5 Erkenntnisse aus den DarkSide-Ransomware-Angriffen

Beitrag teilen

Der DarkSide-Ransomware-Angriff auf die Colonial-Pipeline in den USA ist nur eines von vielen, weltweit verbreiteten Beispielen dafür, dass Security nicht nur eine Sache der IT, sondern auch der strategischen Planung und des Managements ist. 5 Erkenntnisse von Sophos-Experten.

Der DarkSide-Ransomware-Angriff auf die Colonial Kraftstoffpipeline, die etwa 45 Prozent des Diesel-, Benzin- und Flugzeugtreibstoffs der Ostküste der USA liefert, ist nur ein Beispiel, das sich mittlerweile in über 60 bekannte Fälle einreiht. Auch Irlands Gesundheitsdienst, Toshiba Europa oder das Essener Chemieunternehmen Brenntag gehören zu den mutmaßlichen Opfern. Immer wieder weist die Forensik der Vorfälle auf Probleme innerhalb des IT-Netzwerks hin, die bereits vor dem Vorfall bestanden und die zur Anfälligkeit für Angriffe beigetragen haben. Folglich stellt sich die Frage, weshalb die Betroffenen nicht alle potenziell möglichen Sicherheitsvorkehrungen ausgeschöpft haben und ob ein dedizierter Verantwortlicher für die Cybersicherheit zum Zeitpunkt der Ransomware-Attacke in der Organisation existierte. John Shier, Senior Security Advisor bei Sophos, fasst die fünf wichtigsten Erkenntnisse aus den Angriffen seit Mai 2021 zusammen.

Anzeige

Priorität der IT-Sicherheit

Bei der heutigen Gefahrenlage braucht es in Unternehmen und Organisationen einen Verantwortlichen, der die aktuelle Gefahrenlage im Blick hat, der sich mit Security auskennt und der im Führungsgremium des Unternehmens sitzt: der Chief Information Security Officer (CISO). Auch wenn ein dedizierter CISO für manche Unternehmen nur schwer zu rechtfertigen ist, sollte eine adäquate Person existieren, die die Prioritäten für die IT-Sicherheit richtig zu setzen weiß und diese auch durchsetzt. Beispielsweise wurde bei der Anhörung von Colonial vor dem Senat bekannt, dass in den letzten fünf Jahren etwa 200 Millionen US-Dollar in die IT investiert wurden – ohne genaue Angaben, wie viel davon tatsächlich in die IT-Security flossen.

Die Fähigkeit, Prioritäten für die Cybersecurity im Unternehmen festzulegen, über ein ausreichendes Budget zu verfügen und die notwendigen Befugnisse zu haben, um die Prioritäten durchzusetzen, sind wesentliche Aspekte für die Cybersicherheit.

Genutzte Sicherheitsstandards

In vielen Fällen, die das Sophos Rapid Response Team untersucht hat, ist der ursprüngliche Eintrittspunkt in das Netzwerk ein einzelnes gestohlenes Kennwort, meist für Remote-Dienste. Im Fall von Colonial benutzten die Angreifer das gestohlene Kennwort, um Zugang zu einem VPN-Dienst zu erhalten, der keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatte. Der Pipeline-Betreiber glaubte, dass dieses VPN-Profil nicht in Gebrauch ist und schenkte ihm vermutlich weniger Beachtung – eine typische Situation, die die Experten immer wieder beobachten. Die Chance ist groß, dass die Angreifer das Passwort durch einen früheren Einbruch erhalten haben, um es einige Zeit später für ihre Ransomware-Attacke einzusetzen. Daraus ergeben sich zwei äußerst wichtige Folgerungen: Verfügbare Sicherheitstechnologien wie MFA sollte immer aktiviert sein und die Security-Spezialisten sollten kleinere und zurückliegende Security-Vorfälle ernst nehmen, da sie die Vorboten für größere Angriffe sein können.

Visibilität von Netzwerkereignissen

Oft stellt das Sophos Rapid Response Team fest, dass die Opfer eine Ransomware-Attacke erst dann wahrnehmen, wenn die Ransomware tatsächlich gestartet wird und die Daten verschlüsselt werden. Allerdings sind die Angreifer meist lange vor der Aktivierung der Ransomware im Netz unterwegs. Die Vorbereitungen der Angreifer können Tage oder sogar Monate dauern, um einen größtmöglichen Schaden anzurichten beziehungsweise Profit zu erpressen. Sophos geht in seinem Active Adversary Playbook 2021 von einer durchschnittlichen Verweildauer der Angreifer im Netzwerk des Opfers von elf Tagen aus. Auch Colonial gehörte zu den Unternehmen, die nicht die nötige Transparenz und Visibilität hatten, um die Angreifer frühzeitig zu identifizieren. Daher sind Endpoint Detection and Response (EDR)-Tools von hohem Wert, nicht nur um Angriffe zu verhindern, sondern auch um das Unternehmen in die Lage zu versetzen, nach latenten Bedrohungen zu suchen.

