2021 dürfte als Jahr der Ransomware in die Cybersecurity-Geschichte eingehen. Die weltweite Liste der prominenten Opfer reicht von Pipeline-Betreibern über ganze Landkreise bis hin zu Verlagen und Handelsketten.
Die Varonis Threat Labs haben hierzu drei wesentliche Trends identifiziert, die uns auch 2022 beschäftigen werden. Denn eins ist sicher: Mit Ransomware werden wir uns auch in diesem Jahr rumschlagen müssen, wahrscheinlich sogar noch stärker und mit noch mehr Angriffen als 2021.
Ransomware-as-a-Service
Im letzten Jahr konnte eine deutliche Verlagerung hin zum Geschäftsmodell Ransomware-as-a-Service (RaaS) beobachtet werden, bei dem Gruppen Partner rekrutieren, die bestimmte Teile der Operationen durchführen. Diese vielfältigen Angebote ermöglichen auch weniger versierten Cyberkriminellen den Zugang zu wirkungsvoller Malware und bösartigen Toolkits und senken so die Einstiegshürde für viele potenzielle Angreifer.
Hierbei gibt es im Wesentlichen zwei verschiedene Modelle: Zum einen Abonnements, bei denen man gegen eine Gebühr eine Ransomware einsetzen kann, zum anderen prozentuale Beteiligungen an den Gewinnen. Gerade die zweite Variante generiert ein ganzes Ökosystem aus einzelnen Partnern, sogenannten Affiliates, und Unter-Gruppen, die sich auf bestimmte Angriffsbereiche spezialisiert haben.
Massen-Scanning-Techniken suchen Zugänge
Ein Beispiel für die zunehmende Aufgabenverteilung und Spezialisierung sind „Initial Access Brokers“ (IAB). Diese sind zwar kein neues Phänomen, erleben derzeit aber einen gewissen Boom. Sie setzen in aller Regel Massen-Scanning-Techniken ein, um anfällige Hosts zu identifizieren und so einen ersten Zugang in die Systeme potenzieller Opfer zu erlangen. Traditionell werden diese Zugänge über Untergrundforen und -marktplätze verkauft, wobei sich die Preise nach dem angenommenen Wert richten: Der Zugang zu einem großen, bekannten und finanziell starken Unternehmen ist beispielsweise teurer als der zu einem kleinen Unternehmen. Ransomware-Gruppen können auf diese Weise ganz gezielt ihre Opfer auswählen. Mittlerweile schließen sich auch viele IABs mit Ransomware-Gruppen zusammen oder gehen Partnerschaften mit ihnen ein und werden so zu Subunternehmern. Im Gegenzug erhalten sie einen Anteil am Lösegeld. Dies ist in aller Regel lukrativer als das klassische Verkaufsmodell.
Eine hohe Gewinnbeteiligung reflektiert stets ein höheres Risiko. Letztlich laufen vor allem die Partner als „ausführende Organe“ eine höhere Gefahr, entdeckt zu werden, während die RaaS-Anbieter im Hintergrund weit weniger gefährdet sind, zumal sie oftmals ihre Identität auch vor ihren Partnern verbergen. Sollten sie dennoch in den Fokus von Strafverfolgungsbehörden gelangen, tauchen die Gruppen in aller Regel zunächst kurzzeitig unter, um sich später – meist unter anderem Namen – neu zu formieren.
Maßgeschneiderte Ransomware
Die Varonis Threat Labs haben im vergangenen Jahr immer häufiger speziell für bestimmte Opfer entwickelte Ransomware identifiziert. Hierdurch soll eine Entdeckung wesentlich erschwert und die Wirksamkeit des Angriffs erhöht werden.
Bei den meisten Ransomware-Bedrohungen handelt es sich um ausführbare Dateien, die auf Windows abzielen und häufig durch Botnets verbreitet werden. Zunehmend werden jedoch auch Angriffe auf Linux-basierte Hosts gerichtet, einschließlich solcher, die für Dateispeicherung und Virtualisierung (wie VMware ESX) verwendet werden.
