Was Führungskräfte über Ransomware-Angriffe wissen sollten

Was Führungskräfte über Ransomware-Angriffe wissen sollten

Beitrag teilen

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich verändert. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten. Experten von Varonis erklären, was jede Führungskraft über moderne Ransomware-Angriffe wissen sollte.

So haben moderne Angreifer gelernt, noch disruptivere Ransomware-Kampagnen zu starten. Dabei sind sie gleichzeitig effizienter und geschickter darin geworden, einer Strafverfolgung zu umgehen. So formieren sich Ransomware-Gruppen nach einer (seltenen) Zerschlagung um, bauen eine neue Infrastruktur auf und geben sich einen neuen Namen. Wie beispielsweise DarkSide, die Ransomware-Gruppe, die hinter mehreren prominenten Angriffen steckt, und nun wohl unter dem Namen BlackMatter firmiert. Oftmals kommen die Cyberkriminellen nach einer solchen Neuausrichtung stärker zurück, indem sie aus ihren Erfahrungen gelernt haben und neue Techniken sowie Schwachstellen nutzen. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten.

Anzeige

Die Zerschlagung der REvil-Infrastruktur durch russische Behörden und die Beschlagnahmung zumindest eines Teils der Beute sind sicherlich bemerkenswert und ermutigend. Ein Grund zur Entwarnung ist dies freilich nicht: Die Bekämpfung von Cyberkriminellen gleicht dem Löschen eines Feuers in einem trockenen Wald. Man kann es zwar löschen, aber es kann überall und jederzeit wieder aufflammen.

Ransomware als Geschäftsmodell

Cyber-Erpressung verspricht große Gewinne, was Entwicklung und Innovation auf Seiten der Kriminellen antreibt. Versuche, Kryptowährungen wie Bitcoin zu regulieren und ihre Anonymität zu begrenzen, erscheinen sinnvoll, aber schwierig durchzusetzen. Zudem setzen die Angreifer schon jetzt auf digitalen Währungen wie Monero, die schwieriger zu verfolgen sind. Solange sich die Rahmenbedingungen nicht grundsätzlich ändern, sollten Unternehmen davon ausgehen, dass es Ransomware-Banden auch weiterhin gibt, sie ihre Techniken verfeinern und es auf ihre kritischen Daten abgesehen haben.

Mittlerweile setzen die meisten Cyberkriminellen auf das effiziente Ransomware-as-a-Service (RaaS)-Modell, das es unabhängigen Angreifern ermöglicht, schnell zuzuschlagen und loszulegen. Sie können diese Dienstleistung mit eigenen Tools und Techniken kombinieren, um Opfer effektiv anzugreifen und deren Daten als Geiseln zu nehmen. Zunehmend verfolgen die Angreifer den „Double Extortion“-Ansatz, bei dem die Daten vor der Verschlüsselung entwendet werden, um mit der Drohung einer Veröffentlichung einen noch stärkeren Druck auf die Opfer aufzubauen. Zudem drohen die Angreifer mittlerweile oft auch mit einer Meldung an die offiziellen Datenschutzbehörden in dem Wissen, dass Unternehmen die dort angedrohten Strafzahlungen fürchten und es vermeiden möchten, in der Öffentlichkeit angeprangert zu werden.

Um ihre Profite zu maximieren, durchforsten die Angreifer die Dateien ihrer Opfer, um deren finanzielle Spielräume einzuschätzen und herauszufinden, ob und wie viel ihre Cyberversicherung im Falle eines Angriffs zahlen würde. Entsprechend wird dann die Lösegeldforderung angesetzt.

Verschiedene Vorgehensweisen, gleiches Ziel

Im Laufe der Zeit entwickelt jede Gruppierung eine bestimmte Vorgehensweise. So manipuliert BlackMatter beispielsweise oftmals die Zugangskontrollen, also die Sicherheitseinstellungen, die festlegen, wer auf welche Daten im Netzwerk zugreifen kann, sodass jeder Mitarbeiter Zugriff auf riesige Datenmengen hat. Mit anderen Worten: Sie knacken nicht den Tresor, sondern sprengen ihn auf und machen Unternehmen noch anfälliger für zukünftige Angriffe. Andere Angreifer rekrutieren aktiv Unternehmensinsider wie Mitarbeiter und andere Personen, die sich bereits im Netzwerk des Unternehmens befinden. Gerade unzufriedene Mitarbeiter sind hierfür häufig anfällig. Um den Druck auf die Opfer zu erhöhen, veröffentlichen einige Cyberkriminelle auch kleine Mengen gestohlener Daten.

So lässt sich die Ransomware-Abwehr stärken

Michael Scheffler, Country Manager DACH von Varonis Systems (Bild: Varonis).

Solange Ransomware für Kriminelle enorme Profite verspricht, werden sie weiter Opfer suchen und finden. Für Unternehmen geht es also darum, kein einfaches Opfer zu sein und die eigene Resilienz gegen datenbezogene Bedrohungen zu erhöhen.