Planung von Notfällen

Insbesondere große Unternehmen oder Betreiber von wichtigen Infrastrukturen haben meist gute Notfallpläne für Ereignisse in der Produktion, für Defekte, Unfälle und andere traditionell klassische Ereignisse. Allerdings scheinen Cybergefahren nach wie vor selten in derartigen Plänen verankert zu sein – so auch bei Colonial. Notfallpläne sind überlebenswichtig. Organisationen jeder Größe sollten eine Bewertung ihrer Security durchführen und die Reaktion auf potenzielle Vorfälle planen. Einige der Bewertungen lassen sich intern, andere mit externen Spezialisten durchführen. Im Anschluss gilt es Pläne auszuarbeiten, um a) die schwächsten Bereiche besser zu sichern, b) einen Prozess für den Fall zu haben, dass etwas schief geht und c) Abwehrmaßnahmen anhand des Verbesserungs- und Reaktionsplans zu testen.

Insbesondere bei Unternehmen und Organisationen in besonders wichtigen Bereichen sollten auch die Informationen von Quellen wie dem Information Sharing and Analysis Center (ISAC) einbezogen werden. Diese Organisationen sammeln, analysieren und verbreiten Bedrohungsinformationen und stellen Tools zur Verfügung, um Risiken zu mindern und die Widerstandsfähigkeit zu verbessern.

Bezahlen oder nicht bezahlen

Immer wieder sind Unternehmen geneigt, aus der Notsituation heraus hohe Lösegeldsummen an die Angreifer zu bezahlen. Es gibt viele Beispiele, bei denen sich Unternehmen gezwungen sahen, auf die Forderungen einzugehen, da ihre Backups beschädigt waren oder fehlten. Andere wollen das Netzwerk so schnell wie möglich wieder einsatzfähig haben und nochmals andere entscheiden sich für die Zahlung, weil sie billiger als die Kosten für die Wiederherstellung scheint. Ein weiterer verbreiteter Grund ist es zu verhindern, dass gestohlene Daten verkauft oder öffentlich zugänglich gemacht werden. Auch Colonial nannte einen dieser Gründe als Rechtfertigung für die Bezahlung.

Doch die Bezahlung von Erpressungsgeldern ist nicht nur aus legaler Sicht kritisch zu bewerten. Man sollte sich der Tatsache bewusst sein, dass die Zahlung eines Lösegelds keinerlei Garantie darstellt. Im State of Ransomware Report 2021 Report stellt Sophos fest, dass Unternehmen nach der Bezahlung von Lösegeld im Durchschnitt nur 65 Prozent ihrer Daten wiederherstellen konnten. Nur 8 Prozent der Unternehmen waren in der Lage alle ihre Daten wiederherstellen und 29 Prozent konnten weniger als die Hälfte durch die Bezahlung retten. Zusätzlich zum Lösegeld müssen die hohen Folgeschäden einberechnet werden, um den Schaden durch den Angriff und die Betriebsunterbrechung zu beheben und um sicherzustellen, dass so etwas nicht noch einmal passiert.

Quintessenz der Bewertung

Die zunehmende kriminelle Intensität, Kreativität und Intelligenz der Angreifer werden sich nicht eindämmen lassen, die Entwicklungen der letzten Jahre beschreibt eher das Gegenteil. Allerdings existieren viele und oft nicht genutzte Möglichkeiten, um das Gefahrenpotenzial zu senken.

„Es sollte nicht erst ein Angriff nötig sein, damit ein Unternehmen oder eine Organisation eine stärkere Position im Bereich der Cybersecurity einnimmt. Man sollte sich jetzt die Zeit und die Ressourcen nehmen, die Sicherheitslage zu bewerten, um im Anschluss sofort und mit höchster Kompetenz – sowohl intern als auch mit externen Spezialisten – eine bessere und frühzeitige Abwehr wo immer es möglich ist zu etablieren“, resümiert John Shier.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Zunahme von Fog- und Akira-Ransomware

Im September gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Angriffe auf die Lieferkette nehmen zu

Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu ➡ Weiterlesen

Chefs meinen IT-Security sei ganz „easy“

Jeder vierte Verantwortliche für IT-Security in Unternehmen muss sich den Vorwurf von Vorgesetzten anhören, Cybersicherheit sei doch ganz einfach. Externe ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen