DDoS und Ransomware: Eine weit verbreitete und potente Mischung

Ende März veröffentlichte das FBI einen Bericht, in dem die Taktik einer Ransomware-Bande beschrieben wird, die es auf Opfer in kritischen Infrastrukturbereichen wie Finanzdienstleistungen, Fertigung und Regierung abgesehen hat.[1] In einigen Fällen, so das FBI, drohen Ransomware-Betreiber während der Verhandlungen über die Auszahlung mit DDoS-Angriffen (Distributed denial-of-service) und führen diese aus.

Die Warnung ist der jüngste Beweis für die zunehmende Raffinesse von Ransomware-Banden, die sich von der primären Verwendung von Verschlüsselung, um die Dateien von Unternehmen als Geiseln zu nehmen, zu einer Kombination aus Verschlüsselung und Datendiebstahl entwickelt haben und in jüngster Zeit auch DDoS in den Mix integrieren. Diese Banden starten nicht nur ihre eigenen Angriffe, sondern verkaufen ihre Software oft als Ransomware-as-a-Service (RaaS) an andere Kriminelle.

Infolgedessen werden Ransomware-Angriffe immer häufiger und vielfältiger. Und sie sind für ihre Opfer bereits unglaublich kostspielig. Die durchschnittlichen Gesamtkosten eines Ransomware-Angriffs beliefen sich im Jahr 2021 auf 4,62 Millionen US-Dollar, so der IBM Cost of a Data Breach Report.[2]Mit einem (angedrohten oder tatsächlichen) DDoS-Angriff wird die Cyber-Erpressung auf die nächste Stufe gehoben.

Wie DDoS Ransomware in die Höhe treibt

DDoS-Exploits - bei denen Angreifer einen gezielten Server, einen Dienst oder ein Netzwerk mit einer Flut von Datenverkehr von mehreren Systemen überwältigen - gehören zu den ältesten Formen von Cyberangriffen. In den Anfängen wurden sie möglicherweise für Hacktivismus oder Cyber-Vandalismus eingesetzt. Letztendlich entwickelten sich DDoS zu einem Instrument der Cyber-Kriegsführung und Erpressung.

DDoS-Bedrohungen sind zwar nie verschwunden, aber die zunehmende Maschine-zu-Maschine-Kommunikation und das wachsende Netz potenziell ungesicherter verbundener Geräte haben es Cyberkriminellen in den letzten Jahren ermöglicht, leistungsfähigere Botnet-gestützte DDoS-Ansätze zu entwickeln.[3] Die Covid-19-Pandemie führte zu einem Anstieg der DDoS-Angriffe, wie aus einem Bericht von CSO hervorgeht, und in den letzten zwei Jahren hat sich die Methode der alten Schule stärker denn je durchgesetzt - sowohl in Bezug auf die Anzahl als auch den Umfang der Angriffe.[4]

DDoS kann auf verschiedene Weise Teil der Cyber-Erpressung werden. In einigen Fällen haben Cyberkriminelle den Angriff selbst (oder die Drohung damit) zu Erpressungszwecken eingesetzt, indem sie die Netzwerke eines Unternehmens mit dem Angebot lahmgelegt haben, für den richtigen Preis nachzugeben. Diese Methode hat eine niedrigere Einstiegshürde als die Kopplung von DDoS mit Verschlüsselung, da DDoS-Dienste im Dark Web für nur 7 US-Dollar pro Angriff erhältlich sind, wie CSO betont. Wenn Unternehmen mit der Zeit immer besser in der Lage sind, verschlüsselungsbasierte Ransomware-Angriffe zu verhindern, könnte die direkte DDoS-Erpressung zunehmen.[5]

Kleinere, gezieltere DDoS-Angriffe können auch als Deckung für die Infiltration von Malware oder die Exfiltration von Daten dienen, die für die Ausnutzung einer Ransomware erforderlich sind.[6] Dann gibt es noch den vom FBI beschriebenen Ansatz, bei dem Ransomware-Banden mit einem DDoS-Angriff drohen (oder ihn starten), um die Opfer während der Verhandlungen unter Druck zu setzen. Bei dieser als "dreifache Erpressung" bezeichneten Methode verschlüsseln die Angreifer die Daten des Unternehmens und exfiltrieren sie oft, und wenn das Opfer das Lösegeld nicht zahlt, nutzen sie einen DDoS-Angriff als zusätzliche Überzeugungsmaßnahme.[7]

E-Mail-Sicherheit: Die erste Verteidigungslinie

Die rohe Gewalt der DDoS-Angriffe und der auf Verschlüsselung basierenden Ransomware - einzeln oder in Kombination - wird wahrscheinlich in nächster Zeit nicht nachlassen. Während Cyberkriminelle mit ihren Bemühungen immer mehr Erfolg haben, kann man sich vor diesen Angriffen nur durch einige seit langem bekannte bewährte Praktiken in Bezug auf die E-Mail-Infrastruktur und die Wachsamkeit des Posteingangs schützen.

Die große Mehrheit der Cyberangriffe beginnt mit einer Phishing-E-Mail an ein ahnungsloses Opfer.[8] Laut einer Empfehlung der Cybersecurity and Infrastructure Security Agency aus dem Jahr 2021 ist die E-Mail der wichtigste Infektionsvektor für Ransomware-Vorfälle.[9] Eine E-Mail verleitet den Empfänger dazu, infizierte Anhänge zu öffnen, auf bösartige Links zu klicken oder seine Passwörter preiszugeben. Einige Ransomware-Programme nutzen E-Mails auf neue Weise (z. B. gelangen sie über verschlüsselte E-Mails in Netzwerke), um E-Mail-Sicherheitsfilter zu umgehen.

Bei DDoS-Angriffen versenden die Angreifer möglicherweise personalisierte E-Mails, in denen sie einen Angriff androhen, um Geld zu erpressen oder, wenn ein Verschlüsselungsangriff bereits im Gange ist, um Unternehmen, die das geforderte Lösegeld nur langsam herausgeben, doppelt zu treffen. Der DDoS-Angriff selbst beginnt oft mit der Infektion von per E-Mail versandter Malware, die sich selbst im Netzwerk ausbreiten kann.

Da die Bösewichte E-Mails als Einfallstor nutzen, müssen sich die Abwehrmaßnahmen auf E-Mail-Sicherheitstechnologie als primäre Präventionsmaßnahme konzentrieren. Tools mit Funktionen wie der gezielte Bedrohungsschutz von Mimecast halten sich über die gängigsten Cyberkriminalitätstechniken von Hackern auf dem Laufenden - bösartige URLs, als Waffe eingesetzte Anhänge und Social Engineering -, während sie alle eingehenden E-Mails scannen und verdächtige E-Mails blockieren, unter Quarantäne stellen oder kennzeichnen, um Angriffe auf das Netzwerk eines Unternehmens zu verhindern. Sicherheitstechnologien können auch dazu beitragen, DDoS-Angriffe zu verhindern, die direkt darauf abzielen, die E-Mail-Infrastruktur eines Unternehmens lahmzulegen.

Die Quintessenz

Cyber-Angreifer sind immer auf der Suche nach effektiveren - und profitableren - Angriffsvektoren, die sie verfolgen können. Zurzeit stehen hybride Ransomware-Ansätze mit Verschlüsselung und DDoS ganz oben auf der Liste. Um Ihr Unternehmen zu schützen, ist es wichtig, über diese sich entwickelnden Bedrohungen informiert zu bleiben und in Technologien zur Abwehr dieser Bedrohungen zu investieren. Informieren Sie sich unter über die E-Mail-Sicherheitsoptionen von Mimecast und sehen Sie, wie sie Ihnen helfen können.

[1] "Joint Cybersecurity Advisory: Indicators of Compromise Associated with AvosLocker Ransomware," FBI

[2] "Cost of a Data Breach Report 2021," IBM

[3] "Der Aufstieg von DDoS: Überflutete Netzwerke, Ausfallzeiten und wie man den Schutz verbessert," Infosecurity Magazine

[4] "DDoS-Angriffe: Stärker denn je und zunehmend für Erpressung genutzt," CSO

[5] "Denial of Service Attacks Expected to Get Bigger, Nastier," Data Center Knowledge

[6] "How Ransomware is Teaming Up with DDoS," Infosecurity Magazine

[7] "Willkommen in der neuen Welt der dreifach erpresserischen Ransomware," Security Magazine

[8] "91 % aller Cyberangriffe beginnen mit einer Phishing-E-Mail an ein unerwartetes Opfer," Deloitte

[9] "CISA, FBI, NSA und internationale Partner geben einen Hinweis auf Ransomware-Trends ab 2021 heraus," Cybersecurity and Infrastructure Security Agency