wieder aufzunehmen. Drittens wurden sensible Daten preisgegeben; oft wurden sie nicht einmal zurückgegeben, wenn ein Lösegeld gezahlt wurde.
Was die Sache noch schlimmer macht, ist die Tatsache, dass die Kriminellen ständig ihre Arbeitsweise ändern, d. h. ihre Taktiken, Techniken und Verfahren anpassen. Verschiedene kriminelle Banden und ihre "Marken" von Ransomware tauchen plötzlich auf der Bildfläche auf, zum Teil durch den Verkauf von Ransomware-as-a-Service (RaaS) an andere Kriminelle auf dem Schwarzmarkt. Eine Marke kann verschwinden, um dann neu kodiert, umbenannt und als neue Art von Ransomware wieder auf den Markt gebracht zu werden. Sogar "altbekannte" Cyberangriffe wie Distributed Denial of Service (DDoS) wurden für Ransomware umgewidmet.
All dies führt dazu, dass Sicherheitsexperten ein ständiges Aufholspiel spielen. Dieser Artikel befasst sich mit dem aktuellen Stand der Dinge in vier Bereichen:
- Grundlagen: Was genau ist Ransomware heute?
- Vektoren: Wie infizieren Ransomware-Angreifer ihre Ziele?
- Typen: Was sind einige der neuesten Ransomware-Typen?
- Antwort: Wie können Sie Ihr Unternehmen vor Ransomware-Angriffen schützen?
Was ist Ransomware?
Ransomware ist eine bösartige Software, die von Bedrohungsakteuren eingesetzt wird, um Menschen oder Organisationen gegen Bezahlung als Geiseln zu nehmen. Aber selbst die grundlegenden Strategien von Ransomware ändern sich heute, und zwar auf folgende Weise:
- Verschlüsselung: Ransomware-Angriffe verschlüsseln in der Regel Dateien auf den Computern oder Netzwerken der Zielpersonen, so dass sie nicht mehr zugänglich sind, und die Opfer werden aufgefordert, für die Wiederherstellung der Daten zu bezahlen. Mit der Entwicklung von Ransomware sind jedoch auch andere Ansätze entstanden.
- Datendiebstahl: Anstatt Daten zu verschlüsseln, extrahieren immer mehr Angreifer Dateien und drohen, sie im Dark Web zu verkaufen, wenn kein Lösegeld gezahlt wird.
- Hybride: Einige Angreifer haben erkannt, dass Sicherheitsexperten ihre Backup- und Wiederherstellungssysteme verbessert haben, und verschlüsseln Daten und stehlen Dateien, um die Wahrscheinlichkeit zu erhöhen, dass sie Lösegeld erhalten.
- Wiper-Malware: Bei diesen Angriffen verschlüsseln die Bedrohungsakteure Daten und fordern möglicherweise ein Lösegeld. Ihr Hauptziel ist es jedoch, Daten zu zerstören, zu stören und möglicherweise Cyberspionage zu vertuschen. Alle betroffenen Daten sind selbst für die Angreifer unwiederbringlich, und die Zahlung eines Lösegelds bringt sie nicht zurück.
- DDoS-Erpressung: Lange Zeit ruhend, ist die Verwendung von DDoS in letzter Zeit wieder aufgetaucht, um Lösegeldzahlungen zu erzwingen, indem Websites oder Server mit zu viel Datenverkehr überflutet werden , bis die Zahlung eingegangen ist. Manchmal werden DDoS-Bedrohungen mit den anderen oben genannten Strategien kombiniert.
Verschiedene Vektoren: Wie dringen Ransomware-Angreifer ein?
Die Zunahme der Fernarbeit hat Ransomware in mehrfacher Hinsicht neu definiert, auch was die Angriffsvektoren betrifft. Auch wenn die Schätzungen über die Verbreitung der einzelnen Vektoren variieren, sind diese derzeit am weitesten verbreitet:
- Remote-Desktop-Protokoll (RDP): Dies ist ein Protokoll, das Server mit Remote-Desktops verbindet, unter anderem für den IT-Support. Die Netzwerke von Unternehmen sind gefährdet, wenn RDP-Ports im Internet offen gelassen oder nur schwach geschützt werden. RDP-Schwachstellen sind heute der wichtigste Angriffsvektor für Ransomware.
