Was Führungskräfte über Ransomware-Angriffe wissen sollten

Was Führungskräfte über Ransomware-Angriffe wissen sollten
Anzeige

Beitrag teilen

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich verändert. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten. Experten von Varonis erklären, was jede Führungskraft über moderne Ransomware-Angriffe wissen sollte.

So haben moderne Angreifer gelernt, noch disruptivere Ransomware-Kampagnen zu starten. Dabei sind sie gleichzeitig effizienter und geschickter darin geworden, einer Strafverfolgung zu umgehen. So formieren sich Ransomware-Gruppen nach einer (seltenen) Zerschlagung um, bauen eine neue Infrastruktur auf und geben sich einen neuen Namen. Wie beispielsweise DarkSide, die Ransomware-Gruppe, die hinter mehreren prominenten Angriffen steckt, und nun wohl unter dem Namen BlackMatter firmiert. Oftmals kommen die Cyberkriminellen nach einer solchen Neuausrichtung stärker zurück, indem sie aus ihren Erfahrungen gelernt haben und neue Techniken sowie Schwachstellen nutzen. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten.

Anzeige

Die Zerschlagung der REvil-Infrastruktur durch russische Behörden und die Beschlagnahmung zumindest eines Teils der Beute sind sicherlich bemerkenswert und ermutigend. Ein Grund zur Entwarnung ist dies freilich nicht: Die Bekämpfung von Cyberkriminellen gleicht dem Löschen eines Feuers in einem trockenen Wald. Man kann es zwar löschen, aber es kann überall und jederzeit wieder aufflammen.

Ransomware als Geschäftsmodell

Cyber-Erpressung verspricht große Gewinne, was Entwicklung und Innovation auf Seiten der Kriminellen antreibt. Versuche, Kryptowährungen wie Bitcoin zu regulieren und ihre Anonymität zu begrenzen, erscheinen sinnvoll, aber schwierig durchzusetzen. Zudem setzen die Angreifer schon jetzt auf digitalen Währungen wie Monero, die schwieriger zu verfolgen sind. Solange sich die Rahmenbedingungen nicht grundsätzlich ändern, sollten Unternehmen davon ausgehen, dass es Ransomware-Banden auch weiterhin gibt, sie ihre Techniken verfeinern und es auf ihre kritischen Daten abgesehen haben.

Anzeige

Mittlerweile setzen die meisten Cyberkriminellen auf das effiziente Ransomware-as-a-Service (RaaS)-Modell, das es unabhängigen Angreifern ermöglicht, schnell zuzuschlagen und loszulegen. Sie können diese Dienstleistung mit eigenen Tools und Techniken kombinieren, um Opfer effektiv anzugreifen und deren Daten als Geiseln zu nehmen. Zunehmend verfolgen die Angreifer den „Double Extortion“-Ansatz, bei dem die Daten vor der Verschlüsselung entwendet werden, um mit der Drohung einer Veröffentlichung einen noch stärkeren Druck auf die Opfer aufzubauen. Zudem drohen die Angreifer mittlerweile oft auch mit einer Meldung an die offiziellen Datenschutzbehörden in dem Wissen, dass Unternehmen die dort angedrohten Strafzahlungen fürchten und es vermeiden möchten, in der Öffentlichkeit angeprangert zu werden.

Um ihre Profite zu maximieren, durchforsten die Angreifer die Dateien ihrer Opfer, um deren finanzielle Spielräume einzuschätzen und herauszufinden, ob und wie viel ihre Cyberversicherung im Falle eines Angriffs zahlen würde. Entsprechend wird dann die Lösegeldforderung angesetzt.

Verschiedene Vorgehensweisen, gleiches Ziel

Im Laufe der Zeit entwickelt jede Gruppierung eine bestimmte Vorgehensweise. So manipuliert BlackMatter beispielsweise oftmals die Zugangskontrollen, also die Sicherheitseinstellungen, die festlegen, wer auf welche Daten im Netzwerk zugreifen kann, sodass jeder Mitarbeiter Zugriff auf riesige Datenmengen hat. Mit anderen Worten: Sie knacken nicht den Tresor, sondern sprengen ihn auf und machen Unternehmen noch anfälliger für zukünftige Angriffe. Andere Angreifer rekrutieren aktiv Unternehmensinsider wie Mitarbeiter und andere Personen, die sich bereits im Netzwerk des Unternehmens befinden. Gerade unzufriedene Mitarbeiter sind hierfür häufig anfällig. Um den Druck auf die Opfer zu erhöhen, veröffentlichen einige Cyberkriminelle auch kleine Mengen gestohlener Daten.

So lässt sich die Ransomware-Abwehr stärken

Michael Scheffler, Country Manager DACH von Varonis Systems (Bild: Varonis).

Solange Ransomware für Kriminelle enorme Profite verspricht, werden sie weiter Opfer suchen und finden. Für Unternehmen geht es also darum, kein einfaches Opfer zu sein und die eigene Resilienz gegen datenbezogene Bedrohungen zu erhöhen.

