5 Erkenntnisse aus den DarkSide-Ransomware-Angriffen

Beitrag teilen

Der DarkSide-Ransomware-Angriff auf die Colonial-Pipeline in den USA ist nur eines von vielen, weltweit verbreiteten Beispielen dafür, dass Security nicht nur eine Sache der IT, sondern auch der strategischen Planung und des Managements ist. 5 Erkenntnisse von Sophos-Experten.

Der DarkSide-Ransomware-Angriff auf die Colonial Kraftstoffpipeline, die etwa 45 Prozent des Diesel-, Benzin- und Flugzeugtreibstoffs der Ostküste der USA liefert, ist nur ein Beispiel, das sich mittlerweile in über 60 bekannte Fälle einreiht. Auch Irlands Gesundheitsdienst, Toshiba Europa oder das Essener Chemieunternehmen Brenntag gehören zu den mutmaßlichen Opfern. Immer wieder weist die Forensik der Vorfälle auf Probleme innerhalb des IT-Netzwerks hin, die bereits vor dem Vorfall bestanden und die zur Anfälligkeit für Angriffe beigetragen haben. Folglich stellt sich die Frage, weshalb die Betroffenen nicht alle potenziell möglichen Sicherheitsvorkehrungen ausgeschöpft haben und ob ein dedizierter Verantwortlicher für die Cybersicherheit zum Zeitpunkt der Ransomware-Attacke in der Organisation existierte. John Shier, Senior Security Advisor bei Sophos, fasst die fünf wichtigsten Erkenntnisse aus den Angriffen seit Mai 2021 zusammen.

Priorität der IT-Sicherheit

Bei der heutigen Gefahrenlage braucht es in Unternehmen und Organisationen einen Verantwortlichen, der die aktuelle Gefahrenlage im Blick hat, der sich mit Security auskennt und der im Führungsgremium des Unternehmens sitzt: der Chief Information Security Officer (CISO). Auch wenn ein dedizierter CISO für manche Unternehmen nur schwer zu rechtfertigen ist, sollte eine adäquate Person existieren, die die Prioritäten für die IT-Sicherheit richtig zu setzen weiß und diese auch durchsetzt. Beispielsweise wurde bei der Anhörung von Colonial vor dem Senat bekannt, dass in den letzten fünf Jahren etwa 200 Millionen US-Dollar in die IT investiert wurden – ohne genaue Angaben, wie viel davon tatsächlich in die IT-Security flossen.

Die Fähigkeit, Prioritäten für die Cybersecurity im Unternehmen festzulegen, über ein ausreichendes Budget zu verfügen und die notwendigen Befugnisse zu haben, um die Prioritäten durchzusetzen, sind wesentliche Aspekte für die Cybersicherheit.

Genutzte Sicherheitsstandards

In vielen Fällen, die das Sophos Rapid Response Team untersucht hat, ist der ursprüngliche Eintrittspunkt in das Netzwerk ein einzelnes gestohlenes Kennwort, meist für Remote-Dienste. Im Fall von Colonial benutzten die Angreifer das gestohlene Kennwort, um Zugang zu einem VPN-Dienst zu erhalten, der keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatte. Der Pipeline-Betreiber glaubte, dass dieses VPN-Profil nicht in Gebrauch ist und schenkte ihm vermutlich weniger Beachtung – eine typische Situation, die die Experten immer wieder beobachten. Die Chance ist groß, dass die Angreifer das Passwort durch einen früheren Einbruch erhalten haben, um es einige Zeit später für ihre Ransomware-Attacke einzusetzen. Daraus ergeben sich zwei äußerst wichtige Folgerungen: Verfügbare Sicherheitstechnologien wie MFA sollte immer aktiviert sein und die Security-Spezialisten sollten kleinere und zurückliegende Security-Vorfälle ernst nehmen, da sie die Vorboten für größere Angriffe sein können.

Visibilität von Netzwerkereignissen

Oft stellt das Sophos Rapid Response Team fest, dass die Opfer eine Ransomware-Attacke erst dann wahrnehmen, wenn die Ransomware tatsächlich gestartet wird und die Daten verschlüsselt werden. Allerdings sind die Angreifer meist lange vor der Aktivierung der Ransomware im Netz unterwegs. Die Vorbereitungen der Angreifer können Tage oder sogar Monate dauern, um einen größtmöglichen Schaden anzurichten beziehungsweise Profit zu erpressen. Sophos geht in seinem Active Adversary Playbook 2021 von einer durchschnittlichen Verweildauer der Angreifer im Netzwerk des Opfers von elf Tagen aus. Auch Colonial gehörte zu den Unternehmen, die nicht die nötige Transparenz und Visibilität hatten, um die Angreifer frühzeitig zu identifizieren. Daher sind Endpoint Detection and Response (EDR)-Tools von hohem Wert, nicht nur um Angriffe zu verhindern, sondern auch um das Unternehmen in die Lage zu versetzen, nach latenten Bedrohungen zu suchen.

