Was Führungskräfte über Ransomware-Angriffe wissen sollten

20. April 2022
| Keine Kommentare
Was Führungskräfte über Ransomware-Angriffe wissen sollten

Beitrag teilen

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich verändert. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten. Experten von Varonis erklären, was jede Führungskraft über moderne Ransomware-Angriffe wissen sollte.

So haben moderne Angreifer gelernt, noch disruptivere Ransomware-Kampagnen zu starten. Dabei sind sie gleichzeitig effizienter und geschickter darin geworden, einer Strafverfolgung zu umgehen. So formieren sich Ransomware-Gruppen nach einer (seltenen) Zerschlagung um, bauen eine neue Infrastruktur auf und geben sich einen neuen Namen. Wie beispielsweise DarkSide, die Ransomware-Gruppe, die hinter mehreren prominenten Angriffen steckt, und nun wohl unter dem Namen BlackMatter firmiert. Oftmals kommen die Cyberkriminellen nach einer solchen Neuausrichtung stärker zurück, indem sie aus ihren Erfahrungen gelernt haben und neue Techniken sowie Schwachstellen nutzen. Sie verfügen in ihrem Arsenal über eine Fülle sich weiterentwickelnder Tools und sind in der Lage, viele Vektoren zu nutzen, um an ihr Ziel zu gelangen: die wertvollen Unternehmensdaten.

Die Zerschlagung der REvil-Infrastruktur durch russische Behörden und die Beschlagnahmung zumindest eines Teils der Beute sind sicherlich bemerkenswert und ermutigend. Ein Grund zur Entwarnung ist dies freilich nicht: Die Bekämpfung von Cyberkriminellen gleicht dem Löschen eines Feuers in einem trockenen Wald. Man kann es zwar löschen, aber es kann überall und jederzeit wieder aufflammen.

Ransomware als Geschäftsmodell

Cyber-Erpressung verspricht große Gewinne, was Entwicklung und Innovation auf Seiten der Kriminellen antreibt. Versuche, Kryptowährungen wie Bitcoin zu regulieren und ihre Anonymität zu begrenzen, erscheinen sinnvoll, aber schwierig durchzusetzen. Zudem setzen die Angreifer schon jetzt auf digitalen Währungen wie Monero, die schwieriger zu verfolgen sind. Solange sich die Rahmenbedingungen nicht grundsätzlich ändern, sollten Unternehmen davon ausgehen, dass es Ransomware-Banden auch weiterhin gibt, sie ihre Techniken verfeinern und es auf ihre kritischen Daten abgesehen haben.

Mittlerweile setzen die meisten Cyberkriminellen auf das effiziente Ransomware-as-a-Service (RaaS)-Modell, das es unabhängigen Angreifern ermöglicht, schnell zuzuschlagen und loszulegen. Sie können diese Dienstleistung mit eigenen Tools und Techniken kombinieren, um Opfer effektiv anzugreifen und deren Daten als Geiseln zu nehmen. Zunehmend verfolgen die Angreifer den „Double Extortion“-Ansatz, bei dem die Daten vor der Verschlüsselung entwendet werden, um mit der Drohung einer Veröffentlichung einen noch stärkeren Druck auf die Opfer aufzubauen. Zudem drohen die Angreifer mittlerweile oft auch mit einer Meldung an die offiziellen Datenschutzbehörden in dem Wissen, dass Unternehmen die dort angedrohten Strafzahlungen fürchten und es vermeiden möchten, in der Öffentlichkeit angeprangert zu werden.

Um ihre Profite zu maximieren, durchforsten die Angreifer die Dateien ihrer Opfer, um deren finanzielle Spielräume einzuschätzen und herauszufinden, ob und wie viel ihre Cyberversicherung im Falle eines Angriffs zahlen würde. Entsprechend wird dann die Lösegeldforderung angesetzt.

Verschiedene Vorgehensweisen, gleiches Ziel

Im Laufe der Zeit entwickelt jede Gruppierung eine bestimmte Vorgehensweise. So manipuliert BlackMatter beispielsweise oftmals die Zugangskontrollen, also die Sicherheitseinstellungen, die festlegen, wer auf welche Daten im Netzwerk zugreifen kann, sodass jeder Mitarbeiter Zugriff auf riesige Datenmengen hat. Mit anderen Worten: Sie knacken nicht den Tresor, sondern sprengen ihn auf und machen Unternehmen noch anfälliger für zukünftige Angriffe. Andere Angreifer rekrutieren aktiv Unternehmensinsider wie Mitarbeiter und andere Personen, die sich bereits im Netzwerk des Unternehmens befinden. Gerade unzufriedene Mitarbeiter sind hierfür häufig anfällig. Um den Druck auf die Opfer zu erhöhen, veröffentlichen einige Cyberkriminelle auch kleine Mengen gestohlener Daten.

So lässt sich die Ransomware-Abwehr stärken

Michael Scheffler, Country Manager DACH von Varonis Systems (Bild: Varonis).

Solange Ransomware für Kriminelle enorme Profite verspricht, werden sie weiter Opfer suchen und finden. Für Unternehmen geht es also darum, kein einfaches Opfer zu sein und die eigene Resilienz gegen datenbezogene Bedrohungen zu erhöhen.

