Was Führungskräfte über Ransomware-Angriffe wissen sollten

20. April 2022
| Keine Kommentare
Was Führungskräfte über Ransomware-Angriffe wissen sollten

Beitrag teilen

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich verändert. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten. Experten von Varonis erklären, was jede Führungskraft über moderne Ransomware-Angriffe wissen sollte.

So haben moderne Angreifer gelernt, noch disruptivere Ransomware-Kampagnen zu starten. Dabei sind sie gleichzeitig effizienter und geschickter darin geworden, einer Strafverfolgung zu umgehen. So formieren sich Ransomware-Gruppen nach einer (seltenen) Zerschlagung um, bauen eine neue Infrastruktur auf und geben sich einen neuen Namen. Wie beispielsweise DarkSide, die Ransomware-Gruppe, die hinter mehreren prominenten Angriffen steckt, und nun wohl unter dem Namen BlackMatter firmiert. Oftmals kommen die Cyberkriminellen nach einer solchen Neuausrichtung stärker zurück, indem sie aus ihren Erfahrungen gelernt haben und neue Techniken sowie Schwachstellen nutzen. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten.

Die Zerschlagung der REvil-Infrastruktur durch russische Behörden und die Beschlagnahmung zumindest eines Teils der Beute sind sicherlich bemerkenswert und ermutigend. Ein Grund zur Entwarnung ist dies freilich nicht: Die Bekämpfung von Cyberkriminellen gleicht dem Löschen eines Feuers in einem trockenen Wald. Man kann es zwar löschen, aber es kann überall und jederzeit wieder aufflammen.

Ransomware als Geschäftsmodell

Cyber-Erpressung verspricht große Gewinne, was Entwicklung und Innovation auf Seiten der Kriminellen antreibt. Versuche, Kryptowährungen wie Bitcoin zu regulieren und ihre Anonymität zu begrenzen, erscheinen sinnvoll, aber schwierig durchzusetzen. Zudem setzen die Angreifer schon jetzt auf digitalen Währungen wie Monero, die schwieriger zu verfolgen sind. Solange sich die Rahmenbedingungen nicht grundsätzlich ändern, sollten Unternehmen davon ausgehen, dass es Ransomware-Banden auch weiterhin gibt, sie ihre Techniken verfeinern und es auf ihre kritischen Daten abgesehen haben.

Mittlerweile setzen die meisten Cyberkriminellen auf das effiziente Ransomware-as-a-Service (RaaS)-Modell, das es unabhängigen Angreifern ermöglicht, schnell zuzuschlagen und loszulegen. Sie können diese Dienstleistung mit eigenen Tools und Techniken kombinieren, um Opfer effektiv anzugreifen und deren Daten als Geiseln zu nehmen. Zunehmend verfolgen die Angreifer den „Double Extortion“-Ansatz, bei dem die Daten vor der Verschlüsselung entwendet werden, um mit der Drohung einer Veröffentlichung einen noch stärkeren Druck auf die Opfer aufzubauen. Zudem drohen die Angreifer mittlerweile oft auch mit einer Meldung an die offiziellen Datenschutzbehörden in dem Wissen, dass Unternehmen die dort angedrohten Strafzahlungen fürchten und es vermeiden möchten, in der Öffentlichkeit angeprangert zu werden.

Um ihre Profite zu maximieren, durchforsten die Angreifer die Dateien ihrer Opfer, um deren finanzielle Spielräume einzuschätzen und herauszufinden, ob und wie viel ihre Cyberversicherung im Falle eines Angriffs zahlen würde. Entsprechend wird dann die Lösegeldforderung angesetzt.

Verschiedene Vorgehensweisen, gleiches Ziel

Im Laufe der Zeit entwickelt jede Gruppierung eine bestimmte Vorgehensweise. So manipuliert BlackMatter beispielsweise oftmals die Zugangskontrollen, also die Sicherheitseinstellungen, die festlegen, wer auf welche Daten im Netzwerk zugreifen kann, sodass jeder Mitarbeiter Zugriff auf riesige Datenmengen hat. Mit anderen Worten: Sie knacken nicht den Tresor, sondern sprengen ihn auf und machen Unternehmen noch anfälliger für zukünftige Angriffe. Andere Angreifer rekrutieren aktiv Unternehmensinsider wie Mitarbeiter und andere Personen, die sich bereits im Netzwerk des Unternehmens befinden. Gerade unzufriedene Mitarbeiter sind hierfür häufig anfällig. Um den Druck auf die Opfer zu erhöhen, veröffentlichen einige Cyberkriminelle auch kleine Mengen gestohlener Daten.

So lässt sich die Ransomware-Abwehr stärken

Michael Scheffler, Country Manager DACH von Varonis Systems (Bild: Varonis).

Solange Ransomware für Kriminelle enorme Profite verspricht, werden sie weiter Opfer suchen und finden. Für Unternehmen geht es also darum, kein einfaches Opfer zu sein und die eigene Resilienz gegen datenbezogene Bedrohungen zu erhöhen.

