Ransomware ist die bedeutendste Cybersicherheitsbedrohung, der Unternehmen heute ausgesetzt sind. Aber in letzter Zeit haben sowohl die Führer der National Security Agency als auch des FBI zeigte an, dass die Angriffe zurückgingen während der ersten Hälfte des Jahres 2022. Die Kombination aus Sanktionen gegen Russland, wo viele cyberkriminelle Banden ihren Ursprung haben, und zusammenbrechenden Kryptowährungsmärkten könnte Auswirkungen gehabt haben und es Ransomware-Banden erschwert haben, Gelder zu extrahieren und ihre Auszahlungen zu erhalten.
Jedoch müssen auch wir sind noch nicht aus dem Wald. Trotz eines vorübergehenden Rückgangs gedeiht Ransomware nicht nur, sondern entwickelt sich auch weiter. Heute hat sich Ransomware-as-a-Service (RaaS) von einem standardisierten, automatisierten Modell, das sich auf vorgefertigte Exploit-Kits stützt, zu einem von Menschen betriebenen, hochgradig zielgerichteten und ausgeklügelten Geschäftsbetrieb entwickelt. Das ist ein Grund für Unternehmen jeder Größe, besorgt zu sein.
RaaS werden
Es ist allgemein bekannt, dass die heutigen Cyberkriminellen gut ausgerüstet, hochmotiviert und sehr effektiv sind. Sie sind nicht zufällig so geworden, und sie sind nicht so effektiv geblieben, ohne kontinuierlich Weiterentwicklung ihrer Technologien und Methoden. Die Motivation des massiven finanziellen Gewinns war die einzige Konstante.
Frühe Ransomware-Angriffe waren einfache, technologiegetriebene Angriffe. Die Angriffe führten zu einem verstärkten Fokus auf Sicherungs- und Wiederherstellungsfunktionen, was dazu führte, dass Angreifer während eines Angriffs nach Online-Sicherungen suchten und diese ebenfalls verschlüsselten. Der Erfolg der Angreifer führte zu höheren Lösegeldforderungen, und die höheren Lösegeldforderungen machten es unwahrscheinlicher, dass das Opfer zahlte, und es war wahrscheinlicher, dass sich die Strafverfolgungsbehörden einmischten. Ransomware-Banden reagierten mit Erpressung. Sie gingen dazu über, Daten nicht nur zu verschlüsseln, sondern zu exfiltrieren und zu drohen, die oft sensiblen Daten der Kunden oder Partner des Opfers öffentlich zu machen, was ein komplexeres Risiko von Marken- und Reputationsschäden einführte. Heutzutage ist es für Ransomware-Angreifer nicht ungewöhnlich, die Cyber-Versicherungspolice eines Opfers zu suchen, um die Lösegeldforderung festzulegen und den gesamten Prozess (einschließlich Zahlung) so effizient wie möglich zu gestalten.
Wir haben auch weniger disziplinierte (aber ebenso schädliche) Ransomware-Angriffe gesehen. Wenn Sie sich beispielsweise dafür entscheiden, im Gegenzug ein Lösegeld zu zahlen, wird ein Opfer auch als zuverlässig geeignet für einen zukünftigen Angriff identifiziert, wodurch die Wahrscheinlichkeit erhöht wird, dass es erneut von derselben oder einer anderen Ransomware-Gang getroffen wird. Forschungsschätzungen zwischen 50% bis 80% (PDF) von Organisationen, die ein Lösegeld gezahlt haben, wurden wiederholt angegriffen.
Mit der Entwicklung von Ransomware-Angriffen haben sich auch die Sicherheitstechnologien weiterentwickelt, insbesondere in den Bereichen Bedrohungserkennung und -blockierung. Anti-Phishing-, Spam-Filter-, Virenschutz- und Malware-Erkennungstechnologien wurden alle fein abgestimmt, um modernen Bedrohungen zu begegnen und die Gefahr einer Kompromittierung durch E-Mail, bösartige Websites oder andere beliebte Angriffsvektoren zu minimieren.
Dieses sprichwörtliche „Katz-und-Maus“-Spiel zwischen Angreifern und Sicherheitsanbietern, die bessere Abwehrmechanismen und ausgeklügelte Ansätze zum Stoppen von Ransomware-Angriffen bieten, hat zu einer stärkeren Zusammenarbeit innerhalb globaler cyberkrimineller Ringe geführt. Ähnlich wie Safeknacker und Alarmspezialisten, die bei traditionellen Raubüberfällen eingesetzt werden, treiben Experten für Malware-Entwicklung, Netzwerkzugriff und Ausnutzung die heutigen Angriffe voran und Voraussetzungen für die nächste Evolution der Ransomware geschaffen.