  • Eliminieren Sie schwache und wiederverwendete Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Dieser wichtige Schritt ist einer der einfachsten, die Sie zum Schutz Ihres Unternehmens unternehmen können. Viele Gruppen wie beispielsweise BlackMatter erwerben Benutzernamen und Kennwörter im Dark Web und nutzen diese für Brute-Force-Angriffe.
  • Erkennen Sie ungewöhnliche Aktivitäten. In den meisten Unternehmen halten sich Ihre Mitarbeiter und Auftragnehmer an die täglichen Arbeitspläne, greifen auf dieselben Dateien zu und verwenden dieselben Geräte von bekannten Standorten aus. Ungewöhnliche Aktivitäten wie das Einloggen von einem neuen Standort aus und der Zugriff auf Dateien, die nicht für die Arbeit benötigt werden, können auf kompromittierte Konten oder Geräte hinweisen. Ungewöhnliche Aktivitäten, insbesondere wenn sie mit Verwaltungs- und Dienstkonten verbunden sind, sollten mit hoher Priorität beobachtet und gegebenenfalls schnell gestoppt werden.
  • Achten Sie bei Ihren Daten auf Anzeichen von Ransomware-Angriffen. Ransomware verhält sich nicht wie Ihr HR-Spezialist oder Ihr Buchhaltungsteam. Wenn Ransomware eingesetzt wird, beginnt sie schnell damit, viele Daten zu öffnen, zu bewerten und bei Bedarf diese Dateien dann auch zu verschlüsseln. Auch Mitarbeiter verschlüsseln legitimerweise Dateien. Malware verhält sich jedoch in der Regel anders als ein menschlicher Benutzer, indem sie Dateien in der Regel reihenweise und in hoher Frequenz ändert bzw. verschlüsselt. Dies geschieht zudem sehr häufig außerhalb der Arbeitszeit. Hierdurch wird eine Erkennung deutlich erschwert und Dateien können ungehindert verschlüsselt werden.
  • Verfolgen Sie einen datenzentrierten Ansatz. Trotz der explosionsartigen Zunahme von Endgeräten werden die meisten Daten mit großen, zentralisierten Datenspeichern vor Ort und in der Cloud gespeichert. Gleichzeitig gibt es eine enorme Anzahl an Vektoren, um an diese Daten zu gelangen. Selbst wenn man in der Lage wäre, diese komplett zu antizipieren und zu überwachen, würde man wahrscheinlich von Sicherheitswarnungen überflutet werden. Anstatt „außen“ mit all den Endpunkten und Vektoren zu beginnen und sich nach innen zu den Daten vorzuarbeiten, ist es wesentlich sinnvoller, mit dem Schutz Ihrer großen, zentralisierten Datenspeicher anzufangen.
  • Die meisten Unternehmen sind sich nicht bewusst, wie viele Daten allzu leicht zugänglich und unbewacht sind. Ein einziger kompromittierter Benutzer hat so das Potenzial, auf zahlreiche sensible Daten zuzugreifen und sie zu gefährden. So zeigt der Datenrisiko-Report für den eigentlich sicherheitsaffinen Finanzsektor, dass jeder Mitarbeiter von seinem ersten Arbeitstag an durchschnittlich Zugriff auf knapp 11 Millionen Dateien hat, in größeren Unternehmen sogar auf rund 20 Millionen – ein enormer Explosionsradius.

Möchten man sein Unternehmen widerstandsfähig machen, sollte man mit seinem größten Vorteil beginnen. Unternehmen wissen, was die Angreifer wollen: die Daten. Durch das Least-Pivilege-Modell sind Unternehmen in der Lage, ihren Mitarbeitern nur den Zugriff zu gewähren, den sie für ihre Arbeit auch tatsächlich benötigen. Indem man den Zugang zu den Daten systematisch begrenzt und sie genauer überwacht, macht man es den Angreifern viel schwerer.

Mehr bei Varonis.com

 

Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,

 

Passende Artikel zum Thema

Kryptografie und Quantencomputing

Kryptografie ist seit geraumer Zeit eines der besten Mittel, um digitale Informationen vor unberechtigtem Zugriff zu schützen – beispielsweise, um ➡ Weiterlesen

Neuer Exchange Online-Schutz für Unternehmen

Der Cyber-Defense-Spezialist G DATA bringt eine neue Lösung für Exchange Online auf den Markt. G DATA 365 Mail Protection soll ➡ Weiterlesen

KMU im Visier: Cyberangriffe auf Lieferketten

Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um ➡ Weiterlesen

Nach LockBit-Schlag: Wie steht es um Ransomware-Attacken?

Trend Micro analysiert in einem aktuellen Report die Ransomware-Landschaft und gibt einen Ausblick, welche Auswirkungen die Unterbrechung  der LockBit-Aktivitäten auf ➡ Weiterlesen

XZ-Schwachstelle: kostenloser XZ Backdoor Scanner

Die Bitdefender Labs bieten einen kostenlosen Scanner, mit dem Unternehmen ihre IT-Systeme auf die am 29. März 2024 bekannt gewordene ➡ Weiterlesen

Ursachen für Datenverluste in deutschen Unternehmen

Datenverlust ist ein Problem, das im Zusammenspiel zwischen Menschen und Maschinen auftritt: „Unvorsichtige Benutzer“ sind mit viel größerer Wahrscheinlichkeit die ➡ Weiterlesen

Hacker legen Wirtschaftsdatenbank Genios lahm

Bibliotheken, Hochschulen und Unternehmen haben zur Zeit keinen Zugriff auf die Wirtschaftsdatenbank des Anbieters Genios - ein Tochterunternehmen der FAZ ➡ Weiterlesen

Warum Cyberkriminelle extra auf Backups zielen

Es gibt im Wesentlichen zwei Möglichkeiten, verschlüsselte Daten nach einem Ransomware-Angriff wiederherzustellen: die Wiederherstellung aus Backups und die Zahlung des ➡ Weiterlesen

Storys
, , , , ,