Ransomware zielt auf Milliarden-Unternehmen

Ransomware zielt auf Milliarden-Unternehmen
Anzeige

Beitrag teilen

Nefilim Ransomware nimmt gezielt Opfer mit über 1 Milliarde Dollar Jahresumsatz ins Visier. Studie von Trend Micro analysiert eine der erfolgreichsten Bedrohungsgruppen für moderne Ransomware.

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, hat eine Fallstudie über die Ransomware-Gruppe Nefilim veröffentlicht, die tiefen Einblick in den Ablauf moderner Ransomware-Angriffe gibt. Die Studie bietet wertvolle Hintergründe, wie sich Ransomware-Gruppen entwickeln, im Untergrund agieren und wie fortschrittliche Detection-und-Response-Plattformen zu ihrer Abwehr beitragen.

Anzeige

Vorgehensweise moderner Ransomware-Familien

Die Vorgehensweise moderner Ransomware-Familien erschwert die Erkennung und Bekämpfung von Cyberangriffen (Detection und Response) für bereits überlastete SOC- (Security Operations Center) und IT-Security-Teams erheblich. Dies ist nicht nur entscheidend für den Geschäftserfolg und die Unternehmensreputation, sondern auch für das Stresslevel der SOC-Teams selbst.

„Moderne Ransomware-Angriffe sind überaus zielgerichtet, anpassungsfähig sowie verdeckt und gehen dabei nach bewährten, von APT-Gruppen (Advanced Persistent Threat) bereits perfektionierten Ansätzen vor. Indem sie Daten stehlen sowie wichtige Systeme sperren, versuchen Gruppen wie Nefilim, hochprofitable, global agierende Unternehmen zu erpressen,“ erklärt Richard Werner, Business Consultant bei Trend Micro. „Unsere neueste Studie ist ein Muss für alle in der Branche, die diese schnell wachsende Schattenwirtschaft umfassend verstehen und zudem nachvollziehen möchten, wie Lösungen für Extended Detection und Response (XDR) dabei unterstützen, gegen sie vorzugehen.“

Anzeige

Unter der Lupe: 16 Ransomware-Gruppen

Unter den von März 2020 bis Januar 2021 untersuchten 16 Ransomware-Gruppen waren Conti, Doppelpaymer, Egregor und REvil die Spitzenreiter in Bezug auf die Anzahl der gefährdeten Opfer. Dabei wies Cl0p mit 5 Terabytes (TB) die meisten gestohlenen Daten auf, die online gehostet wurden.

Aufgrund der strikten Fokussierung auf Unternehmen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar erzielte Nefilim mit Erpressungen jedoch den höchsten Durchschnittsumsatz.

Wie die Studie von Trend Micro zeigt, weist ein Nefilim-Angriff in der Regel folgende Phasen auf

  1. Einleitender Zugriff, welcher schwache Zugangsdaten bei exponierten Remote-Desktop-Protocol (RDP)-Diensten oder anderen nach außen gerichteten HTTP-Diensten missbraucht.
  2. Nach dem Eindringen werden legitime Admin-Tools für laterale Bewegungen verwendet, um wertvolle Systeme für den Datendiebstahl sowie die Verschlüsselung zu ermitteln.
  3. Ein „Call-Home-System“ wird mit Cobalt Strike und Protokollen wie HTTP, HTTPS und DNS aufgesetzt, die jede Firewall passieren können.
  4. Für C&C-Server werden speziell gesicherte, sogenannte „Bulletproof“-Dienste verwendet.
  5. Die Daten werden ausgelesen und anschließend auf Tor-geschützten Websites veröffentlicht, um die Opfer zu erpressen. Im letzten Jahr veröffentlichte Nefilim etwa zwei Terabyte Daten.
  6. Der Ransomware-Anteil wird manuell ausgelöst, sobald genügend Daten vorliegen.

