Ransomware-as-a-Service (RaaS) ist vielleicht keine brandneue Taktik auf dem Cyber-Schlachtfeld, erfreut sich jedoch bei Bedrohungsakteuren schnell wachsender Beliebtheit. Seit mindestens f¨¹nf Jahren haben Cyberkriminelle nicht nur die finanzielle Wirksamkeit von Ransomware erkannt, sondern auch verstanden, dass sie, wenn sie sich zusammenschlie?en und die St?rken des jeweils anderen nutzen, ihre Ransomware-Angriffe ausweiten, die Gewinne aufteilen und gestohlene Daten verwenden k?nnen, um zuk¨¹nftige Cyberangriffe auf gr??ere Organisationen durchzuf¨¹hren.
An diesem RaaS-Gesch?ftsmodell sind mittlerweile h?ufig ?Ransomware-Banden¡° beteiligt, definiert als Personen, die unabh?ngigen Partnern Ressourcen wie Verschl¨¹sselungssoftware, Leak-Sites und Branding anbieten, die dann den Ransomware-Angriff ausf¨¹hren. Dieses Modell hat es nicht nur weniger technisch versierten Cyberkriminellen erm?glicht, Angriffe durchzuf¨¹hren, sondern war auch eine der Hauptursachen f¨¹r die blo?e Zunahme von Datenschutzverletzungen von Jahr zu Jahr.
Arctic Wolf Labs, unser Team hochrangiger Forscher, Datenwissenschaftler und Entwickler im Bereich Sicherheit, hat guten Grund zu der Annahme, dass im Laufe des Jahres 2024 auch die H?ufigkeit und Komplexit?t von RaaS zunehmen wird. Doch bevor wir die Zukunft untersuchen, ist es wichtig, die Daten und Vorf?lle hervorzuheben, die uns hierher gef¨¹hrt haben.
Wie RaaS im Jahr 2023 aussah
Schauen wir uns zun?chst die j¨¹ngsten Ransomware-Angriffe des vergangenen Jahres an. Laut der betrafen f¨¹nf unserer neun Top-Angriffe (55?%) Ransomware. Von diesen f¨¹nf waren an drei Angriffen internationale Ransomware-Gruppen beteiligt, die unter das RaaS-Modell fielen.
MCNA Dental lie? beispielsweise 700?GB Daten exfiltrieren und im Darknet ver?ffentlichen, nachdem die Organisation es vers?umt hatte, das L?segeld in H?he von 10?Millionen US-Dollar an die Ransomware-Gruppe LockBit zu zahlen. LockBit war nicht nur die f¨¹hrende Ransomware-Gruppe im Jahr 2022 ¨C laut einer Studie von Arctic Wolf wurde sie 822-mal auf Ransomware-Leak-Seiten gelistet ¨C, sondern hat au?erdem gute Aussichten, den Titel im Jahr 2023 zur¨¹ckzuerobern. Laut interner Nachverfolgung sind ihre Dark-Web-Beitr?ge im Vergleich zum Vorjahr um 17?% gestiegen. Die Gruppe ist ber¨¹chtigt f¨¹r ihre sich selbst verbreitendes Ransomware und ihre kurzen Verweilzeiten, was ihre Erfolgsbilanz erkl?ren k?nnte. Im ersten Halbjahr 2023 hatte LockBit bereits 527-mal auf Ransomware-Seiten gepostet.
Aber der Versto? gegen MCNA Dental ist nicht der einzige gro?e Versto?, der mit Ransomware begann und mit exfiltrierten Daten und unermesslichen finanziellen Verlusten endete. Im Vergleich zum zweiten Halbjahr 2022 verzeichnete Arctic Wolf? Incident Response im ersten Halbjahr 2023 einen Anstieg der Ransomware-Vorf?lle um 46?%. Dies k?nnte durch eine Reihe von Faktoren bedingt sein, unter anderem durch einen R¨¹ckgang der Ransomware-H?ufigkeit im Jahr 2022, aber auch durch andere Trends weiterhin nach oben und nach rechts, einschlie?lich der Gr??e der angegriffenen Organisationen, der anhaltenden Verbreitung von RaaS sowie der globalen Reichweite und Auswirkungen dieser Art von Cyberangriffen.
Warum RaaS weiter zunehmen wird
Wenn sich diese Trends fortsetzen, ist die Antwort auf die Frage ?Wird RaaS im Jahr 2024 weiter zunehmen?¡° ein klares, ¨¹berzeugtes Ja sein. Und der Grund f¨¹r diese ?berzeugung geht ¨¹ber die blo?en Muster vergangener Jahre hinaus.
