E-Mail-Sicherheit

    Ransomware-Taktiken entwickeln sich weiter

    Die Flut von Ransomware hat in letzter Zeit nachgelassen, aber die Bedrohung bleibt bestehen, da die Angreifer ihre Vorgehensweise ändern. Lernen Sie, wie Sie sich gegen ihre neuesten Taktiken verteidigen können.

    by Stephanie Overby
    75BLOG_1-1.jpg

    Wichtige Punkte

    • Ransomware-Vorfälle sind im letzten Jahr zurückgegangen, aber die Angriffe werden immer skrupelloser. 
    • Um Zahlungen zu erzwingen, belästigen Angreifer nun Unternehmen, bringen Server zum Absturz und zerstören Daten. 
    • Planung, Schulung und Automatisierung sind die besten Werkzeuge, um mit der Entwicklung von Ransomware-Banden Schritt zu halten. 

    Ransomware mag in letzter Zeit das Rampenlicht an identitätsbasierte Angriffe abgegeben haben, aber das ist kein Grund für Verteidiger, ihre Wachsamkeit zu verlieren. Böswillige Akteure entwickeln ihre Taktiken weiter, um sich an neue Tools und Maßnahmen zur Abwehr ihrer Angriffe anzupassen. 

    Die verstärkten Abwehrmaßnahmen haben sich als nützlich erwiesen, um Unternehmen vor den gängigsten Ransomware-Taktiken zu schützen. Die Auswirkungen von Ransomware sind also nicht mehr so hoch wie in den Anfängen der Fernarbeit während der Pandemie, als Gesundheits- und Forschungseinrichtungen zur Zielscheibe von Cyberkriminellen wurden. Die Umfrage von Mimecast State of Email Security 2023 (SOES 2023) ergab, dass die Zahl der Unternehmen weltweit, die von einer erheblichen Beeinträchtigung des Geschäftsbetriebs durch einen Ransomware-Angriff berichten, von 38 % im Vorjahr auf 29 % zurückgegangen ist.  Eine Reihe von Faktoren, darunter eine stärkere Cybersicherheit, Datensicherungen und eine verbesserte Reaktion auf Vorfälle, führten im Jahr 2022 zu einem Rückgang sowohl der Ransomware-Angriffe als auch der Zahlungen .

    Das bedeutet jedoch nicht, dass Ransomware-Banden auf dem Rückzug sind. Vielmehr schreiben sie ihre Spielpläne neu. Zu den neueren Methoden gehören die Rekrutierung von Insidern für ihre Angriffe, die Belästigung und der direkte Diebstahl oder die Zerstörung von Daten, um die Opfer in Zugzwang zu bringen, und die Verdoppelung der Angriffsvektoren während der Auszahlungsverhandlungen und darüber hinaus. Infolgedessen müssen die Unternehmen auch ihre Cyberabwehr ausbauen und ihre Reaktionspläne für Zwischenfälle verstärken.

    Die Entwicklung von Ransomware

    Ransomware hat seit 1989, als ein Biologe die Teilnehmer einer AIDS-Forschungskonferenz per Diskette mit einem Trojaner-Virus infizierte und einen Scheck über 189 Dollar verlangte, viele Evolutionssprünge gemacht.[1] In den letzten Jahren ist Ransomware zum Mainstream geworden, da sich Cyberkriminelle die zunehmende Vernetzung und Digitalisierung zunutze machen.

    Da die Unternehmen stärkere Cyber-Abwehrmechanismen aufgebaut und ihre Reaktions- und Wiederherstellungspläne verbessert haben (angetrieben durch strengere Cyber-Versicherungsvorschriften und strengere behördliche Auflagen), reicht es nicht mehr aus, die Daten eines Unternehmens einfach nur zu sperren, um einen großen Gewinn zu erzielen. Die Bösewichte mussten ihr Vorgehen überdenken. Zu den neueren Trends bei Ransomware-Angriffen gehören unter anderem: 