Studien-Erkenntnisse: Beziehungen zwischen Malware-Loadern und der letzten Ransomware-Payload (Bild: Trend Micro).

Trend Micro warnte bereits vor dem weit verbreiteten Einsatz legitimer Tools wie AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec und MegaSync, mit denen Ransomware-Angreifer ihr Ziel erreichen und dabei unbemerkt bleiben können. Dadurch kann es für SOC-Analysten, die sich Ereignisprotokolle aus verschiedenen Teilen der Umgebung ansehen, zu einer Herausforderung werden, die übergeordneten Zusammenhänge sowie Angriffe zu erkennen.

Herausforderung für SOC-Analysten

Trend Micro Vision One überwacht und korreliert verdächtiges Verhalten über mehrere Ebenen hinweg, von Endpunkten über E-Mails, Server und Cloud-Workloads, um sicherzustellen, dass es für Bedrohungsakteure keine Hintertüren gibt. Dies sorgt bei Vorfällen für schnellere Reaktionszeiten. Teams können Angriffe meist stoppen, bevor diese ernsthafte Auswirkungen auf das Unternehmen haben.

Den vollständigen Bericht „Modern Ransomware‘s Double Extortion Tactics and How to Protect Enterprises Against Them“ können gibt es bei Trend Micro online.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können. Mit über 6.700 Mitarbeitern in 65 Ländern und der weltweit fortschrittlichsten Erforschung und Auswertung globaler Cyberbedrohungen ermöglicht Trend Micro Unternehmen, ihre vernetzte Welt zu schützen. Die deutsche Niederlassung von Trend Micro befindet sich in Garching bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.


 

Passende Artikel zum Thema

Cyber-Attacken auf Industrie kosten Unternehmen Millionen

Eine Studie von Trend Micro untersucht Auswirkungen von Cyber-Attacken auf industrielle Systeme. Für deutsche Unternehmen, deren OT und Steuerungssysteme von ➡ Weiterlesen

Hacking-Wettbewerb deckt 25 Zero-Day-Schwachstellen auf 

Trend Micros Pwn2Own bringt namhafte Technologiehersteller zusammen und fördert Schwachstellenforschung. Der Hacking-Wettbewerb erhöht somit die Sicherheit für etwa 1 Milliarde ➡ Weiterlesen

Umfassende Cybersecurity-Plattform Trend Micro One

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, führt mit Trend Micro One eine umfassende Cybersecurity-Plattform einschließlich eines wachsenden ➡ Weiterlesen

80 Prozent deutscher Unternehmen rechnen mit Cyber-Attacke

Die Arbeit aus dem Homeoffice und via Cloud-Infrastrukturen sind Quellen der größten Cybersicherheitsrisiken für Unternehmen. Daher rechnen über 80 Prozent ➡ Weiterlesen

Teure Kryptomining-Angriffe auf Cloud-Infrastrukturen

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, veröffentlicht einen neuen Forschungsbericht zum Thema Kryptomining. Der Report legt dar, ➡ Weiterlesen

Security-Experten mit Rekordzahl an Cyberbedrohungen konfrontiert

Unternehmen suchen nach neuen Wegen, um ihre immer größer werdende Angriffsfläche zu schützen und weiterhin Sicherheit zu gewährleisten. Eine Studie von ➡ Weiterlesen

Juristischer Leitfaden für IT-Verantwortliche und Geschäftsführungen

IT-Compliance: Trend Micro veröffentlicht seinen juristischen Leitfaden in einer Neuauflage. Dieser unterstützt bereits in der siebten Auflage IT-Verantwortliche und Geschäftsführungen ➡ Weiterlesen

94 Milliarden Cyberbedrohungen im Jahr 2021 blockiert

Mit der rapiden Zunahme von Cyberangriffen stieg auch die Anzahl der blockierten Bedrohungen um 42 Prozent im Vergleich zum Vorjahr. ➡ Weiterlesen