ALPHV (BlackCat) schneidert Ransomware
So entwickelt die erst kürzlich identifizierte Ransomware-Gruppe ALPHV (BlackCat) sowohl Linux- als auch Windows-Varianten. Dabei wird die Ransomware für jedes Opfer neu erstellt. Dies umfasst beispielsweise die Art der Verschlüsselung (etwa, dass nur Teile großer Dateien verschlüsselt werden) oder eingebettete Anmeldeinformationen des Opfers, um die automatische Verbreitung der Ransomware auf andere Server zu ermöglichen.
Aber nicht nur die Ransomware selbst, sondern auch die Höhe des geforderten Lösegelds wird ganz gezielt auf das Opfer abgestimmt: So werden die erbeuteten Finanzdaten der Unternehmen analysiert, um eine finanzierbare Summe festzulegen. Teilweise werden sogar die Cyber-Versicherungspolicen genau auf die abgedeckte Schadenssumme hin untersucht, die dann als Forderung von den Cyberkriminellen gestellt wird.
Double Extortion wird zum Standard
Beim „Double Extortion“-Ansatz werden die Daten vor der Verschlüsselung auch entwendet, um mit deren Veröffentlichung zu drohen und somit noch stärkeren Druck auf die Opfer aufzubauen. Letztlich stellt nicht die Verschlüsselung und damit der Ausfall von Systemen, sondern der Datendiebstahl die größere Bedrohung für Unternehmen dar: Der Diebstahl und die Veröffentlichung von personenbezogenen Daten (PII) ist nicht nur rufschädigend, sondern kann auch DSGVO-Bußgelder nach sich führen. Mittlerweile drohen die Cyberkriminellen sogar explizit mit der Einschaltung der entsprechenden Aufsichtsbehörden. Aber auch das Leaken von geistigem Eigentum kann enorme Schaden verursachen, wenn innovative Entwicklungen dadurch auch den Wettbewerbern zugänglich sind.
Mit der doppelten Erpressung ist die taktische Entwicklung aber beileibe nicht am Ende. Ransomware-Gruppen entwickeln ihre Erpressungsmethoden ständig weiter, von den Anfängen mit einer einfachen Lösegeldforderung über die „Stehlen, Verschlüsseln und Veröffentlichen“-Taktik bis hin zur Kontaktaufnahme mit Kunden, Mitarbeitern, Behörden und der Presse, um sie über die Kompromittierung zu informieren. Um noch mehr Druck auszuüben, weigern sich viele Gruppen, mit Unterhändlern zusammenzuarbeiten, und raten den Opfern, das Geld zu zahlen, ohne Cybersecurity-Anbieter und Strafverfolgungsbehörden einzuschalten. Andernfalls würden die Opfer eine höhere Lösegeldforderung oder einen endgültigen Datenverlust riskieren.
Eskalationsstufen als Druckmittel zum zahlen
Einige Cyberkriminelle fügen zudem noch eine weitere Eskalationsstufe hinzu: Bei dieser „Triple Extortion“ werden dann entweder betroffene Partner oder Kunden informiert, oder weitere Attacken wie DDoS-Angriffe angedroht. All diese Maßnahmen dienen letztlich dazu, den Druck auf die Opfer deutlich zu steigern, um sie so zu einer raschen Zahlung zu bewegen. Und dies offenbar mit Erfolg: Schätzungen gehen davon aus, dass Ransomware 2021 weltweit Schäden in Höhe von 6 Billionen US-Dollar verursacht hat. Zum Vergleich: Das Bruttoinlandsprodukt der Bundesrepublik Deutschland betrug 2020 „nur“ 3,8 Billionen US-Dollar.
Mehr bei Varonis.de
Über Varonis Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,