Planung von Notfällen

Insbesondere große Unternehmen oder Betreiber von wichtigen Infrastrukturen haben meist gute Notfallpläne für Ereignisse in der Produktion, für Defekte, Unfälle und andere traditionell klassische Ereignisse. Allerdings scheinen Cybergefahren nach wie vor selten in derartigen Plänen verankert zu sein – so auch bei Colonial. Notfallpläne sind überlebenswichtig. Organisationen jeder Größe sollten eine Bewertung ihrer Security durchführen und die Reaktion auf potenzielle Vorfälle planen. Einige der Bewertungen lassen sich intern, andere mit externen Spezialisten durchführen. Im Anschluss gilt es Pläne auszuarbeiten, um a) die schwächsten Bereiche besser zu sichern, b) einen Prozess für den Fall zu haben, dass etwas schief geht und c) Abwehrmaßnahmen anhand des Verbesserungs- und Reaktionsplans zu testen.

Insbesondere bei Unternehmen und Organisationen in besonders wichtigen Bereichen sollten auch die Informationen von Quellen wie dem Information Sharing and Analysis Center (ISAC) einbezogen werden. Diese Organisationen sammeln, analysieren und verbreiten Bedrohungsinformationen und stellen Tools zur Verfügung, um Risiken zu mindern und die Widerstandsfähigkeit zu verbessern.

Bezahlen oder nicht bezahlen

Immer wieder sind Unternehmen geneigt, aus der Notsituation heraus hohe Lösegeldsummen an die Angreifer zu bezahlen. Es gibt viele Beispiele, bei denen sich Unternehmen gezwungen sahen, auf die Forderungen einzugehen, da ihre Backups beschädigt waren oder fehlten. Andere wollen das Netzwerk so schnell wie möglich wieder einsatzfähig haben und nochmals andere entscheiden sich für die Zahlung, weil sie billiger als die Kosten für die Wiederherstellung scheint. Ein weiterer verbreiteter Grund ist es zu verhindern, dass gestohlene Daten verkauft oder öffentlich zugänglich gemacht werden. Auch Colonial nannte einen dieser Gründe als Rechtfertigung für die Bezahlung.

Doch die Bezahlung von Erpressungsgeldern ist nicht nur aus legaler Sicht kritisch zu bewerten. Man sollte sich der Tatsache bewusst sein, dass die Zahlung eines Lösegelds keinerlei Garantie darstellt. Im State of Ransomware Report 2021 Report stellt Sophos fest, dass Unternehmen nach der Bezahlung von Lösegeld im Durchschnitt nur 65 Prozent ihrer Daten wiederherstellen konnten. Nur 8 Prozent der Unternehmen waren in der Lage alle ihre Daten wiederherstellen und 29 Prozent konnten weniger als die Hälfte durch die Bezahlung retten. Zusätzlich zum Lösegeld müssen die hohen Folgeschäden einberechnet werden, um den Schaden durch den Angriff und die Betriebsunterbrechung zu beheben und um sicherzustellen, dass so etwas nicht noch einmal passiert.

Quintessenz der Bewertung

Die zunehmende kriminelle Intensität, Kreativität und Intelligenz der Angreifer werden sich nicht eindämmen lassen, die Entwicklungen der letzten Jahre beschreibt eher das Gegenteil. Allerdings existieren viele und oft nicht genutzte Möglichkeiten, um das Gefahrenpotenzial zu senken.

„Es sollte nicht erst ein Angriff nötig sein, damit ein Unternehmen oder eine Organisation eine stärkere Position im Bereich der Cybersecurity einnimmt. Man sollte sich jetzt die Zeit und die Ressourcen nehmen, die Sicherheitslage zu bewerten, um im Anschluss sofort und mit höchster Kompetenz – sowohl intern als auch mit externen Spezialisten – eine bessere und frühzeitige Abwehr wo immer es möglich ist zu etablieren“, resümiert John Shier.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Cyberbedrohungen in Deutschland – ein Rückblick und Ausblick

Phishing-Attacken, Ransomware-Angriffe, ki-gestützte Malware - die Cyberbedrohungen werden immer raffinierter und nehmen zu. Eine Studie hat untersucht, wie deutsche Unternehmen ➡ Weiterlesen

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

KI auf Enterprise Storage bekämpft Ransomware in Echtzeit

Als einer der ersten Anbieter integriert NetApp künstliche Intelligenz (KI) und maschinelles Lernen (ML) direkt in den Primärspeicher, um Ransomware ➡ Weiterlesen