Was Führungskräfte über Ransomware-Angriffe wissen sollten

Was Führungskräfte über Ransomware-Angriffe wissen sollten
Anzeige

Beitrag teilen

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich verändert. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten. Experten von Varonis erklären, was jede Führungskraft über moderne Ransomware-Angriffe wissen sollte.

So haben moderne Angreifer gelernt, noch disruptivere Ransomware-Kampagnen zu starten. Dabei sind sie gleichzeitig effizienter und geschickter darin geworden, einer Strafverfolgung zu umgehen. So formieren sich Ransomware-Gruppen nach einer (seltenen) Zerschlagung um, bauen eine neue Infrastruktur auf und geben sich einen neuen Namen. Wie beispielsweise DarkSide, die Ransomware-Gruppe, die hinter mehreren prominenten Angriffen steckt, und nun wohl unter dem Namen BlackMatter firmiert. Oftmals kommen die Cyberkriminellen nach einer solchen Neuausrichtung stärker zurück, indem sie aus ihren Erfahrungen gelernt haben und neue Techniken sowie Schwachstellen nutzen. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten.

Anzeige

Die Zerschlagung der REvil-Infrastruktur durch russische Behörden und die Beschlagnahmung zumindest eines Teils der Beute sind sicherlich bemerkenswert und ermutigend. Ein Grund zur Entwarnung ist dies freilich nicht: Die Bekämpfung von Cyberkriminellen gleicht dem Löschen eines Feuers in einem trockenen Wald. Man kann es zwar löschen, aber es kann überall und jederzeit wieder aufflammen.

Ransomware als Geschäftsmodell

Cyber-Erpressung verspricht große Gewinne, was Entwicklung und Innovation auf Seiten der Kriminellen antreibt. Versuche, Kryptowährungen wie Bitcoin zu regulieren und ihre Anonymität zu begrenzen, erscheinen sinnvoll, aber schwierig durchzusetzen. Zudem setzen die Angreifer schon jetzt auf digitalen Währungen wie Monero, die schwieriger zu verfolgen sind. Solange sich die Rahmenbedingungen nicht grundsätzlich ändern, sollten Unternehmen davon ausgehen, dass es Ransomware-Banden auch weiterhin gibt, sie ihre Techniken verfeinern und es auf ihre kritischen Daten abgesehen haben.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Mittlerweile setzen die meisten Cyberkriminellen auf das effiziente Ransomware-as-a-Service (RaaS)-Modell, das es unabhängigen Angreifern ermöglicht, schnell zuzuschlagen und loszulegen. Sie können diese Dienstleistung mit eigenen Tools und Techniken kombinieren, um Opfer effektiv anzugreifen und deren Daten als Geiseln zu nehmen. Zunehmend verfolgen die Angreifer den „Double Extortion“-Ansatz, bei dem die Daten vor der Verschlüsselung entwendet werden, um mit der Drohung einer Veröffentlichung einen noch stärkeren Druck auf die Opfer aufzubauen. Zudem drohen die Angreifer mittlerweile oft auch mit einer Meldung an die offiziellen Datenschutzbehörden in dem Wissen, dass Unternehmen die dort angedrohten Strafzahlungen fürchten und es vermeiden möchten, in der Öffentlichkeit angeprangert zu werden.

Um ihre Profite zu maximieren, durchforsten die Angreifer die Dateien ihrer Opfer, um deren finanzielle Spielräume einzuschätzen und herauszufinden, ob und wie viel ihre Cyberversicherung im Falle eines Angriffs zahlen würde. Entsprechend wird dann die Lösegeldforderung angesetzt.

Verschiedene Vorgehensweisen, gleiches Ziel

Im Laufe der Zeit entwickelt jede Gruppierung eine bestimmte Vorgehensweise. So manipuliert BlackMatter beispielsweise oftmals die Zugangskontrollen, also die Sicherheitseinstellungen, die festlegen, wer auf welche Daten im Netzwerk zugreifen kann, sodass jeder Mitarbeiter Zugriff auf riesige Datenmengen hat. Mit anderen Worten: Sie knacken nicht den Tresor, sondern sprengen ihn auf und machen Unternehmen noch anfälliger für zukünftige Angriffe. Andere Angreifer rekrutieren aktiv Unternehmensinsider wie Mitarbeiter und andere Personen, die sich bereits im Netzwerk des Unternehmens befinden. Gerade unzufriedene Mitarbeiter sind hierfür häufig anfällig. Um den Druck auf die Opfer zu erhöhen, veröffentlichen einige Cyberkriminelle auch kleine Mengen gestohlener Daten.

So lässt sich die Ransomware-Abwehr stärken

Michael Scheffler, Country Manager DACH von Varonis Systems (Bild: Varonis).

Solange Ransomware für Kriminelle enorme Profite verspricht, werden sie weiter Opfer suchen und finden. Für Unternehmen geht es also darum, kein einfaches Opfer zu sein und die eigene Resilienz gegen datenbezogene Bedrohungen zu erhöhen.

