Ransomware wird zwar oft als neuere Bedrohung betrachtet, und das zu Recht, da sie in der Cyberkriminalit?t immer mehr an Bedeutung gewinnt, doch sie ist keine j¨¹ngste Innovation im anhaltenden Cyberkrieg. Sie reicht Jahrzehnte zur¨¹ck bis in die Anf?nge des Internets, der E-Mail und sogar der Disketten.
Auch wenn diese fr¨¹hen Angriffe vielleicht nicht die gleiche Wirkung hatten wie ihre heutigen Versionen, haben ihre Schockwellen dazu beigetragen, dass Cyberkriminelle die Taktik verfeinert und weiterentwickelt haben, sodass sie heute zu einer globalen Gei?el geworden ist, die fast die H?lfte aller Vorf?lle ausmacht und Unternehmen Millionen kostet.
Um besser zu verstehen, warum Ransomware nach wie vor das Hauptthema ist, ist es wichtig, sich die Urspr¨¹nge und die Entwicklung der Ransomware bis zu ihrem heutigen Stand anzusehen.
Tauchen Sie tief in die ein.
Die Geschichte der Ransomware
1989¨C2010: Die Entwicklungsjahre
Die Anf?nge von Ransomware waren sp?rlich und primitiv.
Vor 2010: Ransomware gibt es seit den 1980er Jahren, wobei der erste aufgezeichnete Angriff im Jahr 1989 stattfand. Dieser erste Angriff war als AIDS-Trojaner bekannt und wurde auf der AIDS-Konferenz der Weltgesundheitsorganisation per Diskette verbreitet, was ihn auch zu einem der ersten gro?en F?lle von Hacktivismus machte. Sobald der Benutzer die Diskette einlegte, wurde er von einem Sperrbildschirm begr¨¹?t. Wenn der Benutzer dann versuchte, seinen Computer neu zu starten, z?hlte die Diskette diesen Neustart, und nach 90 Neustarts verschl¨¹sselte die Malware die Dateien und verlangte die Bezahlung des Schl¨¹ssels.
Dieser Angriff war zwar bemerkenswert, aber auch ein Einzelfall. In den 1980er und 1990er Jahren war Ransomware aus verschiedenen Gr¨¹nden nicht weitverbreitet oder erfolgreich, u.?a. weil es keine vernetzte Technologie in Unternehmen gab und weil es f¨¹r Bedrohungsakteure nicht einfach war, Zahlungen entgegenzunehmen.
2006: Die erste Variante, die eine fortgeschrittene RSA-Verschl¨¹sselung verwendet ¨C Archievus ¨C erscheint. Sie wurde ¨¹ber Malware auf Websites und ¨¹ber Spam-E-Mails verbreitet, was eine massenhafte Verbreitung erm?glichte. Au?erdem wurde eine asymmetrische Verschl¨¹sselung verwendet, die schwieriger zu knacken ist, d. h. die Benutzer ben?tigten einen RSA-Schl¨¹ssel, um ihre Daten zu entsperren. Die Gruppe, die hinter dem Angriff stand, hatte jedoch einen Fehler begangen, der dazu f¨¹hrte, dass die Variante nur eine kurze Lebensdauer hatte ¨C jeder Benutzer erhielt einen Entschl¨¹sselungscode mit dem .
2010¨C2016: Ransomware erobert den Mainstream
Zwei Innovationen trieben die Ransomware voran: E-Mail und Kryptow?hrungen.
2010: Bitcoin und andere Kryptow?hrungen erfreuen sich zunehmender Beliebtheit und bieten Cyberkriminellen eine M?glichkeit, oft nicht nachvollziehbare digitale Zahlungen anzunehmen. Da Kryptow?hrungen verteilt und dezentralisiert sind, k?nnen Cyberkriminelle die Zahlungen verschleiern und schwer nachvollziehbar machen, w?hrend sie gleichzeitig den Strafverfolgungsbeh?rden entgehen k?nnen. Au?erdem kann Kryptow?hrung, im Falle von Ransomware fast immer Bitcoin, fast sofort ¨¹berwiesen werden, unabh?ngig von der H?he des Betrags.
2012: Der erste Fall von Ransomware-as-a-Service (RaaS) trat mit Reveton Ransomware auf. Diese Malware gab sich als ?rtliche Strafverfolgungsbeh?rde aus und drohte den Opfern mit Verhaftung oder Strafanzeige, falls sie kein L?segeld zahlen w¨¹rden. Die Reveton-Betreiber verkauften die Malware als Dienstleistung an Dritte, wodurch nicht nur das heute h?ufig anzutreffende RaaS-Modell innoviert wurde, sondern sich die Ransomware auch exponentiell verbreiten konnte.