Das RaaS-Modell heute
RaaS hat sich zu einem ausgeklügelten, von Menschen geführten Unternehmen mit einem komplexen Geschäftsmodell mit Gewinnbeteiligung entwickelt. Ein RaaS-Betreiber, der in der Vergangenheit möglicherweise unabhängig gearbeitet hat, arbeitet jetzt mit Spezialisten zusammen, um die Erfolgschancen zu erhöhen.
Ein RaaS-Betreiber – der bestimmte Ransomware-Tools verwaltet, mit dem Opfer kommuniziert und Zahlungen sichert – arbeitet heute häufig mit einem hochrangigen Hacker zusammen, der den Eingriff selbst durchführt. Ein interaktiver Angreifer in der Zielumgebung ermöglicht eine Live-Entscheidungsfindung während des Angriffs. Gemeinsam identifizieren sie spezifische Schwachstellen innerhalb des Netzwerks, eskalieren Berechtigungen und verschlüsseln die sensibelsten Daten, um Auszahlungen sicherzustellen. Darüber hinaus führen sie Erkundungen durch, um Online-Backups zu finden und zu löschen und Sicherheitstools zu deaktivieren. Der beauftragte Hacker arbeitet häufig mit einem Access Broker zusammen, der für die Bereitstellung des Zugriffs auf das Netzwerk durch gestohlene Anmeldeinformationen oder bereits vorhandene Persistenzmechanismen verantwortlich ist.
Die Angriffe, die aus dieser Zusammenarbeit von Fachwissen resultieren, haben das Gefühl und Aussehen von „altmodischen“, staatlich geförderten Advanced Persistent Threat-Style-Angriffen, sind aber weit verbreiteter.
Wie sich Organisationen wehren können
Das neue, von Menschen betriebene RaaS-Modell ist viel ausgefeilter, zielgerichteter und zerstörerischer als die RaaS-Modelle der Vergangenheit, aber es gibt immer noch Best Practices, die Unternehmen anwenden können, um sich zu verteidigen.
Organisationen müssen hinsichtlich ihrer Sicherheitshygiene diszipliniert sein. Die IT ändert sich ständig, und jedes Mal, wenn ein neuer Endpunkt hinzugefügt oder ein System aktualisiert wird, kann dies zu einer neuen Schwachstelle oder einem neuen Risiko führen. Sicherheitsteams müssen sich weiterhin auf bewährte Sicherheitsverfahren konzentrieren: Patchen, Verwenden von Multifaktor-Authentifizierung, Durchsetzen starker Anmeldeinformationen, Scannen des Dark Web nach kompromittierten Anmeldeinformationen, Schulung von Mitarbeitern im Erkennen von Phishing-Versuchen und mehr. Diese Best Practices helfen, die Angriffsfläche zu reduzieren und minimieren Sie das Risiko, dass ein Zugangsbroker eine Schwachstelle ausnutzen kann, um sich Zugang zu verschaffen. Je strenger die Sicherheitshygiene eines Unternehmens ist, desto weniger „Rauschen“ müssen Analysten im Security Operations Center (SOC) sortieren, sodass sie sich auf die wirkliche Bedrohung konzentrieren können, wenn eine identifiziert wird.
Neben Best Practices für die Sicherheit müssen Unternehmen auch sicherstellen, dass sie über fortschrittliche Funktionen zur Erkennung und Reaktion auf Bedrohungen verfügen. Da Access Broker viel Zeit für die Aufklärung in der Infrastruktur des Unternehmens aufwenden, haben Sicherheitsanalysten die Möglichkeit, sie zu erkennen und den Angriff in einem frühen Stadium zu stoppen – aber nur, wenn sie über die richtigen Tools verfügen. Unternehmen sollten sich nach erweiterten Erkennungs- und Reaktionslösungen umsehen, die Telemetriedaten von Sicherheitsereignissen über ihre Endpunkte, Netzwerke, Server, E-Mail- und Cloud-Systeme und Anwendungen hinweg erkennen und korrelieren können. Sie müssen auch in der Lage sein, überall dort zu reagieren, wo der Angriff erkannt wird, um ihn schnell zu stoppen. Große Unternehmen haben diese Funktionen möglicherweise in ihr SOC integriert, während mittelständische Organisationen möglicherweise das Managed Detection and Response-Modell für die Bedrohungsüberwachung und -reaktion rund um die Uhr in Betracht ziehen möchten.
Trotz des jüngsten Rückgangs von Ransomware-Angriffen sollten Sicherheitsexperten nicht damit rechnen, dass die Bedrohung bald aussterben wird. RaaS wird sich weiterentwickeln, wobei die neuesten Anpassungen durch neue Ansätze als Reaktion auf Cybersicherheitsinnovationen ersetzt wurden. Aber mit einem Fokus auf Best Practices für die Sicherheit, gepaart mit wichtigen Technologien zur Prävention, Erkennung und Reaktion auf Bedrohungen, werden Unternehmen widerstandsfähiger gegen Angriffe.
