Ransomware-Trends im Jahr 2020
Das FBI hat im Jahr 2020 einen starken Anstieg der Ransomware-Berichte verzeichnet. Die Hauptursachen können mit der Pandemie zusammenhängen, da immer mehr Organisationen ihre Mitarbeiter zur Telearbeit auffordern, sich Cloud-Anwendungen vermehren und Online-Shopping zur Norm geworden ist um überfüllte Einzelhandelsgeschäfte zu vermeiden. Und die direkteste Verbindung zu COVID-19? Betrügerische E-Mails zur Übermittlung von Ransomware und anderer Malware, getarnt hinter Nachrichten, die Updates zum Coronavirus ähneln.
Ransomware-Angriffe werden immer gezielter
Sie nehmen die Form von Phishing und Spear-Phishing an, um effektiver und personalisierter zu sein. Einer der primären Angriffsvektoren ist das Remote Desktop Protocol (RDP), das normalerweise zur Fernverwaltung eines Computers über Internetverbindungen verwendet wird. Heute nutzen Cyberkriminelle diese Kanäle für Identitätsdiebstahl, den Diebstahl von Verbindungsinformationen und das Starten von Lösegeldangriffen.
Was ist Ransomware?
Ransomware ist eine Art bösartige Software, die entwickelt wurde, um den Zugriff auf ein Computersystem oder bestimmte Dateien auf einem PC zu blockieren, gefolgt von einer Lösegeldforderung. Je nach Ziel kann der Betrag zwischen 100 und Millionen von Dollar liegen.
Die meisten Ransomware-Varianten verschlüsseln die Dateien auf dem betroffenen Gerät und machen sie so lange unverfügbar, bis eine Zahlung an die Angreifer erfolgt ist. In der Drohnachricht wird normalerweise angegeben, dass die Dateien entweder dauerhaft gelöscht oder, wenn sie peinlicher Natur sind, öffentlich zugänglich gemacht werden, wenn der geforderte Betrag nicht innerhalb eines bestimmten Zeitraums bezahlt wird. Theoretisch wird der Zugriff auf diese Dateien wiederhergestellt, sobald das Lösegeld bezahlt wurde.
Ransomware ist oft ein relativ grobes Stück Code, vor allem, weil kein ausgeklügeltes Programm erforderlich ist, um die gewünschten Ergebnisse zu erzielen. Im Gegensatz zu anderen Formen herkömmlicher Malware muss sie nicht sehr lange unentdeckt bleiben. Aufgrund der relativ einfachen Implementierung in Kombination mit dem hohen Gewinnpotenzial zieht es sowohl erfahrene Akteure der Cyberkriminalität als auch unerfahrene Akteure (AKA-Hacker) an.
Wie die meisten Systeme kompromittiert werden
Die wichtigsten Angriffsvektoren oder Wege, über die Hacker Zugriff auf ein System erhalten, umfassen RDP-Kompromittierung, andere Kompromittierungen offener Kommunikationsports und Phishing.
Das Volumen der RDP-Kompromittierungsfälle hat sich im Juni und Juli dieses Jahres verzehnfacht. Dies ist zum Teil darauf zurückzuführen, dass eine große Anzahl von Unternehmen mittlerweile darauf angewiesen ist, dass die Wartung und Instandhaltung von IT-Systemen aus der Ferne durchgeführt wird. Dies wiederum hat dazu geführt, dass RDP-Ports über das Internet aktiviert geblieben sind, was sie angreifbar gemacht hat.
Historisch gesehen, als wir zwischen 2018 und 2019 über Ransomware sprachen, war dies ein sehr klarer Weg zur Systeminfektion. So funktionierte es:
- Malware würde über E-Mail oder offene Ports in das System gelangen.
- Es würde seinen Weg über Dateisysteme finden und Daten verschlüsseln.
- Eine Lösegeldforderung würde in Form eines modalen Fensters erscheinen, das dem Endbenutzer angezeigt wird.
Was wir jedoch jetzt erleben, da wir uns dem Ende des Jahres 2020 nähern, ist eine viel ausgeklügeltere und verstohlenere Angriffsweise. Selbst mit den relativ grundlegenden Fähigkeiten, die für Ransomware-Angriffe erforderlich sind, haben vernetzte Apps und das Cloud-Modell potenzielle neue Vektoren eröffnet.
Als Teil eines zweistufigen Angriffs sehen wir Organisationen, die zunächst mit der Absicht angegriffen werden, in das System einzudringen, und dann die Hacker, die Berechtigungen und Zugriffskontrolleinstellungen eskalieren. Hier finden sie die vertraulichsten und kritischsten Daten des Unternehmens. Anschließend kopieren sie diese Daten in ein Remote-Repository, extrahieren sie aus den Zielsystemen und führen dann die Verschlüsselung durch.
