Im Zuge der Weiterentwicklung der Cyberkriminalit?t ist ein Angriffsweg weltweit in den Vordergrund ger¨¹ckt: Ransomware.
Laut dem Trendbericht ?The State of Cybersecurity 2023¡° von Arctic Wolf betrachten 48?% der Unternehmen Ransomware als bedeutendsten Angriffsvektor. Sie haben guten Grund dazu, denn der Arctic Wolf Labs Threats Report 2024 zeigte, dass 48,6?% der von Arctic Wolf untersuchten Vorf?lle Ransomware-Angriffe waren.
Dar¨¹ber hinaus sind die Kosten aufgrund von Ransomware stetig gestiegen, wobei es im IBM Cost of a Data Breach Report hei?t: ?Mit USD?5,13?Millionen stiegen die durchschnittlichen Kosten eines Ransomware-Angriffs im Bericht?2023 um 13?% gegen¨¹ber den durchschnittlichen Kosten von USD?4,54 Millionen im Vorjahresbericht.¡° Die Betr?ge, die Cyberkriminelle zu erpressen versuchen, folgen einem ?hnlichen Muster. Laut dem stieg das mittlere L?segeld im letzten Jahr um 20?% auf USD?600.000.
Ransomware kann viele Gestalten annehmen. Auch wenn jeder Angriff anders ist, entwickelt sie sich doch zum bevorzugten Angriffsvektor f¨¹r Cyberkriminelle. Daher ist es von entscheidender Bedeutung, dass Unternehmen diese Angriffe verstehen und lernen, wie sie sich gegen diese wachsende Bedrohung zur Wehr setzen k?nnen.
Die Entwicklung von Ransomware-Angriffen
Ransomware wurde erstmals 1989 dokumentiert, aber erst in den 2010er-Jahren und mit dem gleichzeitigen Aufkommen von Kryptow?hrungen, Remote-Anwendungen und Cloud-basierten Netzwerken setzte sich dieser Angriffstyp unter Cyberkriminellen wirklich durch. Seitdem ist die illegale Branche explosionsartig gewachsen und Innovationen wie Ransomware-Banden, Ransomware-as-a-Service (RaaS), komplexere St?mme, Datenexfiltration und Leak-Sites haben sich durchgesetzt.
Zwei g?ngige Techniken, die sich mit der Zunahme von Ransomware weiterentwickelt haben, sind doppelte und dreifache Erpressung. Bei der doppelten Erpressung exfiltriert der Bedrohungsakteur Daten aus dem System und droht mit ihrer Freigabe, wenn das geforderte L?segeld nicht gezahlt wird. In einem Dreifach-Erpressungsszenario sind die genannten Schritte identisch, der Bedrohungsakteur kontaktiert aber dar¨¹ber hinaus Personen, deren Daten m?glicherweise kompromittiert wurden, und fordert sie unter Androhung der Datenfreigabe zur Zahlung auf oder droht der erpressten Organisation mit einer zweiten Art von Angriff. Mit diesen Taktiken lassen sich mit einem einzigen Angriff mehrfache Zahlungen erpressen.
W?hrend sich Ransomware-Gruppen und die von ihnen verwendeten St?mme scheinbar st?ndig neu mischen und ver?ndern, gibt es einige allgemeinere Trends, die Bestand haben.
H?ufige Arten von Ransomware sind:
1. Krypto-Ransomware
Dies ist die heute am h?ufigsten vorkommende Ransomware. Systeme, Verm?genswerte oder Anwendungen werden verschl¨¹sselt und k?nnen erst nach Zahlung eines L?segelds entsperrt werden.
2. Locker-Ransomware
Locker-Ransomware funktioniert, indem sie Benutzer vollst?ndig aus einem System aussperrt, anstatt einzelne Teile des Systems zu verschl¨¹sseln. Oft erscheint auf den Endger?ten ein Sperrbildschirm mit einer L?segeldforderung.
3. Scareware. Scareware funktioniert wie ein Betrug. Den Benutzern wird mitgeteilt, dass sich ein Virus auf ihrem Endger?t befindet und sie f¨¹r die L?sung des Problems bezahlen m¨¹ssen. Diese Art von Ransomware richtet sich h?ufiger an Einzelpersonen als an Organisationen.
