Ransomware: aus der Opfersicht

Angriff Ransomware Arbeitsplatz

Beitrag teilen

Spezialist Sophos kennt den Ablauf und die Folgen eines erfolgreichen Ransomware-Angriffs nur zu gut. Aus Sicht des Opfers: So läuft eine Ransomware-Attacke ab.

Keine Organisation möchte Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken gibt, ist es wahrscheinlich, dass Angreifer diese finden und ausnutzen. Und es kann Monate oder sogar länger dauern, bevor das Opfer den Zustand überhaupt bemerkt. So genannte Incident Responder helfen Unternehmen dabei, Angriffe und deren Auswirkungen zu identifizieren, zu blockieren und abzuschwächen. Dieses Monitoring durch Spezialisten ermöglicht außerdem eine genau Analyse von Angriffsmustern und im Ergebnis eine hautnahe Betrachtung, wie Cyberkriminalität tatsächlich die Opfer trifft.

Der wahre Gegner ist der Mensch, nicht die Maschine

Angreifer sind immer geschickter darin, sich zu tarnen, um keinen Verdacht bei Sicherheitsteams zu wecken und unentdeckt zu bleiben. Daher sind verschiedene Sicherheitslevel notwendig, die die Angriffskette an unterschiedlichen Orten durchbrechen. Während die initiale Verletzung automatisiert abläuft, nutzen Hacker im Anschluss beispielsweise legitime IT-Werkzeuge, wie z.B. Netzwerk-Scanner, für ihre illegalen Zwecke, um Sicherheitstechnologien zu umgehen und sich lateral durch das Netzwerk zu bewegen. Die Herausforderung für Opfer liegt darin, dass IT-Sicherheitsteams besonders wachsam bei der Bewertung von Tools sein müssen, die legitim und deswegen aber auch beliebt und häufig gebräuchlich bei Angreifern sind. Zudem kompromittieren Angreifer regelmäßig bestehende Administrator-Accounts, um sich vor aller Augen zu verstecken. Werden sie in ihren Angriffen gestoppt, versuchen sie etwas anderes. Und hier offenbart sich einer der bedeutendsten und durch die Opfer immer noch zu sehr unterschätzten Aspekte von Cyberkriminalität: man kämpft nicht gegen Malware-Code, man kämpft gegen Menschen.

Ransomware ist das Finale einer Cyberattacke

Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – zum Beispiel durch die Ransomware-Meldung – erfolgt ist. Das ist allerdings sehr selten der Fall. Tatsächlich ist es so, dass sich Angreifer in aller Regel bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten haben. Sie agieren verborgen unter dem Radar, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk (siehe Grafik zu unterschiedlichem Ransomware-Verhalten), so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.

Opfer und Angreifer sind großem Stress ausgesetzt

Rund Neunzig Prozent der Attacken, die von Incident Respondern gesehen werden, involvieren Ransomware, und die Auswirkungen dieser Angriffe sind oft verheerend. Dies gilt besonders für systemrelevante Organisationen, wie zum Beispiel Gesundheitseinrichtungen, wo ein erfolgreicher Angriff abgesagte Operationen, verschwundene Röntgenbilder, verschlüsselte Ergebnisse von Krebs-Screenings und mehr bedeuten kann.

Einige Opfer fühlen sich ohnmächtig und halten eine Lösegeldzahlung für die einzige Option, um zum Beispiel den Zugriff auf Daten-Backups, die von den Angreifern gekapert wurden, wiederzuerlangen. Andere Organisationen entscheiden sich gegen eine Zahlung. Wiederum andere sorgen sich mehr um den Schaden für ihre Reputation (Veröffentlichung der gestohlenen Daten) denn über Lösegeld für Entschlüsselungscodes. Ransomware selbst variiert von geschäftsmäßig und raffiniert bis minderwertig und schlampig. Ransomware-Analysen haben gezeigt, dass Attacken nicht nur für die Opfer anstrengend und einschüchternd sind, sondern dass auch die Kriminellen zunehmend unter „Erfolgsstress“ stehen: Sie bedrängen Unternehmen, die sich weigern zu zahlen, immer massiver.

