Anzeige

Ransomware

Ransomware – also ferngesteuerte, digitale Erpressung – bedroht eine Vielzahl an Unternehmen, von den modernsten Raumfahrtunternehmen über Lebensmittelkonzerne bis hin zu industriellen Umgebungen.

Die Security-Analysten von FireEye Mandiant Intelligence haben zahlreiche Ransomware-Attacken aus den Jahren 2017 bis 2019 untersucht und dabei eine Reihe von gemeinsamen Merkmalen in Bezug auf Angriffstechnik, Verweildauer und Tageszeit identifiziert. 

Die wichtigsten Erkenntnisse auf einen Blick

  • Die Anzahl der Analysen von FireEye Mandiant zu Ransomware-Fällen stieg von 2017 bis 2019 um 860 Prozent.
     
  • Die Vorfälle betrafen Organisationen weltweit in fast allen Branchen, darunter Finanzwesen, Chemie, Rechtswesen, Behörden und das Gesundheitswesen. Die Experten beobachteten Einbrüche, die finanziell motivierten Cyber-Kriminellen wie FIN6, TEMP.MixMaster zugeschrieben wurden, sowie Dutzende andere Aktivitäten.
     
  • Bei zahlreichen Angriffen wurde die Ransomware sofort aktiviert, so beispielsweise bei Vorfällen mit den Varianten GANDCRAB und GLOBEIMPOSTER
     
  • Die meisten Angriffe schienen jedoch komplexere „Post-Compromise“-Angriffe zu sein, bei denen die Akteure zunächst mögliche Zielnetzwerke sowie kritische Systeme erkunden, bevor sie die Ransomware gezielt einsetzen – vermutlich, um die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen.
     
  • Bei 75 Prozent der Angriffe vergingen mindestens drei Tage vom ersten Anzeichen des Vorfalls bis zur Aktivierung der Ransomware.
     
  • Bei 76 Prozent der Vorfälle wurde die Ransomware außerhalb der üblichen Arbeits- und Bürozeiten, also vor 8.00 Uhr oder nach 18.00 Uhr an einem Wochentag oder am Wochenende ausgeführt. Die Akteure wollen damit wahrscheinlich die Erfolgschancen maximieren und gehen davon aus, dass Gegenmaßnahmen langsamer durchgeführt werden als während der normalen Arbeitszeiten. Es gibt Fälle, bei denen die Angreifer den Einsatz der Ransomware mit den Aktivitäten der Anwender verknüpfen: 2019 beispielsweise haben Angreifer bei Einzelhändlern und Dienstleistern Active Directory Gruppenrichtlinienobjekte (GPO) erstellt, wodurch die Aktivierung der Ransomware mit der An- und Abmeldung von Nutzern ausgelöst wurde.
     
  • Angriffe über das Remote Desktop Protocol (RDP) – also über den Fernzugriff auf Windows-PCs – werden seit 2017 beobachtet. Bei diesen Angriffen loggt sich ein Angreifer über das RDP in ein System in einer Zielumgebung ein. In einigen Fällen testete der Angreifer damit die Zugangsdaten (viele fehlgeschlagene Authentifizierungsversuche, gefolgt von einem erfolgreichen). In anderen Fällen war eine erfolgreiche RDP-Anmeldung der erste Nachweis für böswillige Aktivitäten, gefolgt von einer Ransomware-Infektion. Werden schwache Zugangsdaten verwendet, kann dies einen RDP-Angriff begünstigen. Möglich ist auch, dass die Akteure die gültigen Zugangsdaten bereits über andere Aktivitäten ergattert oder von anderen Hackern erworben haben. 
     
  • Eine beträchtliche Anzahl von Ransomware wurde durch Phishing-Kampagnen verbreitet, darunter einige der erfolgreichsten Malware-Familien, die für finanziell motivierte Operationen verwendet werden: TRICKBOT, EMOTET und FLAWEDAMMYYY. Im Januar 2019 beobachteten die Analysten TEMP.MixMaster TrickBot-Infektionen, die zu einem interaktiven Einsatz von Ryuk führten.

www.fireeye.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Ransomware
Apr 28, 2020

Es geht noch schlimmer - Der Worst Case der Ransomware

Anfang März hat das BSI gemeinsam mit dem BKA Empfehlungen zum Umgang mit…
Hacker
Apr 21, 2020

Doppelte Erpressung

Check Point ist einer neuen Masche von Cyber-Kriminellen auf der Spur. Statt lediglich…
Ransomware
Apr 17, 2020

Mit Data Management zum Schutz vor Ransomware-Angriffen

Ransomware-Angriffe sind unter den aktuell größten Cyberbedrohungen nach wie vor an der…

Weitere Artikel

Hackergruppe

Hackergruppe attackiert gezielt Fintech-Unternehmen

Fintech-Unternehmen in der EU und Großbritannien sind das primäre Ziel der Hackergruppe hinter dem Schadprogramm Evilnum. ESET Forscher haben auf Welivesecurity.de eine eingehende Analyse zur Vorgehensweise der APT-Gruppe (Advanced Persistent Threat) und der…
Phishing

Unternehmen sind beliebtes Ziel für Phishing-Angriffe

Deutsche Unternehmen sind besonders häufig im Visier krimineller Phishing-Angriffe. Dieses Risiko hat sich in der Corona-Pandemie nochmals verstärkt. Das zeigt der aktuelle Phishing-Report von Cofense. TÜV SÜD arbeitet als Partnerunternehmen mit Cofense bei…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!