Wie der Q2-Q3 2022 Ransomware Report von Ivanti zeigt, haben sich die Ransomware-Angriffe gegenüber dem Jahr 2019 mehr als vervierfacht – einschließlich des verstärkten Einsatzes in der Kriegsführung. Unternehmen müssen über die Bedrohungslandschaft und ihre Schwachstellen Bescheid wissen.
Ivanti, der Anbieter von Ivanti Neurons, der Automatisierungsplattform, die IT-Assets von der Cloud bis zum Edge entdeckt, verwaltet, sichert und pflegt, hat die Ergebnisse seines Ransomware Index Report Q2-Q3 2022 veröffentlicht. Der Bericht zeigt, dass Ransomware seit 2019 um mehr als das Vierfache (466 %) zugenommen hat. Darüber hinaus wird Ransomware zunehmend als Kriegswaffe eingesetzt, wie der Krieg in der Ukraine und der Cyberwar zwischen Iran und Albanien zeigen.
Mehr Angriffe, mehr Varianten
Der Bericht stellt fest, dass die Zahl der Ransomware-Gruppen wächst – gleichzeitig werden sie immer raffinierter: In den ersten drei Quartalen 2022 können 35 Schwachstellen mit Ransomware in Verbindung gebracht werden. Darüber hinaus gibt es derzeit 159 trendige und aktiv ausgenutzte Exploits. Erschwerend kommt für die Unternehmen hinzu, dass es an ausreichenden Daten und Informationen über die Bedrohungslage mangelt. Daher ist es für sie schwierig, ihre Systeme wirksam zu patchen und Schwachstellen effizient zu beseitigen.
In dem Bericht wurden auch zehn neue Ransomware-Familien identifiziert (Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui und NamPoHyu). Damit erhöht sich ihre Gesamtzahl auf 170. Mit 101 CVEs für Phishing verlassen sich Ransomware-Angreifer zunehmend auf Spear-Phishing-Techniken, um ihre Opfer zu ködern und ihre bösartige Nutzlast zu übermitteln.
Neue Ransomware-Familien wie Black Basta & Co
Ransomware ist nur mit dem Faktor Mensch erfolgreich. Phishing als einzige Angriffsmethode ist jedoch ein Mythos. Im Rahmen des Berichts wurden 323 aktuelle Ransomware-Schwachstellen analysiert und dem MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) Framework zugeordnet. Die Datenbank enthält Informationen über Cyberangriffsmethoden, die auf realen Beobachtungen beruhen. Dies hilft bei der Identifizierung präziser Taktiken, Techniken und Verfahren, die als „Kill Chain“ bei Angriffen auf eine Organisation dienen können. Die mehrstufige Cyber-Kill-Chain beschreibt dabei ein immer tieferes Eindringen von Cyber-Kriminellen. Das Ergebnis: Bei 57 der analysierten Schwachstellen können Systeme komplett übernommen werden, vom ersten Zugriff bis zur Exfiltration.
Schwachstellen-Datenbanken lückenhaft
Der Bericht enthüllt auch zwei neue Ransomware-Schwachstellen (CVE-2021-40539 und CVE-2022-26134), die beide von weit verbreiteten Ransomware-Familien wie AvosLocker und Cerber entweder vor oder an dem Tag ausgenutzt wurden, an dem sie in der National Vulnerability Database (NVD) veröffentlicht wurden. Dies zeigt, dass Unternehmen, die sich bei der Behebung von Schwachstellen ausschließlich auf die Veröffentlichung der NVD verlassen, anfälliger für Angriffe sind.
Srinivas Mukkamala, Chief Product Officer bei Ivanti, sagt: „IT- und Sicherheitsteams müssen dringend einen risikobasierten Ansatz für das Schwachstellenmanagement wählen, um sich besser vor Ransomware und anderen Bedrohungen zu schützen. Dazu gehört der Einsatz von Automatisierungstechnologien, die Daten aus verschiedenen Quellen (z. B. Netzwerkscanner, interne und externe Schwachstellendatenbanken und Penetrationstests) korrelieren, Risiken bewerten, Frühwarnungen zu Bedrohungen ausgeben, Angriffe vorhersagen und Gegenmaßnahmen priorisieren. Unternehmen, die sich weiterhin auf traditionelle Ansätze für das Schwachstellenmanagement verlassen – wie etwa die ausschließliche Verwendung von NVD und anderen öffentlichen Datenbanken zur Priorisierung und zum Patchen von Schwachstellen – sind ständig einem hohen Risiko von Cyberangriffen ausgesetzt.“
Scanner haben blinde Flecken
Der Bericht zeigt, dass 18 Schwachstellen, die mit Ransomware in Verbindung stehen, von gängigen Scannern nicht erkannt werden. Dies unterstreicht, wie wichtig es ist, mehr als nur traditionelle Schwachstellenmanagement-Ansätze zu verwenden. Aaron Sandeen, CEO von Cyber Security Works, meint dazu: „Die Aussichten sind düster, wenn die Scanner, auf die sich Unternehmen verlassen, Schwachstellen nicht erkennen. Unternehmen müssen eine Lösung zur Verwaltung der Angriffsfläche einsetzen, die Schwachstellen in allen Unternehmensressourcen aufspüren kann.
Kritische Infrastrukturen werden zum Ziel
Darüber hinaus analysiert der Bericht die Auswirkungen von Ransomware auf kritische Infrastrukturen. Die Daten zeigen, dass 47,4 % der Ransomware-Schwachstellen Gesundheitssysteme, 31,6 % Energiesysteme und 21,1 % kritische Produktionsanlagen betreffen. Anuj Goel, Mitbegründer und CEO von Cyware, sagt: „Zwar haben sich die Strategien zur Wiederherstellung von Vorfällen im Laufe der Zeit verbessert, aber Vorbeugen ist immer besser als Heilen. Um den Bedrohungskontext richtig zu analysieren und proaktive Maßnahmen zu ergreifen.
Malware im Trend
Als Ransomware-Trends nennt der Report insbesondere Malware mit plattformübergreifenden Funktionen. Mit ihr können Ransomware-Betreiber mit einer einzigen Codebasis leicht mehrere Betriebssysteme angreifen. Der Bericht deckt auch eine beträchtliche Anzahl von Angriffen auf Drittanbieter von Sicherheitslösungen und Software-Code-Bibliotheken auf. Mit Blick auf die Zukunft müssen Unternehmen weiter mit neuen Ransomware-Gruppen rechnen. Zwar lösen sich bekannte Gruppen wie Conti und DarkSide dem Vernehmen nach auf. Neuen Gruppen bietet sich jedoch so die Chance, den Quellcode und die Angriffsmethoden wiederzuverwenden oder zu modifizieren, die sie von den nicht mehr existierenden Ransomware-Gruppen übernommen haben.
Der Ransomware Index Spotlight Report basiert auf Daten aus verschiedenen Quellen, darunter proprietäre Daten von Ivanti und CSW, öffentlich zugängliche Bedrohungsdatenbanken sowie Informationen von Bedrohungsforschern und Penetrationstest-Teams. Ivanti hat die Studie gemeinsam mit Cyber Security Works, einer Certifying Numbering Authority (CNA), und Cyware, einem führenden Anbieter der Technologieplattform zum Aufbau von Cyber Fusion Centers, durchgeführt. Hier geht es zum Download des vollständigen Reports.
Mehr bei Ivanti.com
Über Ivanti Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.