4. Dox oder Leakware
Leakware verteilt exfiltrierte Daten im Darknet. Diese Taktik ist in den letzten Jahren h?ufiger geworden und wird h?ufig von Ransomware-Banden eingesetzt, da gestohlene Zugangsdaten bei zuk¨¹nftigen Angriffen hilfreich sein und personenbezogene Daten oft f¨¹r einen hohen Preis verkauft werden k?nnen.
5. Ransomware-as-a-Service (RaaS)
In diesem Ransomware-Verteilungssystem werden g¨¹ltige Anmeldeinformationen, Verschl¨¹sselungssoftware, Leak-Sites oder andere Erstzugriffsmethoden an eine andere Gruppe verkauft, die im Gegenzug f¨¹r einen Teil des L?segelds einen Angriff startet.
Die Zahl der Ransomware-Banden?¨C Gruppen von Cyberkriminellen, die sich zusammenschlie?en, um eine charakteristische Ransomware-Variante zu verteilen und mehrere Organisationen anzugreifen?¨C nimmt ebenfalls st?ndig zu. Viele dieser Gruppen arbeiten nach dem Ransomware-as-a-Service-Modell.
Die f¨¹nf Gruppen, denen Arctic Wolf? Incident Response im Jahr 2023 am h?ufigsten begegnete, waren:
- BlackCat
- LockBit 3.0
- Akira
- Royal
- BlackBasta
Der Aufstieg von Ransomware-as-a-Service
Auch wenn im Zuge der Weiterentwicklung von Ransomware und Cyberkriminalit?t alle f¨¹nf Methoden an Beliebtheit gewonnen haben, ist es doch RaaS, das die Hackerszene komplett ver?ndert hat.
RaaS-Teilnehmer bieten Ressourcen wie Verschl¨¹sselungssoftware, Leak-Sites und Branding unabh?ngigen Partnern an, die dann den Ransomware-Angriff durchf¨¹hren. Die Erl?se aus RaaS-Angriffen werden ¨¹blicherweise zwischen Partnern und Betreibern aufgeteilt. Einige Organisationen besch?ftigen aber auch dauerhaft Cyberkriminelle, die sie mit einer Pauschale, einem prozentualen Anteil oder einer Art Gehalt kompensieren. Am besten l?sst sich dieses Cyberkriminalit?tsmodell mit dem Software-as-a-Service-Konzept (SaaS) der Technologiebranche vergleichen.
W?hrend Ransomware in der Vergangenheit haupts?chlich von hochqualifizierten Bedrohungsakteuren eingesetzt wurde, hat dieses Modell durch die Aufteilung der Verantwortlichkeiten das Spielfeld f¨¹r neue Teilnehmer ge?ffnet. Es erm?glicht technisch weniger versierten Cyberkriminellen die Durchf¨¹hrung von Angriffen und sch¨¹tzt gleichzeitig die Identit?t der beteiligten Personen.
Dar¨¹ber hinaus hat RaaS zur Dominanz von Ransomware-Banden beigetragen.
Beispiel f¨¹r einen Ransomware-Angriff
Am besten versteht man Ransomware, indem man sich die drei Hauptphasen eines Angriffs ansieht.
Phase 1: Der Bedrohungsakteur erlangt Zugriff auf ein Netzwerk.
Dies kann per Social Engineering, ¨¹ber ein Schwachstellen-Exploit, Malware oder eine andere Methode geschehen. Der erste Schritt ist stets der Zugriff.
Externe Offenlegung ist mit 70,1?% der Arctic Wolf Incident Response-F?lle im Jahr?2023 der bei weitem wichtigste Erstzugriffspunkt f¨¹r Bedrohungsakteure. Auf dem zweiten Platz stehen mit 24,4?% Benutzeraktionen.
Phase 2: Der Bedrohungsakteur bewegt sich seitw?rts und vertikal, um Zugang zu kritischer Betriebstechnologie oder wertvollen Daten zu erlangen.