Herausforderung Wiederaufbau: Finde die Quelle

Die Incident-Responder-Daten deuten auch darauf hin, dass es vielen Opfern schwerfällt, die Bewegung von Ransomware durch die Organisation nachzuvollziehen. Es gibt die generelle Annahme, dass sie sich von ihrem Startpunkt automatisch in alle Richtungen des Netzwerks ausdehnt – während sie in Wirklichkeit strategisch auf eine vorausgewählte Liste von Geräten und Netzwerkbereichen konzentriert. Zudem zeigt sich, dass die Angreifer nicht nur Dokumente und andere Daten anvisieren, sondern sie schlichtweg die Geräte und Systeme soweit funktionsunfähig machen wollen, dass diese nur noch über genug Ressourcen verfügen, um die Ransomware-Benachrichtigung zu starten.

Für die Opfer einer Attacke bedeutet das: die Wiederherstellung des Systems beginnt nicht mit dem Wiedereinspielen eines Backups und der Suche danach, was die Angreifer noch angerichtet haben. Der Wiederherstellungsprozess startet oft mit der signifikanten Herausforderung, sämtliche betroffenen Maschinen neu aufzubauen. Und mit ihr die schwierige Aufgabe der Identifikation: von wo ging die Attacke aus und sind die Kriminellen vielleicht sogar noch immer im System?

Gefahrenabwehr nur mit Maschine und Mensch

Überwachungskameras können Verbrechen aufnehmen, Täter vielleicht auch abschrecken, aber stoppen können sie den Einbruch nicht. Entscheidend ist das Eingreifen der Sicherheitskraft, die live die Aufnahmen verfolgt und entsprechende Handlungen unternimmt. Seitdem die Cybergangster immer häufiger im Stealth-Modus unterwegs sind und sie ihre Fähigkeiten, legitime Werkzeuge und Prozesse zu verwenden, verbessert haben, steigt der Wert des menschlichen Faktors im Threat Hunting. Diese Methode kombiniert fortgeschrittene Algorithmen modernster Sicherheitssoftware mit täglicher menschlicher Expertise, die in der Lage ist, die Nuancen eines Angriffs zu bewerten – eine Fähigkeit, die Software (so noch) nicht besitzt.

Mehr dazu bei Sophos.com

 

[starbox id=15]

 

Passende Artikel zum Thema

NIS2-Richtlinie: Umsetzung mit Führungskräften kommunizieren

Ein kostenloses Whitepaper unterstützt CISOs dabei, die Sprache der Führungskräfte zu sprechen, um die Umsetzung der NIS2-Richtlinie im Unternehmen voranzubringen ➡ Weiterlesen

Ransomware-Attacken: 6 von 10 Unternehmen angegriffen

Die Bitkom hat mehr als 1.000 Unternehmen in Deutschland befragt: Mehr als die Hälfte der Unternehmen werden Opfer von Ransomware-Attacken ➡ Weiterlesen

NIS2 tritt bald in Kraft – 5 Tipps um sich Vorzubereiten

Im Oktober soll die EU-Richtlinie NIS2 in Deutschland in Kraft treten. Sie verpflichtet viele Unternehmen zu höheren Cybersicherheitsvorkehrungen. Deshalb ist ➡ Weiterlesen

Weltweite Gefahr: Schwachstellen bei Photovoltaikplattform

Wie die Experten der Bitdefender Labs festgestellt haben, sind Stromausfälle möglich durch Angriffe auf Photovoltaik-Wechselrichter und -Management-Plattformen. Eine Schwachstelle wurde erst im ➡ Weiterlesen

30 Prozent mehr Ransomware-Angriffe in Deutschland

In seinem diesjährigen State of Ransomware-Report „ThreatDown 2024 State of Ransomware“ zeigt Malwarebytes einen alarmierenden Anstieg von Ransomware-Angriffen im vergangenen ➡ Weiterlesen

SSTI Angriffe nehmen deutlich zu

SSTI stellt eine kritische Bedrohung für Web-Anwendungen dar. Angreifer können damit beliebigen Code ausführen und ganze Systeme übernehmen Ziel der ➡ Weiterlesen

Ransomware: Größere Unternehmen sind gefährdeter

Unternehmen in den USA erlebten die meisten Ransomware Vorfälle laut einer Studie, die Ransomware Trends untersuchte. Organisationen mit mehr als ➡ Weiterlesen

Qilin-Ransomware stiehlt Anmeldedaten aus Chrome

Bei einer Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten ➡ Weiterlesen