  • Eliminieren Sie schwache und wiederverwendete Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Dieser wichtige Schritt ist einer der einfachsten, die Sie zum Schutz Ihres Unternehmens unternehmen können. Viele Gruppen wie beispielsweise BlackMatter erwerben Benutzernamen und Kennwörter im Dark Web und nutzen diese für Brute-Force-Angriffe.
  • Erkennen Sie ungewöhnliche Aktivitäten. In den meisten Unternehmen halten sich Ihre Mitarbeiter und Auftragnehmer an die täglichen Arbeitspläne, greifen auf dieselben Dateien zu und verwenden dieselben Geräte von bekannten Standorten aus. Ungewöhnliche Aktivitäten wie das Einloggen von einem neuen Standort aus und der Zugriff auf Dateien, die nicht für die Arbeit benötigt werden, können auf kompromittierte Konten oder Geräte hinweisen. Ungewöhnliche Aktivitäten, insbesondere wenn sie mit Verwaltungs- und Dienstkonten verbunden sind, sollten mit hoher Priorität beobachtet und gegebenenfalls schnell gestoppt werden.
  • Achten Sie bei Ihren Daten auf Anzeichen von Ransomware-Angriffen. Ransomware verhält sich nicht wie Ihr HR-Spezialist oder Ihr Buchhaltungsteam. Wenn Ransomware eingesetzt wird, beginnt sie schnell damit, viele Daten zu öffnen, zu bewerten und bei Bedarf diese Dateien dann auch zu verschlüsseln. Auch Mitarbeiter verschlüsseln legitimerweise Dateien. Malware verhält sich jedoch in der Regel anders als ein menschlicher Benutzer, indem sie Dateien in der Regel reihenweise und in hoher Frequenz ändert bzw. verschlüsselt. Dies geschieht zudem sehr häufig außerhalb der Arbeitszeit. Hierdurch wird eine Erkennung deutlich erschwert und Dateien können ungehindert verschlüsselt werden.
  • Verfolgen Sie einen datenzentrierten Ansatz. Trotz der explosionsartigen Zunahme von Endgeräten werden die meisten Daten mit großen, zentralisierten Datenspeichern vor Ort und in der Cloud gespeichert. Gleichzeitig gibt es eine enorme Anzahl an Vektoren, um an diese Daten zu gelangen. Selbst wenn man in der Lage wäre, diese komplett zu antizipieren und zu überwachen, würde man wahrscheinlich von Sicherheitswarnungen überflutet werden. Anstatt „außen“ mit all den Endpunkten und Vektoren zu beginnen und sich nach innen zu den Daten vorzuarbeiten, ist es wesentlich sinnvoller, mit dem Schutz Ihrer großen, zentralisierten Datenspeicher anzufangen.
  • Die meisten Unternehmen sind sich nicht bewusst, wie viele Daten allzu leicht zugänglich und unbewacht sind. Ein einziger kompromittierter Benutzer hat so das Potenzial, auf zahlreiche sensible Daten zuzugreifen und sie zu gefährden. So zeigt der Datenrisiko-Report für den eigentlich sicherheitsaffinen Finanzsektor, dass jeder Mitarbeiter von seinem ersten Arbeitstag an durchschnittlich Zugriff auf knapp 11 Millionen Dateien hat, in größeren Unternehmen sogar auf rund 20 Millionen – ein enormer Explosionsradius.

Möchten man sein Unternehmen widerstandsfähig machen, sollte man mit seinem größten Vorteil beginnen. Unternehmen wissen, was die Angreifer wollen: die Daten. Durch das Least-Pivilege-Modell sind Unternehmen in der Lage, ihren Mitarbeitern nur den Zugriff zu gewähren, den sie für ihre Arbeit auch tatsächlich benötigen. Indem man den Zugang zu den Daten systematisch begrenzt und sie genauer überwacht, macht man es den Angreifern viel schwerer.

Mehr bei Varonis.com

 

Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,

 

Passende Artikel zum Thema

KMU: Von Cyberrisiken bedroht

Cyberattacken sind eine Herausforderung für KMU. Weltweit ist ungefähr die Hälfte der KMU schon einmal Ziel einer solchen gewesen. T-Sicherheitsherausforderung ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

Finanzbranche kommt an der Cloud nicht vorbei

Obwohl in der Finanzbranche die Sicherheits-Anforderungen an Cloud-Computing besonders hoch sind, setzen immer mehr Finanzinstitute auf Cloud-Lösungen. Höhere Flexibilität, schlankere ➡ Weiterlesen

LockBit: Gestohlene Shimano-Daten wohl veröffentlicht

Der japanische Hersteller für Fahrradteile Shimano wurde Ziel laut LockBit Opfer eines Ransomware-Angriffs und zeigte sich offenbar nicht bereit, Lösegeld ➡ Weiterlesen

Mehr Cyberangriffe auf kritische Infrastrukturen

Kritische Infrastrukturen rücken zunehmend in den Fokus von Cyberkriminellen. Mehr als die Hälfte der Angriffe gehen von staatsnahen Gruppierungen aus. ➡ Weiterlesen

Storys
, , , , ,