Zu diesen Bewegungen k?nnten die Erlangung von privilegiertem Zugriff, die Ausnutzung einer Schwachstelle in Active Directory, das Starten einer Spear-Phishing-Kampagne oder die Bereitstellung von Malware geh?ren.
Der gew?hrte Zugriff k?nnte digitale Betriebstechnologie und IT-Technologie oder die in Gesundheitssystemen gespeicherten personenbezogenen Daten (PII) umfassen, wie es bei der derzeit aktiven Ransomware-Bande Royal ¨¹blich ist.
Phase 3: Der Bedrohungsakteur startet den Ransomware-Angriff in einer der oben genannten Formen?¨C am h?ufigsten ist die Verschl¨¹sselung.
Der Bedrohungsakteur oder die Ransomware-Gruppe setzt darauf, dass die Daten der Organisation so wertvoll oder Ausfallzeiten so sch?dlich sind, dass sie zahlt, und zwar schnell. Das war der Fall bei einem Hackerangriff auf MGM im Sommer?2023. Das Hotel in Las Vegas musste USD?10?Millionen bezahlen, um sich von dem Ransomware-Vorfall zu erholen, und machte rund USD?100?Millionen Verlust bei den Buchungen.
Ransomware in Aktion: Der Datenschutzversto? bei MCNA Dental
Im Mai?2023 erfuhr die ?ffentlichkeit, dass MCNA Dental, eine US-amerikanische Zahnversicherung, Opfer eines Ransomware-Angriffs der Gruppe LockBit geworden war.
LockBit ist bekannt f¨¹r Angriffe auf kritische Infrastrukturen und das Gesundheitswesen und entwickelt sich schnell zu einer der produktivsten Ransomware-Gruppen. Obgleich die Erstzugriffstechnik nicht bekannt gegeben wurde, behauptete LockBIt, zehn Tage lang unentdeckt im System von MCNA gewesen zu sein und in dieser Zeit 700?GB Daten, einschlie?lich personenbezogener Daten (PII) von den Kunden von MCNA, exfiltriert zu haben. Das L?segeld betrug USD?10?Millionen.
LockBit ver?ffentlichte die exfiltrierten Daten?¨C darunter personenbezogene Daten von 8,9 Millionen Menschen?¨C schlie?lich im Darknet.
Dieser Angriff verdeutlicht nicht nur, wie es Ransomware-Gruppen gelingt, sich der Entdeckung entziehen, sondern auch, wie sie auf gro?e, datenreiche Organisationen abzielen und sich nicht scheuen, Daten zu exfiltrieren, zu erpressen und letztendlich im Darknet preiszugeben?¨C oder sie sogar an andere Cyberkriminelle zu verkaufen.
So l?sst sich ein Ransomware-Angriff beenden
Ein Ransomware-Angriff muss nicht damit enden, dass ein Unternehmen Millionen zahlt und sich mit den Folgen kompromittierter Daten herumschl?gt. So wie sich die Cyberkriminalit?t weiterentwickelt hat, hat sich auch die Cybersecurity weiterentwickelt. Durch Forschung und Analyse wissen wir, dass es einige Taktiken gibt, die verhindern k?nnen, dass sich eine Bedrohung in einen vollst?ndigen Ransomware-Angriff verwandelt.
1. Dateien sichern
Am besten gehen Sie bei der Dateisicherung nach dem 3-2-1-Prinzip vor. Das bedeutet, dass Sie ¨¹ber drei Kopien der Daten verf¨¹gen (1 prim?re und 2 Backups): zwei Kopien an getrennten Orten und eine in einem externen Speicher (idealerweise in einer sicheren privaten Cloud).
2. Cloud-Umgebung sch¨¹tzen
Ein Sicherheitsvorfall, der von Ihrem Unternehmen ausgeht und Ihre Cloud-Daten zerst?rt oder beeintr?chtigt, liegt in Ihrer Verantwortung. Viele Cloud-Security-Vorf?lle lassen sich auf Konfigurationsfehler und/oder allzu laxe Zugriffsrichtlinien zur¨¹ckf¨¹hren. Beim Modell der geteilten Verantwortung ist es wichtig, dass Ihre Organisation ihre Rolle versteht, damit keine Sicherheitsl¨¹cken entstehen, von denen Sie annehmen, dass sie vom Anbieter abgedeckt werden.
