Die drei größten Ransomware-Trends in 2021

Die drei größten Ransomware-Trends in 2021
Anzeige

Beitrag teilen

2021 dürfte als Jahr der Ransomware in die Cybersecurity-Geschichte eingehen. Die weltweite Liste der prominenten Opfer reicht von Pipeline-Betreibern über ganze Landkreise bis hin zu Verlagen und Handelsketten.

Die Varonis Threat Labs haben hierzu drei wesentliche Trends identifiziert, die uns auch 2022 beschäftigen werden. Denn eins ist sicher: Mit Ransomware werden wir uns auch in diesem Jahr rumschlagen müssen, wahrscheinlich sogar noch stärker und mit noch mehr Angriffen als 2021.

Anzeige

Ransomware-as-a-Service

Im letzten Jahr konnte eine deutliche Verlagerung hin zum Geschäftsmodell Ransomware-as-a-Service (RaaS) beobachtet werden, bei dem Gruppen Partner rekrutieren, die bestimmte Teile der Operationen durchführen. Diese vielfältigen Angebote ermöglichen auch weniger versierten Cyberkriminellen den Zugang zu wirkungsvoller Malware und bösartigen Toolkits und senken so die Einstiegshürde für viele potenzielle Angreifer.

Hierbei gibt es im Wesentlichen zwei verschiedene Modelle: Zum einen Abonnements, bei denen man gegen eine Gebühr eine Ransomware einsetzen kann, zum anderen prozentuale Beteiligungen an den Gewinnen. Gerade die zweite Variante generiert ein ganzes Ökosystem aus einzelnen Partnern, sogenannten Affiliates, und Unter-Gruppen, die sich auf bestimmte Angriffsbereiche spezialisiert haben.

Anzeige

Massen-Scanning-Techniken suchen Zugänge

Ein Beispiel für die zunehmende Aufgabenverteilung und Spezialisierung sind „Initial Access Brokers“ (IAB). Diese sind zwar kein neues Phänomen, erleben derzeit aber einen gewissen Boom. Sie setzen in aller Regel Massen-Scanning-Techniken ein, um anfällige Hosts zu identifizieren und so einen ersten Zugang in die Systeme potenzieller Opfer zu erlangen. Traditionell werden diese Zugänge über Untergrundforen und -marktplätze verkauft, wobei sich die Preise nach dem angenommenen Wert richten: Der Zugang zu einem großen, bekannten und finanziell starken Unternehmen ist beispielsweise teurer als der zu einem kleinen Unternehmen. Ransomware-Gruppen können auf diese Weise ganz gezielt ihre Opfer auswählen. Mittlerweile schließen sich auch viele IABs mit Ransomware-Gruppen zusammen oder gehen Partnerschaften mit ihnen ein und werden so zu Subunternehmern. Im Gegenzug erhalten sie einen Anteil am Lösegeld. Dies ist in aller Regel lukrativer als das klassische Verkaufsmodell.

Eine hohe Gewinnbeteiligung reflektiert stets ein höheres Risiko. Letztlich laufen vor allem die Partner als „ausführende Organe“ eine höhere Gefahr, entdeckt zu werden, während die RaaS-Anbieter im Hintergrund weit weniger gefährdet sind, zumal sie oftmals ihre Identität auch vor ihren Partnern verbergen. Sollten sie dennoch in den Fokus von Strafverfolgungsbehörden gelangen, tauchen die Gruppen in aller Regel zunächst kurzzeitig unter, um sich später – meist unter anderem Namen – neu zu formieren.

Maßgeschneiderte Ransomware

Die Varonis Threat Labs haben im vergangenen Jahr immer häufiger speziell für bestimmte Opfer entwickelte Ransomware identifiziert. Hierdurch soll eine Entdeckung wesentlich erschwert und die Wirksamkeit des Angriffs erhöht werden.

Bei den meisten Ransomware-Bedrohungen handelt es sich um ausführbare Dateien, die auf Windows abzielen und häufig durch Botnets verbreitet werden. Zunehmend werden jedoch auch Angriffe auf Linux-basierte Hosts gerichtet, einschließlich solcher, die für Dateispeicherung und Virtualisierung (wie VMware ESX) verwendet werden.

ALPHV (BlackCat) schneidert Ransomware

So entwickelt die erst kürzlich identifizierte Ransomware-Gruppe ALPHV (BlackCat) sowohl Linux- als auch Windows-Varianten. Dabei wird die Ransomware für jedes Opfer neu erstellt. Dies umfasst beispielsweise die Art der Verschlüsselung (etwa, dass nur Teile großer Dateien verschlüsselt werden) oder eingebettete Anmeldeinformationen des Opfers, um die automatische Verbreitung der Ransomware auf andere Server zu ermöglichen.

