Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten eine Ransomware-Attacke typischerweise abläuft. Auf dieser Basis können Unternehmen Sicherheitsmaßnahmen für die Zukunft ableiten.
aDvens, eines der führenden unabhängigen Unternehmen für Cybersicherheit in Europa, hat anhand der Daten aus seinem Security Operations Center den typischen Ablauf eines Cyberangriffs analysiert (abgesehen von Angriffen, denen keine finanziellen Motive zugrunde liegen – zum Beispiel Sabotage) und drei unterschiedliche Schritte identifiziert:
1. Angriffsschritt: Erstzugriff
In diesem Schritt verschaffen sich Angreifer auf diskrete Art und Weise Zugang zum Unternehmensnetzwerk. Laut aDvens geschieht dies in 80 Prozent aller Fälle über legitime, zugangsberechtigte Nutzerkonten und in 80 Prozent davon wiederum über externe Zugänge von Drittanbietern oder Dienstleistern. Auch Social- Engineering-Angriffe wie Phishing sind bei Cyberkriminellen beliebt, wie auch die Nutzung von öffentlich zugänglichen Schwachstellen. Obwohl es zu diesem Zeitpunkt noch keine oder kaum direkte Auswirkungen auf das Unternehmen gibt, ist bereits dieses Stadium des Angriffs gefährlich. Denn viele Angreifer verkaufen die erbeuteten Anmeldedaten zusätzlich im Darknet, was weitere Angriffe zur Folge haben kann.
2. Angriffsschritt: Auskundschaften
Im nächsten Schritt identifizieren Angreifer potenziell für ihre Ziele relevante Daten (z. B. HR-Daten oder Verträge). Dafür bewegen sie sich innerhalb des Systems mithilfe kompromittierter, aber legitimer Nutzerkonten und Verwaltungs-Tools, die keinen Verdacht erregen. Obwohl das Auskundschaften manchmal die Verbindung mit Systemkomponenten wie dem ERP oder mit Authentifizierungs-Tools stören kann, gibt es auch zu diesem Zeitpunkt noch keine oder kaum Auswirkungen auf das Unternehmen.
3. Angriffsschritt: Ausnutzung
Im letzten Schritt sind die Auswirkungen auf das Unternehmen am größten, denn jetzt kommt üblicherweise die Ransomware zum Einsatz. Sobald die Angreifer die für sie relevanten Daten identifiziert haben, werden diese gestohlen und/oder verschlüsselt, um ein Lösegeld für die Entschlüsselung oder den Nichtverkauf der Daten zu fordern. Um die Zahlung des Lösegelds wahrscheinlicher zu machen, werden Tools verwendet, die es den Angreifern ermöglichen, die Kontrolle über die Systemverwaltung zu erlangen und evtl. vorhandene Daten-Backups zu löschen – so soll der Druck auf das Unternehmen erhöht werden, indem Alternativen zur Lösegeldzahlung wegfallen.
Mehr bei aDvens.com
Über aDvens
aDvens ist ein führendes, unabhängiges europäisches Unternehmen für Cybersicherheit. Seit seiner Gründung im Jahr 2000 ist der Name des Unternehmens sein Leitbild. aDvens steht für „Together and Ahead“ („Gemeinsam und voraus“). Seine Mission ist es, öffentliche und private Organisationen vor Cyberbedrohungen zu schützen – und das rund um die Uhr. aDvens bietet Managed Detection & Response Services (SOC-as-a-Service) und ausgewählte Beratungsleistungen im Bereich Cybersecurity und OT Security.
Passende Artikel zum Thema