3. Identit?ts- und Zugriffskontrollen durchsetzen
Die Sicherheit von Anmeldeinformationen ist zur Verhinderung von Ransomware-Angriffen von gr??ter Bedeutung. Zu den entsprechenden Sicherheitsma?nahmen geh?ren die Implementierung von Multi-Faktor-Authentifizierung (MFA), die ?berwachung des Darknet auf Datenlecks, die H?rtung von Active Directory, die Implementierung eines Zero-Trust-Frameworks und die Eind?mmung von menschlichem Versagen durch Schulungen zum Thema Sicherheitsbewusstsein.
4. Vulnerability-Management-Programm ins Leben rufen
Die meisten Ransomware-Angriffe gehen auf eine externe Offenlegung zur¨¹ck und nicht auf Zero-Day-Exploits. Indem Sie bekannte Schwachstellen regelm??ig identifizieren, priorisieren und patchen, kann Ihre Organisation sich nach au?en hin h?rten und die Angriffsfl?che reduzieren.
5. L?sung f¨¹r ?berwachung, Erkennung und Reaktion rund um die Uhr einsetzen
Eine fr¨¹hzeitige Erkennung ist entscheidend, um einen Ransomware-Angriff zu stoppen. Durch die Identifizierung von Anzeichen eines potenziellen Ransomware-Angriffs?¨C beispielsweise ungew?hnliche Anmeldungen oder Regel?nderungen in einer Anwendung?¨C kann Ihre Organisation handeln und Vorf?lle beenden, bevor sie eskalieren.
Wo MDR aufh?rt und IR beginnt
Bei der Pr?vention von Ransomware und der Reaktion darauf gibt es zwei Hauptl?sungen: Managed Detection and Response (MDR) und Incident Response (IR). Doch die beiden L?sungen sind nicht austauschbar und k?nnen sich nicht gegenseitig ersetzen.
MDR hilft Ihrem Unternehmen, zu verhindern, dass Bedrohungen zu Vorf?llen werden. Sie bietet nicht nur eine ?berwachung Ihrer gesamten Umgebung rund um die Uhr, sondern hilft Ihnen auch, schnell auf Bedrohungen zu reagieren und diese einzud?mmen, bevor es zu Seitw?rtsbewegungen oder einer Eskalation kommt. In der Praxis k?nnte dies so aussehen: Die L?sung erkennt eine ungew?hnliche Anmeldung um 3 Uhr morgens und isoliert daraufhin das Endger?t, an das sie angeschlossen ist, und informiert Ihre Organisation ¨¹ber die Aktion.
Erfahren Sie mehr ¨¹ber Arctic Wolf? Managed Detection and Response.
IR wird ben?tigt, wenn aus einer Bedrohung bereits ein Vorfall geworden ist, beispielsweise ein Ransomware-Angriff. Ein IR-Anbieter hilft Ihrem Unternehmen, den Angriff zu stoppen und den Betrieb wiederherzustellen. Genau wie bei MDR sind nicht alle IR-Anbieter gleich. Daher ist es wichtig, mit einem zusammenzuarbeiten, der von Ihrer Cyberversicherung anerkannt wird und im Fall von Ransomware Verhandlungen mit dem Bedrohungsakteur anbietet und ¨¹ber andere Ransomware-spezifische Fachkenntnisse verf¨¹gt. IR-Retainer sind nicht nur eine gute M?glichkeit, sich mit einem IR-Anbieter vertraut zu machen, sondern helfen Ihrem Unternehmen auch dabei, proaktive IR-Arbeit zu leisten und auf den schlimmsten Fall vorbereitet zu bleiben.
Erfahren Sie mehr ¨¹ber Arctic Wolf? Incident Response.
Erfahren Sie, wie ein Security-Operations-Ansatz zur Risikominimierung dem Budget Ihrer Organisation zugute kommt.
Lernen Sie die Prognosen von Arctic Wolf Labs f¨¹r das Cyberkriminalit?tsumfeld 2024 kennen, und erfahren Sie, wie Sie Ihre Organisation entsprechend vorbereiten.