- Virtuelle private Netzwerke (VPNs): VPNs sind nicht immer so sicher wie nötig, vor allem, wenn die Sicherheitsteams der Unternehmen ihre VPN-Software nicht auf dem neuesten Stand halten, wenn die Hersteller Patches zur Behebung von Sicherheitslücken veröffentlichen.
- E-Mail: E-Mails sind bei Erpressern mal mehr, mal weniger beliebt, gehören aber nach wie vor zu den drei wichtigsten Angriffsvektoren, wobei Phishing-E-Mails die Opfer dazu verleiten, infizierte Anhänge zu öffnen, auf bösartige Links zu klicken oder Passwörter preiszugeben. Manche Ransomware nutzt E-Mails auf neue Art und Weise, z. B. indem sie über verschlüsselte E-Mails in Netzwerke eindringt (wie sie z. B. von Finanzdienstleistern verschickt werden), um E-Mail-Sicherheitsfilter zu umgehen.
Was Ransomware so ruchlos macht, ist die Tatsache, dass Cyberkriminelle, sobald sie sich Zugang zu einem einzelnen Computer in Ihrem Unternehmen verschafft haben, auf Ihr gesamtes Netzwerk übergreifen und Malware einsetzen, um Daten von mehreren Geräten und Netzwerken zu verschlüsseln oder zu stehlen. Die Auswirkungen einer Netzwerkverletzung können sich schnell ausbreiten und Abteilungen und ganze Unternehmen für Tage oder Wochen lahmlegen, bis die Bedrohung beseitigt oder das geforderte Lösegeld gezahlt ist.
Arten von Ransomware
Diese jüngste Schlagzeile unterstreicht die Geschwindigkeit, mit der sich die Arten von Ransomware verändern: "Eine große Ransomware-Bedrohung ist gerade verschwunden. Jetzt ist eine andere aufgesprungen, um die Lücke zu füllen." [2] Die Bedrohungslandschaft von Ransomware-Banden und -Typen ist ständig in Bewegung. Einige prominente Bedrohungsakteure sind vor kurzem offline gegangen, aber es wird erwartet, dass sie mit neuen Taktiken und unter neuen Namen wieder auftauchen werden.
Avaddon ist ein Beispiel für einen weit verbreiteten RaaS, der vor kurzem abgeschaltet wurde. Avaddon-Angreifer nutzten Phishing- und E-Mail-Spam-Kampagnen, um bösartige Dateien zu übermitteln, wobei sie vorgaben, dass die Anhänge tatsächlich kompromittierende Fotos enthielten. [3] Sie drohten damit, die Dateien der Opfer zu veröffentlichen und DDoS-Angriffe zu starten. Berichten zufolge waren fast 3.000 Opfer betroffen.
Zu den Berichten über andere große RaaS-Marken, die in letzter Zeit zurückgegangen sind, gehören Egregor, Darkside und REvil, unter anderem aufgrund des Drucks der Strafverfolgungsbehörden. Doch wie die obige Schlagzeile bereits andeutet, wurde die entstandene Lücke durch andere Ransomware-Typen gefüllt, z. B. durch eine aktualisierte Version von LockBit. Es heißt, dass die LockBit-Angreifer RDP- und VPN-Schwachstellen ausnutzen und nach dem Eindringen Tools verwenden, mit denen sie sich Zugang zum Netzwerk verschaffen und Ransomware installieren können.
Zu weiterer neuer oder umbenannter Ransomware gehören PayloadBIN, [4] BlackMatter, mehrere Ausnutzer der Windows PrintNightmare-Druckerschwachstelle [5] - und eine Reihe anderer, die ein Sicherheitsexperte als "Ransomware-Gangs und die Ablenkung durch Namensspiele" bezeichnete. [6] Eine weitere neue Entwicklung ist, dass einige Cyber-Angreifer Zugang als Service (AaaS) verkaufen. Bei einer Form von AaaS verkauft ein Angreifer, nachdem er für seine Zwecke in ein Unternehmen eingedrungen ist, diesen Zugang an andere Akteure.