  • Eliminieren Sie schwache und wiederverwendete Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Dieser wichtige Schritt ist einer der einfachsten, die Sie zum Schutz Ihres Unternehmens unternehmen können. Viele Gruppen wie beispielsweise BlackMatter erwerben Benutzernamen und Kennwörter im Dark Web und nutzen diese für Brute-Force-Angriffe.
  • Erkennen Sie ungewöhnliche Aktivitäten. In den meisten Unternehmen halten sich Ihre Mitarbeiter und Auftragnehmer an die täglichen Arbeitspläne, greifen auf dieselben Dateien zu und verwenden dieselben Geräte von bekannten Standorten aus. Ungewöhnliche Aktivitäten wie das Einloggen von einem neuen Standort aus und der Zugriff auf Dateien, die nicht für die Arbeit benötigt werden, können auf kompromittierte Konten oder Geräte hinweisen. Ungewöhnliche Aktivitäten, insbesondere wenn sie mit Verwaltungs- und Dienstkonten verbunden sind, sollten mit hoher Priorität beobachtet und gegebenenfalls schnell gestoppt werden.
  • Achten Sie bei Ihren Daten auf Anzeichen von Ransomware-Angriffen. Ransomware verhält sich nicht wie Ihr HR-Spezialist oder Ihr Buchhaltungsteam. Wenn Ransomware eingesetzt wird, beginnt sie schnell damit, viele Daten zu öffnen, zu bewerten und bei Bedarf diese Dateien dann auch zu verschlüsseln. Auch Mitarbeiter verschlüsseln legitimerweise Dateien. Malware verhält sich jedoch in der Regel anders als ein menschlicher Benutzer, indem sie Dateien in der Regel reihenweise und in hoher Frequenz ändert bzw. verschlüsselt. Dies geschieht zudem sehr häufig außerhalb der Arbeitszeit. Hierdurch wird eine Erkennung deutlich erschwert und Dateien können ungehindert verschlüsselt werden.
  • Verfolgen Sie einen datenzentrierten Ansatz. Trotz der explosionsartigen Zunahme von Endgeräten werden die meisten Daten mit großen, zentralisierten Datenspeichern vor Ort und in der Cloud gespeichert. Gleichzeitig gibt es eine enorme Anzahl an Vektoren, um an diese Daten zu gelangen. Selbst wenn man in der Lage wäre, diese komplett zu antizipieren und zu überwachen, würde man wahrscheinlich von Sicherheitswarnungen überflutet werden. Anstatt „außen“ mit all den Endpunkten und Vektoren zu beginnen und sich nach innen zu den Daten vorzuarbeiten, ist es wesentlich sinnvoller, mit dem Schutz Ihrer großen, zentralisierten Datenspeicher anzufangen.
  • Die meisten Unternehmen sind sich nicht bewusst, wie viele Daten allzu leicht zugänglich und unbewacht sind. Ein einziger kompromittierter Benutzer hat so das Potenzial, auf zahlreiche sensible Daten zuzugreifen und sie zu gefährden. So zeigt der Datenrisiko-Report für den eigentlich sicherheitsaffinen Finanzsektor, dass jeder Mitarbeiter von seinem ersten Arbeitstag an durchschnittlich Zugriff auf knapp 11 Millionen Dateien hat, in größeren Unternehmen sogar auf rund 20 Millionen – ein enormer Explosionsradius.

Möchten man sein Unternehmen widerstandsfähig machen, sollte man mit seinem größten Vorteil beginnen. Unternehmen wissen, was die Angreifer wollen: die Daten. Durch das Least-Pivilege-Modell sind Unternehmen in der Lage, ihren Mitarbeitern nur den Zugriff zu gewähren, den sie für ihre Arbeit auch tatsächlich benötigen. Indem man den Zugang zu den Daten systematisch begrenzt und sie genauer überwacht, macht man es den Angreifern viel schwerer.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Cyberattacken: Gefahr für die Lieferkette

Mit dem stetigen Voranschreiten der digitalen Transformation in den letzten Jahren wurden Unternehmen zunehmend abhängig von zahlreichen Partnern und Lieferanten. ➡ Weiterlesen

IT-Sicherheit: In die richtigen Maßnahmen investieren

Deutsche Unternehmen investieren in IT-Sicherheit, wie eine aktuell veröffentlichte Studie zeigt. Die Frage ist nur, ob sie dabei auch korrekt ➡ Weiterlesen

Cyberattacke: MDR senkt extrem den Versicherungsschaden  

Eine Sophos-Untersuchung von 282 Schadensfällen zeigt: Der Wert der Cyberversicherungsansprüche von Unternehmen, die MDR-Dienste nutzen, ist im Durchschnitt 97,5 Prozent ➡ Weiterlesen

Ransomware-Trends: Cybercrime-Szene im Umbruch

Ransomware: Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. ➡ Weiterlesen

KI und ihr noch großer Vorteil in der Cybersicherheit

Gemeinsam mit Chester Wisniewski, Director, Global Field CISO bei Sophos, haben wir diverse Aspekte über den Einsatz von Künstlicher Intelligenz ➡ Weiterlesen

Sicherheitsplattform für Cloud- und On-Premise-Umgebungen

Neue Sicherheitsplattform für konvergierende Cloud- und On-Premise-Umgebungen: Die AlgoSec Horizon-Plattform ermöglicht Unternehmen die Absicherung von Anwendungen in komplexen, konvergierenden Cloud- und ➡ Weiterlesen

KI-generierter Betrug: Deepfakes, KI-Voices, Fake-Profile verhindern

KIs generieren alles für den Benutzer – auch jede Menge Content für den Betrug, wie Deepfakes, KI-Voices oder Fake-Profile. Nutzer ➡ Weiterlesen

Die wachsende Zahl maschineller Identitäten wird zum Problem

In den meisten deutschen Unternehmen gibt es deutlich mehr maschinelle als menschliche Identitäten, und diese Schere wird in den kommenden ➡ Weiterlesen