Interview

Ransomware und Ransomware-as-a-Service – Wie komplex sind die Angriffe?

Die überwiegende Mehrzahl der Unternehmen hat große Bedenken, was Ransomware-Angriffe anbelangt, und viele sind schon selbst ins Visier von Angreifern geraten. Mit teilweise gravierenden Folgen: Umsatzverluste, Rufschädigung und Entlassungen auf der Führungsebene zählen dazu.

Unternehmen versuchen mit unterschiedlichen Mitteln gegenzusteuern: die meisten verfügen über eine Policy in Sachen Ransomware und eine stetig wachsende Zahl von Firmen hat eine Cyberversicherung abgeschlossen, die Ransomware einschließt. Und inzwischen folgen auch deutsche Firmen dem weltweiten Trend und sind zunehmend bereit, über Lösegeld zu verhandeln. Schwindelerregende Forderungen sind hierzulande zwar noch eher selten, aber gezahlt wird. 

Anzeige

Zum Thema Ransomware haben wir mit Sascha Spangenberg gesprochen, Consulting Sales Engineer International bei Lookout. 

Die Zahl der Ransomware-Angriffe ist zuletzt stark gestiegen. Phishing ist eines der wichtigsten Einfallstore. Gibt es dazu aktuelle Zahlen? 

Sascha Spangenberg: Phishing-Angriffe sind einer der gängigsten Wege, um eine Ransomware-Attacke zu starten. Ist der Phishing-Teil erfolgreich, hat der Angreifer die Möglichkeit, sich mit legitimen Anmeldeinformationen problemlos einzuloggen. Daten von Lookout zeigen, dass allein im letzten Jahr und unter dem Einfluss der Pandemie, Benutzer zu 39 % häufiger auf Phishing-Links geklickt haben. Mobilgeräte sind für Angreifer aus verschiedenen Gründen attraktiv. Nicht zuletzt deshalb, weil eine Reihe privater Kanäle wie SMS, Social Media Apps oder Plattformen Dritter, außerhalb der  üblichen Sicherlösungen eines Unternehmens liegen. Und selbst wenn ein Angreifer auf die Anmeldeinformationen eines Mitarbeiters zugreifen kann, wartet er unter Umständen noch mit dem eigentlichen Angriff. Diese Zeit wird verwendet, um die Infrastruktur zu sondieren und möglichst lukrative Ziele auszumachen. 

Wir haben gerade in jüngster Zeit eine Reihe von folgenschweren Ransomware-Angriffen erlebt…

Sascha Spangenberg: Das sind insbesondere zwei Vorfälle. Das irische Gesundheitsministerium musste nach einem Ransomware-Angriff sämtliche Systeme herunterfahren. In Verbindung mit einem ähnlichen Angriff auf die Health Service Executive in derselben Woche, kam es am folgenden Tag zu erheblichen Ausfällen bei ambulanten Diensten. Und der zweite: Colonial Pipeline, Betreiber des größten Pipelinesystems in den USA, wurde kürzlich Opfer eines Ransomware-Angriffs. Das Unternehmen war gezwungen, seinen Betrieb einzustellen und ein Lösegeld in Höhe von 5 Millionen Dollar zu zahlen. Wie hier machen Ransomware-Gruppen sich die Tatsache zunutze, dass fast jedes Unternehmen heute remote oder hybrid arbeitet.

Wie ausgefeilt sind Ransomware-Angriffe aktuell?

Sascha Spangenberg: Gerade momentan tauchen neue Ransomware-Varianten auf, und Ransomware-as-a-Service (RaaS) bietet Angreifern quasi ein klassisches Opex-Modell. Analog zu den Prozessen in der Wirtschaft wird die Wertschöpfungskette auch hier ständig optimiert. Und zwar, um das Ziel so effektiv und so effizient wie möglich zu erreichen. Die Einstiegshürden sind durch RaaS deutlich niedriger als bisher. MalLocker.B ist beispielsweise eine Ransomware-Familie, die über Online-Foren genutzt und verbreitet wird. Angreifer nutzen dann bevorzugt Social Engineering-Methoden, um ihre Opfer zu täuschen. Nur die wenigsten Mobilgeräte sind ausreichend gegen Phishing-Angriffe geschützt. Angreifer nutzen Schwachstellen in gängigen Anwendungen und greifen dabei oft über Messaging-Apps an. In Verbindung mit Schwachstellen im Betriebssystem kommt so eine Kill Chain in Gang, die zu einer umfassenden Kompromittierung der auf dem Gerät gespeicherten Daten führt.

Wir lange gibt es Ransomware-as-a-Service und wie häufig wird RaaS Ihrer Meinung nach eingesetzt? 

Sascha Spangenberg: Ransomware-as-a-Service ist ein neues Akronym für ein Abo-Modell, mit dem man Zugang zu Dokumentation, einer Malware samt Support sowie Phishing-Kits bekommt. Diese Dienste sind aktuell selbst für vergleichsweise unerfahrene Akteure weithin verfügbar. Ein Beispiel ist Petya Raas. Man hat kürzlich einen neuen Stamm von Petya entdeckt. Für das Ausführen der Malware braucht man Administratorrechte. Die Ransomware macht zunächst den Rechner unbenutzbar und kann anschließend zwei verschiedene Malware-Versionen auf den Zielrechner laden. Die Petya RaaS-Plattform zahlt einen Prozentsatz des Lösegelds an die Distributoren. Sollten dabei bestimmte Schwellenwerte erreicht werden, gehen die Einnahmen weiter nach oben.  