2013: CryptoLocker, die erste Ransomware, die ¨¹ber ein Botnet und Social Engineering verbreitet wurde, zeigt sowohl Bedrohungsakteuren als auch der Cybersicherheitswelt, wie leicht sich Ransomware verbreiten und ein System ¨¹bernehmen kann. Der Virus verbreitete sich ¨¹ber E-Mail-Anh?nge, die dann ¨¹ber das Botnet verbreitet wurden, sodass er sich schnell ¨¹ber das Internet verbreiten konnte. Im Dezember 2013 wurde berichtet, dass die Gruppe, die hinter steht, ¨¹ber $20 Millionen USD in Bitcoin erpresst hat.
2013 ¨C2016: Ransomware wird immer beliebter, da sich die Varianten vervielfachen und neue Ziele ¨C wie Mac- und Linux-Systeme sowie mobile Ger?te ¨C auftauchen.
2016 ¨C 2023: Ransomware wird immer raffinierter
Das Aufkommen des Dark Web, cyberkrimineller Netzwerke und die Digitalisierung von Unternehmen auf der ganzen Welt l?uteten ein neues Zeitalter ein, in dem Ransomware exponentiell zunahm.
2016: Petya ist die erste Variante, die den Master-Boot-Record ¨¹berschreibt und die Master-File-Tabelle innerhalb eines Systems verschl¨¹sselt, wodurch die Opfer schneller von der gesamten Festplatte ausgeschlossen werden.
2017: Eine Variante von Petya, NotPetya, sorgte f¨¹r Schlagzeilen, da sie w?hrend des anhaltenden Konflikts zwischen Russland und der Ukraine f¨¹r Angriffe auf die Ukraine sowie auf mit der Ukraine verb¨¹ndete L?nder wie Frankreich, das Vereinigte K?nigreich und die USA verwendet wurde. Die NotPetya-Angriffe werden von Experten auf Russland zur¨¹ckgef¨¹hrt.
2017: Der WannaCry-Ransomware-Angriff betrifft Hunderttausende von Ger?ten in mehr als 150 L?ndern und ist damit einer der gr??ten Ransomware-Angriffe der Geschichte. W?hrend der urspr¨¹ngliche Vorfall in Asien stattfand und ¨¹ber Phishing erfolgte, dauerte es nur wenige Stunden, bis sich der Angriff ¨¹ber den gesamten Globus ausbreitete. Dieser Angriff ist auch deshalb bemerkenswert, weil er eine Microsoft-Schwachstelle namens EternalBlue ausnutzte. Dies ist einer der ersten F?lle, in denen Bedrohungsakteure Schwachstellen ausnutzen, eine Angriffsmethode, die heute weitverbreitet ist.
2018: Ransomware beginnt, die Datenexfiltration zu nutzen. Dies geschah erstmals mit der GrandCrab RaaS-Variante, die in eine Malware zum Datendiebstahl integriert war, um Daten zu exfiltrieren. Die Malware war in der Lage, Anmeldedaten, Dateien, Screenshots und mehr zu erkennen und zu stehlen.
2019: Leak-Seiten tauchen im Darknet auf, was die Opfer weiteren finanziellen und rufsch?digenden Verlusten aussetzt und es erm?glicht, dass gestohlene Anmeldedaten und pers?nlich identifizierbare Informationen (PII) f¨¹r zuk¨¹nftige Angriffe verwendet werden k?nnen. W?hrend Leak-Sites gestohlene Daten an andere weitergeben, was weitere Angriffe beg¨¹nstigt, erm?glichen sie es Cybersecurity-Forschern auch zu sehen, welche Ransomware-Gruppen aktiv sind und welche Organisationen sie ins Visier nehmen. Diese Threat Intelligence ist f¨¹r die Entwicklung neuer Verteidigungsma?nahmen von entscheidender Bedeutung.
Erfahren Sie mehr ¨¹ber verschiedene Arten von Ransomware und RaaS-Gruppen.
2020: ?Big Game Hunting¡° beginnt zu erscheinen, bei dem Cyberkriminelle gezielt auf gut verdienende Unternehmen wie den Technologiesektor abzielen. Dieser Trend hat sich zu einem Ziel f¨¹r Bedrohungsakteure entwickelt, die nun strategisch auf Unternehmen abzielen, die wenig Toleranz f¨¹r Ausfallzeiten haben ¨C wie z.?B. die Fertigungsindustrie ¨C oder in der Vergangenheit eher bereit waren, L?segeld zu zahlen, wie das Gesundheitswesen.
2020: Die dreifache Erpressung weitet sich als Taktik aus. Dies bedeutet, dass Ransomware-Akteure, nachdem sie Daten als Geisel genommen und exfiltriert haben (mit der Drohung, sie zu ver?ffentlichen, wenn das L?segeld nicht gezahlt wird), sich an die Personen wenden, deren Daten exfiltriert wurden, oder das erpresste Unternehmen mit einem zweiten Angriff bedrohen, z.?B. einem DDoS-Angriff (Distributed Denial of Service).