Vor allem aber ist klar, dass sich Ransomware und ihre Täter immer weiter ausbreiten. Einem Bericht zufolge übertrafen die Angriffe in den ersten sechs Monaten des Jahres 2021 die des gesamten Jahres 2020. [7]
Wie Sie Ihr Unternehmen vor Ransomware-Angriffen schützen können
Unternehmen müssen ihre Daten und Netzwerke schützen, einschließlich E-Mail-Konten und Archive mit einer Fülle sensibler Informationen. Ratschläge dazu gibt es zuhauf, darunter Mimecast's Ransomware Kit . Aber der Schutz vor Ransomware läuft oft auf die grundlegenden Best Practices hinaus: Aufbau von Cyber-Resilienz . "Die Verwendung eines mehrschichtigen Sicherheitsansatzes, eines bewährten Kontinuitäts- und Wiederherstellungsplans und eine Rückkehr zu den Grundlagen ist die beste Methode, um sich gegen Ransomware zu verteidigen", so Carl Wearn, Head of Risk & Resilience, E-Crime & Cyber Investigation bei Mimecast.
Angesichts der rasanten Entwicklung von Ransomware haben einige dieser Praktiken heute höchste Priorität, darunter die folgenden:
- Kennen Sie den Feind: Verfolgen Sie laufend Warnungen und andere Informationsquellen von Regierungen und privaten Sicherheitsforschern, die Cyberkriminalität verfolgen.
- Kennen Sie sich aus: Erkennen und beheben Sie Schwachstellen und Schwachstellen, die ausgenutzt werden könnten, und halten Sie sich auf dem Laufenden, wenn Ihre Anbieter Software-Patches veröffentlichen.
- Plan für die Wiederherstellung: Ein Kontinuitätsplan mit sicheren Backups kann Ihre Verluste begrenzen und Sie sogar in eine bessere Verhandlungsposition gegenüber Erpressern versetzen.
- Versammeln Sie Ihre Mitarbeiter: Die Schulung und Sensibilisierung der Mitarbeiter sollte eine ständige Geschäftsanforderung sein, mit messbaren Zielen und Ergebnissen.
- Verhindern Sie Querbewegungen: Segmentieren Sie Ihr Netzwerk und trennen Sie operative und nicht-operative Daten.
Die Quintessenz
Die Bedrohung durch Ransomware war noch nie so groß wie heute, und die beschleunigte Entwicklung von Ransomware-Typen verschärft die Gefahr. Nach Einschätzung des Threat Centers ist es sehr wahrscheinlich (≈80 % - ≈90 %), dass es im kommenden Jahr vermehrt zu Angriffen kommen wird, da Gruppen davon profitieren wollen, bevor eine unvermeidliche Regulierung in Gang kommt oder die Durchsetzung Ransomware als Form der Erpressung unwirksam macht. Wenn Sie die Art der Angriffe, mit denen Sie konfrontiert sind, kennen und eine Strategie zur Sicherung der Cyber-Resilienz verfolgen, können Sie sich in diesem schwierigen Umfeld am besten vor Ransomware schützen.
[1] " IDC Survey Finds More Than One Third of Organizations Worldwide Have Experiented a Ransomware Attack or Breach ," International Data Corp.
[2] " Eine große Ransomware-Bedrohung ist gerade verschwunden. Jetzt ist eine andere aufgesprungen, um die Lücke zu füllen ," ZDNet
[3] " Laufende Kampagne mit Avaddon-Ransomware ," Australian Cyber Security Center
[4] " New Evil Corp Ransomware Mimics PayloadBin Gang to Evade U.S. Sanctions ," Bleeping Computer
[5] " Ransomware-Bande nutzt PrintNightmare, um in Windows-Server einzudringen ," Bleeping Computer
[6] " Ransomware-Banden und die Ablenkung durch Namensspiele ," KrebsonSecurity
[7] "Über 304,7 Millionen Rekord-Ransomware-Angriffe in nur 6 Monaten, stellt das gesamte Jahr 2020 in den Schatten ," SonicWall
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!