Welche Folgen hat es, wenn Unternehmen ein Lösegeld nicht zahlen? 

Sascha Spangenberg: Auch diese Folgen sind weitreichend. Die irische Regierung hatte sich gegen eine Zahlung entschieden und musste umfangreiche Disaster Recovery- und Business Continuity-Prozesse auslösen. Paul Reid, Chief Executive von HSE, erklärte dazu: „Wir müssen hier einen beträchtlichen Wiederaufbau leisten. Die Auswirkungen auf unsere Systeme werden im zweistelligen Millionenbereich liegen, daran besteht kein Zweifel.“ Außerdem wirkte sich der Angriff direkt auf weitere wichtige Gesundheitsdienste aus – von der Radiologie bis hin zur Geburtshilfe – auch hier sind Aufwand und Kosten für die Wiederherstellung immens.

Welchen Rat geben Sie Unternehmen, um a) die Wahrscheinlichkeit eines Ransomware-Angriffs zu senken und um b) im Falle eines Angriffs die richtigen Schritte zu unternehmen?

Sascha Spangenberg: Um sich besser vor neuartigen Taktiken und Methoden zu schützen, brauchen Sicherheitsteams vor allem Transparenz. Gepaart mit der Fähigkeit, alle Systeme und Anwendungen zu schützen, vom Endpunkt bis in die Cloud. Eine detaillierte Übersicht, wer innerhalb der Unternehmensinfrastruktur auf was zugreift, ist einer der Schlüssel, um das Risiko eines Ransomware-Angriffs zu senken. Da solche Angriffe meist bei kompromittierten Anmeldeinformationen beginnen, sollte man in der gesamten Infrastruktur eine Zero-Trust-Richtlinie implementieren. So gewährleisten Sie, dass ein Benutzer auch tatsächlich der ist, für den er sich ausgibt, und dass ein Gerät nicht mit einer Malware infiziert ist, wenn es sich mit Unternehmensressourcen verbindet. Die Unterscheidung zwischen Geräte- und Benutzerverhalten ist ein wichtiger Bestandteil detaillierter Zugriffsrichtlinien. Denn so lässt sich ein anomales Verhalten erkennen. Und von der definierten Baseline abweichendes Verhalten kann immer ein Hinweis auf ein kompromittiertes Konto sein.

Wie werden Ransomware-Angriffe sich in den kommenden Monaten und Jahren weiterentwickeln?

Sascha Spangenberg: Ransomware ist nicht neu, aber die Taktiken, die Angreifer nutzen, um in die Unternehmensinfrastruktur einzudringen und Ressourcen zu sperren oder zu stehlen, entwickeln sich rasant weiter. Vor Jahren nutzten Angreifer Brute-Force-Methoden, um eine kleine Lücke in der Abwehr eines Unternehmens zu finden und auszunutzen. Heutzutage sind die Methoden sehr viel subtiler. In den meisten Fällen versuchen Cyberkriminelle, das Konto eines Mitarbeiters zu kompromittieren, um sich mit legitimen Anmeldeinformationen unerkannt anzumelden. Einer der gängigsten Angriffsvektoren ist nach wie vor Phishing. Auf Smartphones und Tablets gibt es unzählige Möglichkeiten, über SMS, Chat-Plattformen von Drittanbietern und Social-Media-Apps einen Angriff zu lancieren.

Welche Empfehlungen sollten Firmen angesichts der aktuellen Situation beherzigen?

Sascha Spangenberg: Mitarbeiter erwarten, nahtlos auf alle Netzwerkressourcen zugreifen zu können, um produktiv zu bleiben. Und das über Geräte, die sich der Kontrolle entziehen (da sich außerhalb des üblichen Perimeters befinden) und die in den meisten Fällen auch privat genutzt werden. Für Firmenchefs, Manager und Sicherheitsteams bedeutet das aber zwangsläufig, die Zugriffsberechtigungen zu erweitern. Angreifer wissen beides und greifen Mitarbeiter bevorzugt über private Apps an, um legitime Anmeldeinformationen zu stehlen. Eine herkömmliche VPN-Lösung würde vermutlich nicht erkennen, dass jemand ins Netzwerk eingedrungen ist. Und: VPNs geben in der Regel jedem, der sich verbindet, unbegrenzten Zugriff. Ein Angreifer kann sich dann frei zwischen verschiedenen Apps und anderen Komponenten der Cloud- und On-Prem-Infrastruktur bewegen.

Mittels Zero Trust Network Access (ZTNA) haben Unternehmen die Möglichkeit, detaillierte Identitäts- und kontextabhängige Zugriffskontrollen zu implementieren, die konsistente Sicherheit und eine durchgängige Benutzererfahrung für On-Premises-, Infrastructure-as-a-Service (IaaS)- und Software-as-a-Service (SaaS)-Apps versprechen. Das Modell erlaubt es, Zugriffe auf die Nutzer zu beschränken, die ihn tatsächlich brauchen, und es lässt sich auch auf ältere Apps ausweiten. Zudem gestattet es den agentenlosen Zugriff von jedem Endgerät aus. 

Mobilgeräte brauchen zwingend einen vergleichbaren Sicherheitslevel wie ihre stationären Pendants. Mobile Device Management, die Feststellung der Identität und auch VPNs sind in einer remote- oder hybriden Arbeitsumgebung längst an ihre Grenzen gestoßen. 

www.lookout.com/de
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.