Cloud Computing hat seine Schwächen
So sicher Cloud Computing auch sein kann, es ist es nur, wenn es richtig gesichert ist, und das bleibt der Fokus von Angreifern. Mit geeigneten Sicherheitsprotokollen würde die Mehrheit der Angriffe abgeschwächt werden. Aber leider verfügen die meisten Unternehmen nicht über die Schulungen, Fähigkeiten oder Verfahren, um sicherzustellen, dass ihre Systeme für Endbenutzer offen sind, um eine ordnungsgemäße Remote-Zusammenarbeit zu fördern, und gleichzeitig ausreichend und konsequent vor Malware und Ransomware geschützt sind.
So schützen Sie sich und Ihr Unternehmen
Der erste und grundlegendste Rat, den wir jedem geben, ist die Implementierung einer zuverlässigen Backup-Lösung; Stellen Sie sicher, dass die zu sichernden Daten nicht nur Ihre wichtigen Dateien, sondern auch Ihre Systemkonfigurationseinstellungen enthalten. Wählen Sie eine zuverlässige Lösung und stellen Sie sicher, dass sie sich auf einem vollständig separaten System befindet.
Diese Empfehlung ist immer noch sehr relevant, aber allein nicht mehr ausreichend, insbesondere wenn es darum geht, Organisationen zu schützen und ihnen zu helfen, hohe Lösegeldzahlungen zu vermeiden.
Es überrascht nicht, dass die Lösegeldforderungen und die entsprechenden Auszahlungen in den letzten 18 Monaten dramatisch gestiegen sind. All dies führt zu weiteren Kopfschmerzen für Zielorganisationen: Wie kann man darauf vorbereitet sein, möglicherweise große Summen an Kryptowährung in so kurzer Zeit auszuzahlen?
Wir empfehlen jetzt eine ständige Systemüberwachung mit vorbeugenden Maßnahmen, die beim ersten Anzeichen einer Malware-Signatur eingeleitet werden können.
Experten für Cyberkriminalität verstehen diese sich entwickelnde Bedrohungslandschaft und wissen, wie sich Cyberkriminelle und die Ransomware-Bedrohungslandschaft im Laufe der Zeit verändern.
Organisationen abonnieren Cyber-Bedrohungs-Intelligence-Communities, um auf Daten zuzugreifen, die sich darauf beziehen, wie Cyberkriminelle vorgehen, und auf die Indikatoren für Kompromittierungen.
Aber auch das allein reicht nicht aus. Sie müssen viel proaktiver vorgehen, und einige Organisationen gehen sogar so weit, dass sie angestellte Bedrohungsjäger einsetzen, um nach Bedrohungsakteuren oder Cyberkriminellen Ausschau zu halten.
Wir werden dieses Thema in den nächsten beiden Blog-Artikeln unserer Ransomware-Reihe weiter untersuchen. Wir behandeln unter anderem die rechtlichen und forensischen Auswirkungen eines typischen Ransomware-Angriffs.
Eine zufällige Stichprobe von Ransomware-Angriffen
- Der erste Ransomware-Angriff ereignete sich 1991. Unter dem Namen „PC Cyborg“ wurde es von einem Biologen über Disketten an Kollegen eines AIDS-Forschungsprojekts weitergegeben. Seitdem hat sich viel geändert – einschließlich der Verwendung von Disketten!
- Die University of Utah wurde nach einem Angriff im Juli von Cyberkriminellen für fast 500.000 US-Dollar Lösegeld gestochen. Der Angriff gab der Flaggschiff-Institution des Staates die Wahl, private Studenten- und Mitarbeiterdaten zu opfern oder zu zahlen und zu hoffen, dass die Informationen nicht kompromittiert wurden.
- Am 10. Juni 2017 infizierten kriminelle Hacker mehr als 153 Linux-Server, die vom südkoreanischen Webanbieter Nayana gehostet wurden, und schlossen 3.400 Websites. Der Vorstandsvorsitzende von Nayana, Hwang Chilghong, gab bekannt, dass die Hacker ursprünglich 4,4 Millionen US-Dollar verlangten, die Organisation das Lösegeld jedoch auf 1 Million US-Dollar herunterhandelte.
- Im Mai 2017 sahen wir den ersten weltweiten Ransomware-Cyberangriff durch den Ransomware-Kryptowurm WannaCry. Es zielte auf Computer mit dem Betriebssystem Microsoft Windows ab, indem es Daten verschlüsselte und Lösegeldzahlungen in der Kryptowährung Bitcoin forderte.
Wir empfehlen Ihnen, unseren nächsten Ransomware-Blogartikel zu lesen, sobald er verfügbar ist. Und in der Zwischenzeit laden wir Sie ein, über die folgende Frage nachzudenken: „Ist es immer eine gute Idee, ein Lösegeld zu zahlen?“
Erfahren Sie mehr über DigitalTrace, unsere Ransomware-Lösung: Laden Sie die Broschüre herunter
Sehen Sie sich auch eine Aufzeichnung unseres Ransomware-Webinars mit speziellen Gastdiskussionsteilnehmern an: Greifen Sie bei Bedarf auf das Webinar zu