Der Schl¨¹ssel zur Zukunft von RaaS liegt bei Cl0P, der Ransomware-Gruppe, die f¨¹r die Ausnutzung einer Zero-Day-Schwachstelle in MOVEiT Transfer, einem g?ngigen Datei¨¹bertragungsdienst, verantwortlich ist. Mit diesem einzigen Exploit konnte die Gruppe Tausende von Organisationen in Mitleidenschaft ziehen, von lokalen Regierungsstellen ¨¹ber Organisationen im Vereinigten K?nigreich bis hin zu British Airways. Zweifellos wird dieser Angriff noch mehr inspirieren. Dar¨¹ber hinaus hat diese umfangreiche Angriffsserie nicht nur den Betrieb von Organisationen auf der ganzen Welt unterbrochen, sondern sowohl Cyberkriminelle als auch Cybersecurity-Experten daran erinnert, dass neben Geld auch die Datenexfiltration begehrt ist. Millionen pers?nlich identifizierbarer Informationen (PII) von Einzelpersonen haben dank CIL0P den Weg zum Darknet gefunden, und diese Daten k?nnen nicht nur zwischen Kriminellen verkauft werden, sondern sie k?nnen auch verwendet werden, um weitere Ransomware-Angriffe sowohl auf Einzelpersonen als auch auf Organisationen zu starten ¨C das ist das Geschenk, das diesen klugen Bedrohungsakteuren immer wieder geschenkt wird.
Sieben der neun h?ufigsten Verst??e, die in unserem ?Breaches in Review 2023¡° behandelt wurden, beinhalteten Datenexfiltration. Dies zeigt, dass Cyberkriminelle diese Daten nicht nur als Hebel bei einem Angriff nutzen, sondern sie als wertvolles Gut mit dem Wert von Gold behandeln. Unsere internen Untersuchungen haben au?erdem ergeben, dass die Ver?ffentlichung dieser riesigen Datenmengen technisch gesehen nicht schwierig ist. Derselbe Amateur, der einen Ransomware-Code von einem RaaS-Broker gekauft hat, kann die Daten, die er mit diesem Code gestohlen hat, problemlos ver?ffentlichen und verkaufen.
Entdecken Sie die Prognosen von Arctic Wolf f¨¹r 2024 im Detail.
So verhindern Sie Ransomware-Angriffe und Datenexfiltration
Die notwendigen Schritte zur Verhinderung eines Ransomware-Angriffs zu unternehmen, ist kosteng¨¹nstiger und betrieblich effizienter, als zu versuchen, Ihr Netzwerk zu bereinigen, Kredit¨¹berwachungsdienste f¨¹r die Betroffenen zu bezahlen und Kunden und Mandanten zu erkl?ren, dass ihre personenbezogenen Daten nun in den H?nden von Cyberkriminellen liegen. Da sich diese Taktik immer weiter verbreitet, ist es viel besser, auf Nummer sicher zu gehen.
Im Gro?en und Ganzen besteht die beste M?glichkeit, Ransomware zu verhindern, darin, dieselben Cybersecurity-Techniken anzuwenden, die Sie auch f¨¹r jede andere Art von Bedrohung anwenden w¨¹rden. Ransomware ist nur die Taktik ¨C das Erpressen von L?segeld f¨¹r Daten oder Vorg?nge. Daher ist es am besten, sich vor der Technik f¨¹r den Erstzugriff zu sch¨¹tzen, sei es ein Schwachstellen-Exploit, Social Engineering, ein Fernzugriffscode oder eine Cloud-Fehlkonfiguration.
Ein ganzheitlicher Betriebsansatz ist immer der beste Weg, wenn es um Ihre Reise zur Sicherheit geht, da jedes Unternehmen dynamische Gesch?fts- und Sicherheitsanforderungen hat.
Zu den Techniken zur Verbesserung der Cybersecurity insgesamt geh?ren:
- Schulung zum Sicherheitsbewusstsein, die Mitarbeitern dabei helfen kann, sich gegen Social-Engineering-Angriffe zu verteidigen.
- Starke Identit?tsverwaltung und Passworthygiene zur Verhinderung von Zugangsdatendiebstahl oder Credential Stuffing sowie der Eskalation privilegierter Zugriffe w?hrend eines Vorfalls
- Laufendes Vulnerability Management und laufende Behebungsma?nahmen mit Schwerpunkt auf Priorit?t, potenziellen Auswirkungen und Schweregrad
- 24×7-?berwachung von Endpunkten, Cloud, Netzwerk und Identit?ten, um schnell auf einen Vorfall reagieren, ihn isolieren und stoppen zu k?nnen.
- Eine langfristige Cybersecurity-Strategie, die sich auf den Betrieb und die kontinuierliche Verbesserung konzentriert, nicht nur auf neue Tools
Diese Techniken k?nnen zwar verhindern, dass ein Vorfall auftritt oder zu einem vollst?ndigen Ransomware-Angriff eskaliert, sie sind jedoch nicht speziell auf die Datenexfiltration ausgerichtet. F¨¹r dieses spezielle Anliegen empfiehlt Arctic Wolf Labs Folgendes:
?Erstellen Sie eine Ausgangsbasis f¨¹r den erwarteten Netzwerkdatenverkehr und das erwartete Benutzerverhalten, um potenzielle Aktivit?ten zur Datenexfiltration zu erkennen. In den meisten F?llen sammeln Bedrohungsakteure die gestohlenen Daten und versuchen, sie so schnell wie m?glich aus dem Netzwerk zu schleusen. Dies w¨¹rde eine Abweichung vom normalen Benutzerverhalten darstellen.¡°
Erfahren Sie mehr ¨¹ber die Prognosen und Empfehlungen von Arctic Wolf Labs f¨¹r 2024.
Entdecken Sie, wie ein Security-Operations-Ansatz Ihr Cybersicherheitsniveau ver?ndern und Ihr Unternehmen in die Lage versetzen kann, Cyberbedrohungen wie Ransomware besser zu bek?mpfen.