  • Eliminieren Sie schwache und wiederverwendete Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Dieser wichtige Schritt ist einer der einfachsten, die Sie zum Schutz Ihres Unternehmens unternehmen können. Viele Gruppen wie beispielsweise BlackMatter erwerben Benutzernamen und Kennwörter im Dark Web und nutzen diese für Brute-Force-Angriffe.
  • Erkennen Sie ungewöhnliche Aktivitäten. In den meisten Unternehmen halten sich Ihre Mitarbeiter und Auftragnehmer an die täglichen Arbeitspläne, greifen auf dieselben Dateien zu und verwenden dieselben Geräte von bekannten Standorten aus. Ungewöhnliche Aktivitäten wie das Einloggen von einem neuen Standort aus und der Zugriff auf Dateien, die nicht für die Arbeit benötigt werden, können auf kompromittierte Konten oder Geräte hinweisen. Ungewöhnliche Aktivitäten, insbesondere wenn sie mit Verwaltungs- und Dienstkonten verbunden sind, sollten mit hoher Priorität beobachtet und gegebenenfalls schnell gestoppt werden.
  • Achten Sie bei Ihren Daten auf Anzeichen von Ransomware-Angriffen. Ransomware verhält sich nicht wie Ihr HR-Spezialist oder Ihr Buchhaltungsteam. Wenn Ransomware eingesetzt wird, beginnt sie schnell damit, viele Daten zu öffnen, zu bewerten und bei Bedarf diese Dateien dann auch zu verschlüsseln. Auch Mitarbeiter verschlüsseln legitimerweise Dateien. Malware verhält sich jedoch in der Regel anders als ein menschlicher Benutzer, indem sie Dateien in der Regel reihenweise und in hoher Frequenz ändert bzw. verschlüsselt. Dies geschieht zudem sehr häufig außerhalb der Arbeitszeit. Hierdurch wird eine Erkennung deutlich erschwert und Dateien können ungehindert verschlüsselt werden.
  • Verfolgen Sie einen datenzentrierten Ansatz. Trotz der explosionsartigen Zunahme von Endgeräten werden die meisten Daten mit großen, zentralisierten Datenspeichern vor Ort und in der Cloud gespeichert. Gleichzeitig gibt es eine enorme Anzahl an Vektoren, um an diese Daten zu gelangen. Selbst wenn man in der Lage wäre, diese komplett zu antizipieren und zu überwachen, würde man wahrscheinlich von Sicherheitswarnungen überflutet werden. Anstatt „außen“ mit all den Endpunkten und Vektoren zu beginnen und sich nach innen zu den Daten vorzuarbeiten, ist es wesentlich sinnvoller, mit dem Schutz Ihrer großen, zentralisierten Datenspeicher anzufangen.
  • Die meisten Unternehmen sind sich nicht bewusst, wie viele Daten allzu leicht zugänglich und unbewacht sind. Ein einziger kompromittierter Benutzer hat so das Potenzial, auf zahlreiche sensible Daten zuzugreifen und sie zu gefährden. So zeigt der Datenrisiko-Report für den eigentlich sicherheitsaffinen Finanzsektor, dass jeder Mitarbeiter von seinem ersten Arbeitstag an durchschnittlich Zugriff auf knapp 11 Millionen Dateien hat, in größeren Unternehmen sogar auf rund 20 Millionen – ein enormer Explosionsradius.

Möchten man sein Unternehmen widerstandsfähig machen, sollte man mit seinem größten Vorteil beginnen. Unternehmen wissen, was die Angreifer wollen: die Daten. Durch das Least-Pivilege-Modell sind Unternehmen in der Lage, ihren Mitarbeitern nur den Zugriff zu gewähren, den sie für ihre Arbeit auch tatsächlich benötigen. Indem man den Zugang zu den Daten systematisch begrenzt und sie genauer überwacht, macht man es den Angreifern viel schwerer.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

DSGVO-Konformität schützt auch vor Ransomware-Schäden

Was waren das für Zeiten damals 2018, als das Inkrafttreten der DSGVO für die scheinbar größtmögliche Aufregung in der Wirtschaft ➡ Weiterlesen

Gefälschten Vanity-URLs bei Zoom und Google

URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und ➡ Weiterlesen

Die gefährlichen Neun: Malware im Kurzporträt

Die Vorstellung jeder Malware die auf Unternehmen zielt würde jeden Rahmen sprengen. Hier stellen die Varonis Threat Labs 9 wichtige ➡ Weiterlesen

Die drei größten Ransomware-Trends in 2021

2021 dürfte als Jahr der Ransomware in die Cybersecurity-Geschichte eingehen. Die weltweite Liste der prominenten Opfer reicht von Pipeline-Betreibern über ➡ Weiterlesen

Varonis: Verbesserter Microsoft 365-Schutz für effektivere Ransomware-Erkennung 

Varonis bringt neue Funktionen zur Reduzierung der Datenexposition bei Microsoft 365. Neue Version verringert den Explosionsradius von Microsoft 365, ermöglicht effektivere ➡ Weiterlesen

Neue Ransomware-Gruppe ALPHV – BlackCat

Benzinversorger Oiltanking ist prominentes Opfer der neuen Ransomware-Gruppe ALPHV - BlackCat. Varonis Threat Labs: Gezielte Rekrutierung von Partnern durch finanziell attraktive ➡ Weiterlesen

Box: Auch MFA per SMS konnte von Angreifern umgangen werden

Die Sicherheitsforscher von Varonis haben eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung (MFA) per SMS für Box-Konten zu umgehen. Angreifer mit gestohlenen ➡ Weiterlesen

Gute Aussichten für Cybersicherheitsexperten

Was können wir 2022 erwarten? Haben wir das Schlimmste hinter uns oder stehen wir erst am Anfang einer besorgniserregenden Entwicklung? ➡ Weiterlesen