  • Eliminieren Sie schwache und wiederverwendete Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Dieser wichtige Schritt ist einer der einfachsten, die Sie zum Schutz Ihres Unternehmens unternehmen können. Viele Gruppen wie beispielsweise BlackMatter erwerben Benutzernamen und Kennwörter im Dark Web und nutzen diese für Brute-Force-Angriffe.
  • Erkennen Sie ungewöhnliche Aktivitäten. In den meisten Unternehmen halten sich Ihre Mitarbeiter und Auftragnehmer an die täglichen Arbeitspläne, greifen auf dieselben Dateien zu und verwenden dieselben Geräte von bekannten Standorten aus. Ungewöhnliche Aktivitäten wie das Einloggen von einem neuen Standort aus und der Zugriff auf Dateien, die nicht für die Arbeit benötigt werden, können auf kompromittierte Konten oder Geräte hinweisen. Ungewöhnliche Aktivitäten, insbesondere wenn sie mit Verwaltungs- und Dienstkonten verbunden sind, sollten mit hoher Priorität beobachtet und gegebenenfalls schnell gestoppt werden.
  • Achten Sie bei Ihren Daten auf Anzeichen von Ransomware-Angriffen. Ransomware verhält sich nicht wie Ihr HR-Spezialist oder Ihr Buchhaltungsteam. Wenn Ransomware eingesetzt wird, beginnt sie schnell damit, viele Daten zu öffnen, zu bewerten und bei Bedarf diese Dateien dann auch zu verschlüsseln. Auch Mitarbeiter verschlüsseln legitimerweise Dateien. Malware verhält sich jedoch in der Regel anders als ein menschlicher Benutzer, indem sie Dateien in der Regel reihenweise und in hoher Frequenz ändert bzw. verschlüsselt. Dies geschieht zudem sehr häufig außerhalb der Arbeitszeit. Hierdurch wird eine Erkennung deutlich erschwert und Dateien können ungehindert verschlüsselt werden.
  • Verfolgen Sie einen datenzentrierten Ansatz. Trotz der explosionsartigen Zunahme von Endgeräten werden die meisten Daten mit großen, zentralisierten Datenspeichern vor Ort und in der Cloud gespeichert. Gleichzeitig gibt es eine enorme Anzahl an Vektoren, um an diese Daten zu gelangen. Selbst wenn man in der Lage wäre, diese komplett zu antizipieren und zu überwachen, würde man wahrscheinlich von Sicherheitswarnungen überflutet werden. Anstatt „außen“ mit all den Endpunkten und Vektoren zu beginnen und sich nach innen zu den Daten vorzuarbeiten, ist es wesentlich sinnvoller, mit dem Schutz Ihrer großen, zentralisierten Datenspeicher anzufangen.
  • Die meisten Unternehmen sind sich nicht bewusst, wie viele Daten allzu leicht zugänglich und unbewacht sind. Ein einziger kompromittierter Benutzer hat so das Potenzial, auf zahlreiche sensible Daten zuzugreifen und sie zu gefährden. So zeigt der Datenrisiko-Report für den eigentlich sicherheitsaffinen Finanzsektor, dass jeder Mitarbeiter von seinem ersten Arbeitstag an durchschnittlich Zugriff auf knapp 11 Millionen Dateien hat, in größeren Unternehmen sogar auf rund 20 Millionen – ein enormer Explosionsradius.

Möchten man sein Unternehmen widerstandsfähig machen, sollte man mit seinem größten Vorteil beginnen. Unternehmen wissen, was die Angreifer wollen: die Daten. Durch das Least-Pivilege-Modell sind Unternehmen in der Lage, ihren Mitarbeitern nur den Zugriff zu gewähren, den sie für ihre Arbeit auch tatsächlich benötigen. Indem man den Zugang zu den Daten systematisch begrenzt und sie genauer überwacht, macht man es den Angreifern viel schwerer.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

APT41 hat mit DodgeBox und Moonwalk aufgerüstet

Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

Ransomware-Angriffe: Der lange Leidensweg

Ransomware-Angriffe haben verheerende Folgen für Unternehmen. Sie dauern nur kurze Zeit, aber die Wiederherstellung kann sich über Monate hinziehen. Das ➡ Weiterlesen

Fertigung: Opfer von Credential-Harvesting-Angriffen

Cyberkriminelle haben es auf die Microsoft-Anmeldedaten von US-amerikanischen und kanadischen Fertigungsunternehmen abgesehen. Ein Anbieter von Cybersicherheitslösungen hat die Angriffe aufgedeckt ➡ Weiterlesen

Tipps zum Schutz vor CEO-Fraud und Deepfake-Angriffen

Deepfake-Angriffe nehmen rasant zu und werden immer besser. Besonders gefährlich ist es für Unternehmen, wenn ein Deepfake die Stimme und ➡ Weiterlesen

Fehlende Strategien gegen technologisch fundierte Cyber-Angriffe

Viele Unternehmen haben oft keine Strategie gegen raffinierte Cyber-Attacken. 83 Prozent der Unternehmen haben nach einer Umfrage keine umfassende Strategien gegen ➡ Weiterlesen

Die Zahl der Ransomware-Angriffe steigt stark

Nach der „Ransomware Review: First Half of 2024" wurde  im ersten Halbjahr 2024 ein signifikanter Anstieg von Ransomware-Angriffen weltweit beobachtet. ➡ Weiterlesen