2021-2022: Makler f¨¹r den Erstzugang tauchen immer h?ufiger auf und beginnen, eine entscheidende Rolle im Ransomware-?kosystem zu spielen, indem sie Zugang zu Netzwerken verkaufen. Initial Access Broker (IABs), die sich Zugang zu Unternehmensnetzwerken verschaffen und diesen Zugang dann an Cyberkriminelle verkaufen, tragen dazu bei, dass sich RaaS-Initiativen ausbreiten und auch Amateur-Cyberkriminellen Zugang verschaffen k?nnen. F¨¹r Ransomware-Bedrohungsakteure, die sich Zugang verschaffen wollen, kann die Verwendung eines IAB in Bezug auf Kosten und Zeit effizienter sein.
2023 ¨C Zukunftsausblick: Ransomware-Betreiber ?ndern weiterhin ihre Strategien
Mit der Weiterentwicklung der Cybersecurity und der zunehmenden Einbindung internationaler Strafverfolgungsbeh?rden in die Bek?mpfung der Cyberkriminalit?t mussten die Betreiber von Ransomware sowohl Tools als auch Personen ¨¹berlisten und ihre bew?hrten Taktiken ?ndern.
2023: Es gab mehrere bemerkenswerte F?lle, die zeigen, wie sich die Ransomware-Taktiken weiterentwickeln, insbesondere angesichts der energischen Strafverfolgung und neuer, fortschrittlicher Cybersecurity-Ma?nahmen.
Hier ein kurzer ?berblick zu einigen dieser F?lle:
- Im August 2023 drohte die Snatch-Gruppe, Einzelheiten ihrer Angriffe auf Unternehmen zu ver?ffentlichen, die sich weigerten, das L?segeld zu zahlen, um zu beweisen, dass die Versicherung des Opfers die damit verbundenen Kosten nicht ¨¹bernehmen sollte.
- Im Oktober 2023 ¨¹berarbeiteten die Verantwortlichen von LockBit ihr Verhandlungsmodell als Reaktion auf schwindende Zahlungen und uneinheitliche L?segeldforderungen ihrer Partner.
- Im Oktober und November 2023 untersuchte Arctic Wolf Labs mehrere F?lle, bei denen Opfer von Royal- und Akira-Ransomware im Anschluss an die erste Kompromittierung wegen weiterer Erpressungsversuche kontaktiert wurden.
- Im November 2023 behaupteten AlphV-Vertreter, eine Beschwerde bei der SEC eingereicht zu haben, in der ein Opfer geoutet wurde, das keine Bekanntmachung ver?ffentlicht hatte, nachdem es eines der letzten Opfer der Gruppe geworden war.
- Im Dezember 2023 gab AlphV bekannt, dass sich die Gruppe in Zukunft direkt an die Kunden der Unternehmen wenden werde, die sie erfolgreich erpresst hatte?¨C eine Taktik, die den Druck auf das urspr¨¹ngliche Opfer erh?ht und es der Gruppe gleichzeitig erm?glicht, weitere Organisationen zu erpressen, auf deren Daten indirekt zugegriffen wurde.
2024 hat die Entwicklung von Ransomware nicht gebremst. Zu Beginn des Jahres prognostizierte Arctic Wolf, dass nicht nur Ransomware und RaaS weiterhin florieren werden, sondern auch die Datenexfiltration zur Norm wird.
?Nach dem Erfolg von CL0P, der Ransomware-Gruppe hinter dem Exploit einer Zero-Day-SQL-Injection-Schwachstelle in MOVEit Transfer, einer weit verbreiteten Managed File Transfer (MFT)-Anwendung, werden wahrscheinlich weitere Bedrohungsakteure versuchen, Schwachstellen in Managed File Transfer-Systemen und Dateiservern auszunutzen.¡° ¨C Arctic Wolf Labs 2024 Predictions
Wir haben in diesem Jahr bereits erlebt, dass diese Taktik eine unheilvolle Wendung nimmt. , eine Ransomware-Gruppe, die es versteht, Identit?ten zu kompromittieren, um massive Angriffe zu starten ¨C wie beim MGM-Datenversto? von 2023 ¨C hat in diesem Jahr bereits Dutzende von Finanz- und Versicherungsunternehmen angegriffen, obwohl das FBI ?berstunden macht, um sie zu stoppen.
Dar¨¹ber hinaus sind Branchen wie das Gesundheitswesen, die zuvor tabu waren, nun Freiwild f¨¹r Bedrohungsakteure. Ascension Healthcare wurde im Mai 2024 von Ransomware angegriffen, was den Betrieb der Gesundheitsorganisation und ihrer Gesch?ftspartner st?rte und Patienten, ?rzte und andere im Stich lie?.
Untersuchen Sie Ransomware und andere Bedrohungen im Detail mit dem Arctic Wolf Labs 2024 Threat Report.
Erfahren Sie, wie Arctic Wolf helfen kann, eine Ransomware-Bedrohung zu stoppen, bevor es zu einem Datenversto? kommt.