    • Insiderhandel: Jetzt, da Unternehmen ihre Verteidigungsmaßnahmen verstärkt haben und es schwieriger geworden ist, einzudringen, rekrutieren böswillige Akteure Insider für ihre Angriffe. Anstatt eine Hintertür zu öffnen und über einen Phishing-Angriff oder eine bekannte Software-Schwachstelle in das Netzwerk einzudringen, gehen sie eine Partnerschaft mit jemandem ein, der legitimen Zugang zum Netzwerk und gültige Anmeldedaten hat, um eine Tür für sie offen zu halten. Eine prominente Cybergang warb sogar dreist im Dark Web und bot bis zu 1 Million Dollar für Informationen über Software-Schwachstellen, die sie ausnutzen könnte.[2] Karmischerweise wurde die Bande selbst Opfer eines eigenen Insiders, der ihre profitablen Ransomware-as-a-Service-Dateien an die Öffentlichkeit gelangen ließ.[3]
    • Taktiken mit verbrannter Erde: Da sich immer mehr Unternehmen weigern, Lösegeld zu zahlen - die Rate der Opfer, die Lösegeld zahlen, fiel in den letzten drei Jahren von 76 % auf 41 %[4] - haben die Angreifer den Druck erhöht. Anstatt leise zu verhandeln, belästigen die Angreifer nicht nur ihre Opfer, sondern auch die Kunden ihrer Opfer, um Zahlungen zu erzwingen. Der Einsatz von Schikanen war von 1 % der Angriffe im Jahr 2021 auf 20 % Ende 2022 angestiegen.[5] Destruktive Angriffe, bei denen die betroffenen Daten komplett gelöscht werden, anstatt sie lediglich zu verschlüsseln, bis das Opfer für einen Entschlüsselungsschlüssel bezahlt, werden ebenfalls immer beliebter, um Zahlungen zu erzwingen. Eine Organisation - ein Ableger der Bande, die 2021 einen Ransomware-Angriff durchführte, der eine US-amerikanische Treibstoffpipeline lahmlegte - testet angeblich Ransomware, die Daten automatisch zerstört.[6]
    • Mehrere Fronten: Die Bösewichte haben auch verschiedene Taktiken entwickelt, um Zahlungen von widerstrebenden Zielen zu erzwingen, sogar von Organisationen, die Datensicherungen eingerichtet haben, um Erpressungen zu widerstehen. Mehr als drei Viertel der Unternehmen, die im vergangenen Jahr betroffen waren, wurden Opfer von Ransomware-Angriffen, bei denen mehrere Bedrohungen eingesetzt wurden.[7] Einige Betrüger unterstützen ihre Drohungen mit Denial-of-Service (DoS)-Angriffen , die Netzwerke zum Absturz bringen, um Unternehmen daran zu hindern, mit doppelter, dreifacher oder sogar vierfacher Erpressung zu arbeiten. Einige Cyber-Banden brechen sogar ihre Lösegeldvereinbarungen und kehren für weitere Auszahlungen zum Brunnen zurück; sie behalten eine Kopie der Daten, um ihre Opfer unter Druck zu setzen, erneut zu zahlen, damit die Informationen privat bleiben. Nach dem jüngsten Vorfall warnte ein Experte für Cybersicherheit: "Man kann sich nicht wirklich auf die Zusagen dieser Angreifer verlassen."[8]

    Wie man sich gegen die heutigen Ransomware-Bedrohungen verteidigt

    Unternehmen haben sich besser gegen Ransomware geschützt und zwingen die Bösewichte, neue Taktiken anzuwenden. Cyberkriminelle Banden - und Ransomware-as-a-Service-Broker im Dark Web - sind jedoch sehr anpassungsfähig.

    Um sich dagegen zu wehren, können ein paar bewährte Verfahren helfen. Dazu gehören:

    • Einen Plan haben: Wenn man bedenkt, dass es im Durchschnitt 49 Tage dauert, einen Ransomware-Angriff zu entdecken und einzudämmen, ist es keine gute Idee, mitten in einem Vorfall eine Strategie zu entwickeln.[9] Ein Playbook, das in dem Moment in Gang gesetzt werden kann, in dem ein Angriff entdeckt wird, kann helfen, den Schaden einzudämmen und den laufenden Angriff zu stoppen. Unternehmen können ein Protokoll erstellen (und üben), das schnell aktiviert werden kann und die Schritte zur Schadensbegrenzung, die Krisenkommunikation und die Verantwortung für jeden Prozess umfasst. Es sollte eine Ransomware-Zahlungsrichtlinie sowie Schritte enthalten, die nach dem Angriff zu ergreifen sind, um zu analysieren, warum es zu dem Angriff kam und wie ein erneuter Vorfall vermieden werden kann.
    • Kontinuierliche Schulungen: Schulungen zum Sicherheitsbewusstsein sind nach wie vor eine der wirksamsten ersten Verteidigungslinien. Sie helfen den Mitarbeitern, verdächtige E-Mails zu erkennen und Phishing-Versuche zu unterbinden, die häufig einen Ransomware-Angriff ermöglichen. Darüber hinaus sind Tabletop-Übungen ebenfalls wertvoll - um den Plan für die Reaktion auf Vorfälle zu überprüfen und zu aktualisieren, um neue Bedrohungen zu berücksichtigen, Lücken im Sicherheitsnetz zu finden, festzustellen, welche Beteiligten noch einbezogen werden müssen, und um die Reaktion insgesamt zu verbessern.
    • Automatisierung der Abwehrmaßnahmen: Phishing-Angriffe, bei denen Schadsoftware in das System eingeschleust wird, sind nach wie vor das häufigste Mittel von Betrügern. Durch die Automatisierung von E-Mail-Filtern und -Scans können Angreifer kurzgeschlossen werden, bevor sie Zugang erhalten, ohne dass das Sicherheitspersonal überlastet wird. Anti-Malware- und Anti-Spam-Filter können Nachrichten mit Ransomware blockieren, während E-Mail-Scans und -Warnungen die Benutzer davon abhalten, auf verdächtige Links oder Anhänge zu klicken, die sich einschleichen. Außerdem können automatisierte Lösungen, die wichtige Daten sichern, die Auswirkungen eines Ransomware-Angriffs auf das Unternehmen minimieren.
    • Erhöhung des Identitätsschutzes: Wie Phishing sind auch der Missbrauch und der Diebstahl von Anmeldeinformationen häufig nützliche Werkzeuge für Ransomware-Angriffe. Durch die Aktivierung der Multifaktor-Authentifizierung (MFA), mit der sichergestellt wird, dass es sich bei den Benutzern nicht um böswillige Akteure handelt, können Hintertüren besser verschlossen werden, so dass es für Angreifer schwieriger wird, mit gestohlenen Zugangsdaten einzudringen und Ransomware zu installieren. Eine strenge Zugangsrichtlinie, die verhindert, dass sich Benutzer frei im Netz bewegen können, kann ebenfalls zur Eindämmung von Insider-Bedrohungen beitragen. Darüber hinaus können Unternehmen passwortlose Authentifizierung und biometrische Marker als Alternative zu herkömmlichen Anmeldungen in Betracht ziehen. Die Bösewichte experimentieren vielleicht mit "Deep Fakes", um diese Systeme zu betrügen, aber sie haben diese Taktik noch nicht perfektioniert.

    Die Quintessenz

    Ransomware-Angriffe mögen zwar zurückgegangen sein, aber solange Betrüger mit einem Exploit Geld verdienen können, werden sie weitergehen. Die Bösewichte passen ihre Taktik an, selbst wenn die Verteidiger ihre Gegenmaßnahmen verstärken. Daher ist es wichtig, wachsam zu bleiben und sich ebenfalls anzupassen. Ransomware-Angriffe sind kostspielig und zerstörerisch, aber nicht unvermeidlich. Lesen Sie unter mehr darüber, wie Sie Ihr Unternehmen schützen und sich mit Mimecast gegen Ransomware wehren können.


     

    [1] "Die Geschichte und Entwicklung von Ransomware," TechTarget

    [2] "Ransomware Gang Offers Bug Bounty, Promises Payouts Up to $1 Million," PC Magazine

    [3] "Turnabout is Fair Play? LockBit Ransomware Builder Leaked to Public by 'Disgruntled Developer'", CPO Magazine

    [4] "Improved Security and Backups Result in Record Low Number of Ransomware Payments," Coveware

    [5] "2023 Unit 42 Ransomware and Extortion Report", Palo Alto Networks

    [6] "Hacker testen eine zerstörerische neue Methode, um Ransomware-Angriffe effektiver zu machen", ZDNet

    [7] "Nearly 4 in 5 Ransomware Attacks Include Threats Beyond Data Encryption, Finds 2023 Cyberthreat Defense Report," BusinessWire

    [8] "Was ist LockBit, die Schadsoftware, die gegen Indigo, SickKids eingesetzt wurde?" Die kanadische Presse

    [9] "Cost of a Data Breach 2022", Ponemon Institute

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang