Anzeige

Ransomware

Die überwiegende Mehrzahl der Unternehmen hat große Bedenken, was Ransomware-Angriffe anbelangt, und viele sind schon selbst ins Visier von Angreifern geraten. Mit teilweise gravierenden Folgen: Umsatzverluste, Rufschädigung und Entlassungen auf der Führungsebene zählen dazu.

Unternehmen versuchen mit unterschiedlichen Mitteln gegenzusteuern: die meisten verfügen über eine Policy in Sachen Ransomware und eine stetig wachsende Zahl von Firmen hat eine Cyberversicherung abgeschlossen, die Ransomware einschließt. Und inzwischen folgen auch deutsche Firmen dem weltweiten Trend und sind zunehmend bereit, über Lösegeld zu verhandeln. Schwindelerregende Forderungen sind hierzulande zwar noch eher selten, aber gezahlt wird. 

Zum Thema Ransomware haben wir mit Sascha Spangenberg gesprochen, Consulting Sales Engineer International bei Lookout. 

Die Zahl der Ransomware-Angriffe ist zuletzt stark gestiegen. Phishing ist eines der wichtigsten Einfallstore. Gibt es dazu aktuelle Zahlen? 

Sascha Spangenberg: Phishing-Angriffe sind einer der gängigsten Wege, um eine Ransomware-Attacke zu starten. Ist der Phishing-Teil erfolgreich, hat der Angreifer die Möglichkeit, sich mit legitimen Anmeldeinformationen problemlos einzuloggen. Daten von Lookout zeigen, dass allein im letzten Jahr und unter dem Einfluss der Pandemie, Benutzer zu 39 % häufiger auf Phishing-Links geklickt haben. Mobilgeräte sind für Angreifer aus verschiedenen Gründen attraktiv. Nicht zuletzt deshalb, weil eine Reihe privater Kanäle wie SMS, Social Media Apps oder Plattformen Dritter, außerhalb der  üblichen Sicherlösungen eines Unternehmens liegen. Und selbst wenn ein Angreifer auf die Anmeldeinformationen eines Mitarbeiters zugreifen kann, wartet er unter Umständen noch mit dem eigentlichen Angriff. Diese Zeit wird verwendet, um die Infrastruktur zu sondieren und möglichst lukrative Ziele auszumachen. 

Wir haben gerade in jüngster Zeit eine Reihe von folgenschweren Ransomware-Angriffen erlebt...

Sascha Spangenberg: Das sind insbesondere zwei Vorfälle. Das irische Gesundheitsministerium musste nach einem Ransomware-Angriff sämtliche Systeme herunterfahren. In Verbindung mit einem ähnlichen Angriff auf die Health Service Executive in derselben Woche, kam es am folgenden Tag zu erheblichen Ausfällen bei ambulanten Diensten. Und der zweite: Colonial Pipeline, Betreiber des größten Pipelinesystems in den USA, wurde kürzlich Opfer eines Ransomware-Angriffs. Das Unternehmen war gezwungen, seinen Betrieb einzustellen und ein Lösegeld in Höhe von 5 Millionen Dollar zu zahlen. Wie hier machen Ransomware-Gruppen sich die Tatsache zunutze, dass fast jedes Unternehmen heute remote oder hybrid arbeitet.

Wie ausgefeilt sind Ransomware-Angriffe aktuell?

Sascha Spangenberg: Gerade momentan tauchen neue Ransomware-Varianten auf, und Ransomware-as-a-Service (RaaS) bietet Angreifern quasi ein klassisches Opex-Modell. Analog zu den Prozessen in der Wirtschaft wird die Wertschöpfungskette auch hier ständig optimiert. Und zwar, um das Ziel so effektiv und so effizient wie möglich zu erreichen. Die Einstiegshürden sind durch RaaS deutlich niedriger als bisher. MalLocker.B ist beispielsweise eine Ransomware-Familie, die über Online-Foren genutzt und verbreitet wird. Angreifer nutzen dann bevorzugt Social Engineering-Methoden, um ihre Opfer zu täuschen. Nur die wenigsten Mobilgeräte sind ausreichend gegen Phishing-Angriffe geschützt. Angreifer nutzen Schwachstellen in gängigen Anwendungen und greifen dabei oft über Messaging-Apps an. In Verbindung mit Schwachstellen im Betriebssystem kommt so eine Kill Chain in Gang, die zu einer umfassenden Kompromittierung der auf dem Gerät gespeicherten Daten führt.

Wir lange gibt es Ransomware-as-a-Service und wie häufig wird RaaS Ihrer Meinung nach eingesetzt? 

Sascha Spangenberg: Ransomware-as-a-Service ist ein neues Akronym für ein Abo-Modell, mit dem man Zugang zu Dokumentation, einer Malware samt Support sowie Phishing-Kits bekommt. Diese Dienste sind aktuell selbst für vergleichsweise unerfahrene Akteure weithin verfügbar. Ein Beispiel ist Petya Raas. Man hat kürzlich einen neuen Stamm von Petya entdeckt. Für das Ausführen der Malware braucht man Administratorrechte. Die Ransomware macht zunächst den Rechner unbenutzbar und kann anschließend zwei verschiedene Malware-Versionen auf den Zielrechner laden. Die Petya RaaS-Plattform zahlt einen Prozentsatz des Lösegelds an die Distributoren. Sollten dabei bestimmte Schwellenwerte erreicht werden, gehen die Einnahmen weiter nach oben.  

Welche Folgen hat es, wenn Unternehmen ein Lösegeld nicht zahlen? 

Sascha Spangenberg: Auch diese Folgen sind weitreichend. Die irische Regierung hatte sich gegen eine Zahlung entschieden und musste umfangreiche Disaster Recovery- und Business Continuity-Prozesse auslösen. Paul Reid, Chief Executive von HSE, erklärte dazu: „Wir müssen hier einen beträchtlichen Wiederaufbau leisten. Die Auswirkungen auf unsere Systeme werden im zweistelligen Millionenbereich liegen, daran besteht kein Zweifel.“ Außerdem wirkte sich der Angriff direkt auf weitere wichtige Gesundheitsdienste aus - von der Radiologie bis hin zur Geburtshilfe – auch hier sind Aufwand und Kosten für die Wiederherstellung immens.

Welchen Rat geben Sie Unternehmen, um a) die Wahrscheinlichkeit eines Ransomware-Angriffs zu senken und um b) im Falle eines Angriffs die richtigen Schritte zu unternehmen?

Sascha Spangenberg: Um sich besser vor neuartigen Taktiken und Methoden zu schützen, brauchen Sicherheitsteams vor allem Transparenz. Gepaart mit der Fähigkeit, alle Systeme und Anwendungen zu schützen, vom Endpunkt bis in die Cloud. Eine detaillierte Übersicht, wer innerhalb der Unternehmensinfrastruktur auf was zugreift, ist einer der Schlüssel, um das Risiko eines Ransomware-Angriffs zu senken. Da solche Angriffe meist bei kompromittierten Anmeldeinformationen beginnen, sollte man in der gesamten Infrastruktur eine Zero-Trust-Richtlinie implementieren. So gewährleisten Sie, dass ein Benutzer auch tatsächlich der ist, für den er sich ausgibt, und dass ein Gerät nicht mit einer Malware infiziert ist, wenn es sich mit Unternehmensressourcen verbindet. Die Unterscheidung zwischen Geräte- und Benutzerverhalten ist ein wichtiger Bestandteil detaillierter Zugriffsrichtlinien. Denn so lässt sich ein anomales Verhalten erkennen. Und von der definierten Baseline abweichendes Verhalten kann immer ein Hinweis auf ein kompromittiertes Konto sein.

Wie werden Ransomware-Angriffe sich in den kommenden Monaten und Jahren weiterentwickeln?

Sascha Spangenberg: Ransomware ist nicht neu, aber die Taktiken, die Angreifer nutzen, um in die Unternehmensinfrastruktur einzudringen und Ressourcen zu sperren oder zu stehlen, entwickeln sich rasant weiter. Vor Jahren nutzten Angreifer Brute-Force-Methoden, um eine kleine Lücke in der Abwehr eines Unternehmens zu finden und auszunutzen. Heutzutage sind die Methoden sehr viel subtiler. In den meisten Fällen versuchen Cyberkriminelle, das Konto eines Mitarbeiters zu kompromittieren, um sich mit legitimen Anmeldeinformationen unerkannt anzumelden. Einer der gängigsten Angriffsvektoren ist nach wie vor Phishing. Auf Smartphones und Tablets gibt es unzählige Möglichkeiten, über SMS, Chat-Plattformen von Drittanbietern und Social-Media-Apps einen Angriff zu lancieren.

Welche Empfehlungen sollten Firmen angesichts der aktuellen Situation beherzigen?

Sascha Spangenberg: Mitarbeiter erwarten, nahtlos auf alle Netzwerkressourcen zugreifen zu können, um produktiv zu bleiben. Und das über Geräte, die sich der Kontrolle entziehen (da sich außerhalb des üblichen Perimeters befinden) und die in den meisten Fällen auch privat genutzt werden. Für Firmenchefs, Manager und Sicherheitsteams bedeutet das aber zwangsläufig, die Zugriffsberechtigungen zu erweitern. Angreifer wissen beides und greifen Mitarbeiter bevorzugt über private Apps an, um legitime Anmeldeinformationen zu stehlen. Eine herkömmliche VPN-Lösung würde vermutlich nicht erkennen, dass jemand ins Netzwerk eingedrungen ist. Und: VPNs geben in der Regel jedem, der sich verbindet, unbegrenzten Zugriff. Ein Angreifer kann sich dann frei zwischen verschiedenen Apps und anderen Komponenten der Cloud- und On-Prem-Infrastruktur bewegen.

Mittels Zero Trust Network Access (ZTNA) haben Unternehmen die Möglichkeit, detaillierte Identitäts- und kontextabhängige Zugriffskontrollen zu implementieren, die konsistente Sicherheit und eine durchgängige Benutzererfahrung für On-Premises-, Infrastructure-as-a-Service (IaaS)- und Software-as-a-Service (SaaS)-Apps versprechen. Das Modell erlaubt es, Zugriffe auf die Nutzer zu beschränken, die ihn tatsächlich brauchen, und es lässt sich auch auf ältere Apps ausweiten. Zudem gestattet es den agentenlosen Zugriff von jedem Endgerät aus. 

Mobilgeräte brauchen zwingend einen vergleichbaren Sicherheitslevel wie ihre stationären Pendants. Mobile Device Management, die Feststellung der Identität und auch VPNs sind in einer remote- oder hybriden Arbeitsumgebung längst an ihre Grenzen gestoßen. 

www.lookout.com/de
 


Artikel zu diesem Thema

Ransomware
Mai 20, 2021

Resümee: Der Ransomware-Angriff auf die Pipeline und die Cyberkriminellen

Nachdem Ransomware eine der größten Pipelines der USA lahmlegte, entschuldigten sich die…
Hacker Irland
Mai 17, 2021

Conti-Ransomware für Angriff auf irischen Gesundheitsdienst verantwortlich

Für den schweren Angriff auf die Systeme des irischen HSE-Gesundheitsdienstes ist wohl…
Ransomware
Jun 09, 2020

Teufelskreis Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service…

Weitere Artikel

Phishing

Phishing-Kampagnen: Webseiten von Sparkasse und Volksbank werden imitiert

Die Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyberkriminellen geraten.
Geschenkkarten

Achtung: Drei Betrugsmethoden mit Geschenkkarten

Vor der Haupteinkaufszeit zu Weihnachten warnt Malwarebytes vor den Gefahren, die mit Geschenkkarten verbunden sind. Verbraucher müssen vor allem auf drei Betrugsmethoden mit Geschenkkarten achten, um Cyberkriminellen nicht in die Falle zu gehen.
Phishing

Spear-Phishing-Kampagnen mit gefälschten Kundenbeschwerden

Eine Spear-Phishing-Kampagne versendet gefälschte „Kundenbeschwerden“, die einen Link zu einer bösartigen Website enthalten, wie Paul Ducklin von Sophos eigenem IT-Security Blog Naked Security beschreibt.
Weihnachten Hacker

Fröhliche Weihnachten: X-Mas Days are Phishing Days

Weihnachten steht vor der Tür und wie jedes Jahr suchen Millionen Menschen im Internet nach den besten Geschenkangeboten für das große Fest. ThycoticCentrify gibt Tipps, wie sie sich gegen die neuesten Betrugsversuche im Netz wappnen können.
Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.