Aber nicht nur die Ransomware selbst, sondern auch die Höhe des geforderten Lösegelds wird ganz gezielt auf das Opfer abgestimmt: So werden die erbeuteten Finanzdaten der Unternehmen analysiert, um eine finanzierbare Summe festzulegen. Teilweise werden sogar die Cyber-Versicherungspolicen genau auf die abgedeckte Schadenssumme hin untersucht, die dann als Forderung von den Cyberkriminellen gestellt wird.

Double Extortion wird zum Standard

Beim „Double Extortion“-Ansatz werden die Daten vor der Verschlüsselung auch entwendet, um mit deren Veröffentlichung zu drohen und somit noch stärkeren Druck auf die Opfer aufzubauen. Letztlich stellt nicht die Verschlüsselung und damit der Ausfall von Systemen, sondern der Datendiebstahl die größere Bedrohung für Unternehmen dar: Der Diebstahl und die Veröffentlichung von personenbezogenen Daten (PII) ist nicht nur rufschädigend, sondern kann auch DSGVO-Bußgelder nach sich führen. Mittlerweile drohen die Cyberkriminellen sogar explizit mit der Einschaltung der entsprechenden Aufsichtsbehörden. Aber auch das Leaken von geistigem Eigentum kann enorme Schaden verursachen, wenn innovative Entwicklungen dadurch auch den Wettbewerbern zugänglich sind.

Mit der doppelten Erpressung ist die taktische Entwicklung aber beileibe nicht am Ende. Ransomware-Gruppen entwickeln ihre Erpressungsmethoden ständig weiter, von den Anfängen mit einer einfachen Lösegeldforderung über die „Stehlen, Verschlüsseln und Veröffentlichen“-Taktik bis hin zur Kontaktaufnahme mit Kunden, Mitarbeitern, Behörden und der Presse, um sie über die Kompromittierung zu informieren. Um noch mehr Druck auszuüben, weigern sich viele Gruppen, mit Unterhändlern zusammenzuarbeiten, und raten den Opfern, das Geld zu zahlen, ohne Cybersecurity-Anbieter und Strafverfolgungsbehörden einzuschalten. Andernfalls würden die Opfer eine höhere Lösegeldforderung oder einen endgültigen Datenverlust riskieren.

Eskalationsstufen als Druckmittel zum zahlen

Einige Cyberkriminelle fügen zudem noch eine weitere Eskalationsstufe hinzu: Bei dieser „Triple Extortion“ werden dann entweder betroffene Partner oder Kunden informiert, oder weitere Attacken wie DDoS-Angriffe angedroht. All diese Maßnahmen dienen letztlich dazu, den Druck auf die Opfer deutlich zu steigern, um sie so zu einer raschen Zahlung zu bewegen. Und dies offenbar mit Erfolg: Schätzungen gehen davon aus, dass Ransomware 2021 weltweit Schäden in Höhe von 6 Billionen US-Dollar verursacht hat. Zum Vergleich: Das Bruttoinlandsprodukt der Bundesrepublik Deutschland betrug 2020 „nur“ 3,8 Billionen US-Dollar.

Mehr bei Varonis.de

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Varonis: Cloud-Sicherheit für Amazon S3

Varonis stärkt die Cloud-Sicherheit mit Datenklassifizierung für Amazon S3. Neue Funktionen bieten eine granulare, skalierbare Datenklassifizierung für S3-Buckets und helfen Unternehmen, ➡ Weiterlesen

Hive Ransomware: Ablauf eines Angriffs 

Der Ablauf eines Ransomware-Angriff mit Hive wurde während eines Einsatzes bei einem Kunden durch das Forensik-Team von Varonis untersucht. Der ➡ Weiterlesen

DSGVO-Konformität schützt auch vor Ransomware-Schäden

Was waren das für Zeiten damals 2018, als das Inkrafttreten der DSGVO für die scheinbar größtmögliche Aufregung in der Wirtschaft ➡ Weiterlesen

Gefälschten Vanity-URLs bei Zoom und Google

URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und ➡ Weiterlesen

Die gefährlichen Neun: Malware im Kurzporträt

Die Vorstellung jeder Malware die auf Unternehmen zielt würde jeden Rahmen sprengen. Hier stellen die Varonis Threat Labs 9 wichtige ➡ Weiterlesen

Was Führungskräfte über Ransomware-Angriffe wissen sollten

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich ➡ Weiterlesen

Varonis: Verbesserter Microsoft 365-Schutz für effektivere Ransomware-Erkennung 

Varonis bringt neue Funktionen zur Reduzierung der Datenexposition bei Microsoft 365. Neue Version verringert den Explosionsradius von Microsoft 365, ermöglicht effektivere ➡ Weiterlesen

Neue Ransomware-Gruppe ALPHV – BlackCat

Benzinversorger Oiltanking ist prominentes Opfer der neuen Ransomware-Gruppe ALPHV - BlackCat. Varonis Threat Labs: Gezielte Rekrutierung von Partnern durch finanziell attraktive ➡ Weiterlesen