Ransomware

Online-Erpresser sehen Deutschland weiterhin als beliebtes Ziel

Online-Erpresser sehen Deutschland weiterhin als beliebtes Ziel

Umfassender Ransomware-Report von Palo Alto Networks –

Das Thema Ransomware beschäftigt die Wirtschaft und die Tech-Branche seit mehreren Monaten massiv. Durch die jüngst bekanntgewordenen Sicherheitslücken bei SolarWinds (Stichwort SolarStorm) und dem MS Exchange Server (Stichwort Hafnium) kam praktisch niemand darum herum, sich mit der Erpressung via Cyberangriff zu befassen.

Palo Alto Networks stellt exklusiv eine detaillierte Bestandsaufnahme in Sachen Ransomware vor. Methoden, Kosten, Trends, Szenarien.

Wie ist der aktuelle Stand der Ransomware-Bedrohungslandschaft? Wie stark sind deutsche Unternehmen bedroht? Was geschieht mit gestohlenen daten?

Das Unit 42 Threat Intelligence Team von Palo Alto Networks und das Crypsis Incident Response Team haben zusammengearbeitet, um die Ransomware-Bedrohungslandschaft im Jahr 2020 zu analysieren. Der Unit 42 Ransomware Threat Report enthält Details zu den wichtigsten Ransomware-Varianten, durchschnittliche Ransomware-Zahlungen, Ransomware-Vorhersagen und umsetzbare nächste Schritte zur sofortigen Reduzierung des Ransomware-Risikos.

Besonders bemerkenswert: Der Auswertung zufolge waren lediglich in den USA und Canada mehr Unternehmen von der illegalen Offenlegung von Daten betroffen als in Deutschland, das damit auf Rang 3 gelandet ist.

Cyberkriminelle verdienen und fordern mehr Geld als je zuvor

Die folgenden Daten stammen aus den USA, Kanada und Europa. Das durchschnittlich gezahlte Lösegeld für Unternehmen stieg von 115.123 US-Dollar im Jahr 2019 auf 312.493 US-Dollar im Jahr 2020, ein Anstieg von 171 Prozent im Vergleich zum Vorjahr. Darüber hinaus verdoppelte sich das höchste gezahlte Lösegeld von fünf Millionen US-Dollar (2019) auf zehn Millionen US-Dollar (2020). In der Zwischenzeit werden die Cyberkriminellen immer gieriger. Von 2015 bis 2019 lag die höchste Ransomware-Forderung bei 15 Millionen US-Dollar, im Jahr 2020 stieg sie auf 30 Millionen US-Dollar. Bemerkenswert ist, dass die Lösegeldforderungen für Maze im Jahr 2020 durchschnittlich 4,8 Millionen US-Dollar betrugen, ein deutlicher Anstieg im Vergleich zum Durchschnitt von 847.344 US-Dollar für alle Ransomware-Familien im Jahr 2020. Cyberkriminelle wissen, dass sie mit Ransomware Geld verdienen können und werden mit ihren Forderungen immer dreister.

Organisationen im Gesundheitswesen im Fadenkreuz

Die Welt änderte sich mit COVID-19, und Ransomware-Betreiber nutzten die Pandemie, um Organisationen auszuspionieren – insbesondere das Gesundheitswesen, das im Jahr 2020 am häufigsten Ziel von Ransomware war. Die Ransomware-Betreiber waren bei ihren Angriffen dreist und versuchten, so viel Geld wie möglich zu verdienen. Sie wussten, dass Organisationen im Gesundheitswesen ihren Betrieb aufrechterhalten mussten, um COVID-19-Patienten zu behandeln und Leben zu retten. Kliniken konnten es sich nicht leisten, auf ihre Systeme zu verzichten, und waren eher bereit, Lösegeld zu zahlen.

2020 Top-Beobachtungen zu Ransomware

Cyberangreifer nutzen aktuelle Ereignisse wie die COVID-19-Pandemie, um Opfer zum Öffnen von Phishing-E-Mails, zum Besuch gefälschter Websites oder zum Herunterladen bösartiger Dateien zu verleiten. Ein Beispiel: Die weltweiten Auswirkungen der COVID-19-Pandemie wurden als Thema für Ransomware-Angriffe auf eine Vielzahl von Branchen ausgenutzt. Während der Gesundheitssektor aufgrund des Coronavirus im Jahr 2020 ein Top-Ziel war, litten viele andere Branchen stark unter Ransomware-Vorfällen. Da sie das ganze Jahr über mit einer fragileren Finanzlage und den zusätzlichen Herausforderungen von Mitarbeitern, die von zu Hause aus arbeiten, zu kämpfen hatten, mussten viele Unternehmen mit weniger auskommen. Mit weniger Personal und Budgetkürzungen kann es schwieriger sein, das Bewusstsein für Cyberbedrohungen zu schärfen und Schutzmaßnahmen für die Cybersicherheit zu implementieren.

Verschiebungen im Ansatz

Ransomware ist immer leichter zu bekommen und in vielen Formaten verfügbar, die auf verschiedene Plattformen abzielen. Die Forscher haben eine Verschiebung von hoch-volumigen und Spray-and-Pray-Modellen hin zu einem fokussierten „Stay-and-Play“-Modell beobachtet, bei dem sich die Betreiber Zeit nehmen, um die Opfer und ihre Netzwerke kennenzulernen, und einem traditionelleren Ansatz zur Netzwerkpenetration folgen.

Plattformen im Visier

Ransomware wird nicht nur auf Microsoft Windows, Apple macOS und mobilen Betriebssystemen beobachtet, sondern zielt jetzt auch auf Linux ab.

Leichte Bedienbarkeit und Verfügbarkeit

Angreifer wissen, dass Ransomware, insbesondere das auf Abonnements basierende Modell „Ransomware as a Service“ (RaaS), einfach auszuführen, äußerst effektiv und potenziell profitabel ist – sowohl durch direkte Zahlungen als auch durch den Verkauf wertvoller Informationen. Das RaaS-Modell ermöglicht es Affiliates, vorhandene Ransomware-Software zur Durchführung von Angriffen zu nutzen und so einen Anteil an jeder erfolgreichen Lösegeldzahlung zu verdienen.

Ransomware-Betreiber verschaffen sich weiterhin mit herkömmlichen Methoden Zugang zu den Umgebungen der Opfer, z. B. durch Phishing, schwache oder kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol) und Ausnutzung von Anwendungs-/Softwareschwachstellen. Trotz der größeren Anzahl von Telearbeitern im Jahr 2020 sind diese Zugangstechniken gleichgeblieben. Viele Betreiber kombinieren auch Standard-Malware wie Dridex, Emotet und Trickbot für den Erstzugang. Sobald sie in ein Netzwerk eingedrungen sind, verwenden die Angreifer native Tools wie PSExec und PowerShell, um das Netzwerk aufzuzählen und sich seitlich zu bewegen.

Trend zur doppelten Erpressung

Ein üblicher Ransomware-Angriff besteht darin, dass der Ransomware-Betreiber Daten verschlüsselt und das Opfer zur Zahlung eines Lösegelds zwingt, um sie zu entsperren. Bei einer doppelten Erpressung verschlüsseln und stehlen die Ransomware-Betreiber Daten, um das Opfer weiter zu zwingen, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden. Diese Hosting-Standorte werden von den Ransomware-Betreibern erstellt und verwaltet.

Mindestens 16 verschiedene Ransomware-Varianten drohen jetzt damit, Daten preiszugeben oder Leak-Sites zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. Einige Ransomware-Betreiber beweisen ihr Wissen über die Netzwerkumgebung eines Opfers zusätzlich, indem sie die Daten in Form von Verzeichnissen oder Dateibäumen anzeigen.

Mehrere Ransomware-Familien, wie NetWalker, RagnarLocker, DoppelPaymer und viele andere, haben ihre Fähigkeit zur Exfiltration von Daten und zur Verwendung doppelter Erpressungstechniken gezeigt. Die Ransomware-Familie, die sich diese Taktik am häufigsten zunutze machte, war NetWalker. Von Januar 2020 bis Januar 2021 ließ NetWalker Daten von 113 Opferorganisationen weltweit durchsickern und übertraf damit andere Ransomware-Familien bei weitem. RagnarLocker lag an zweiter Stelle und ließ Daten von 26 Opfern weltweit durchsickern.

Das US-Justizministerium hatte im Januar 2021 bekannt gegeben, internationale Strafverfolgungsmaßnahmen zu koordinieren, um die NetWalker-Ransomware-Bande zu zerschlagen. Die von den NetWalker-Betreibern verwaltete Dark-Web-Domain, auf der die geleakten Daten gehostet wurden, ist nicht mehr zugänglich.

Die Zukunft von Ransomware

Betrachtet man die Aktivitäten im Jahr 2020 und blickt auf die letzten Jahre zurück, ist leicht zu erkennen, welche Trends sich bei Ransomware fortsetzen und welche Komponenten schneller als erwartet zugenommen haben.

Ransomware-as-a-Service-Modell

Die Leichtigkeit, mit der Ransomware-Angriffe erfolgreich sind, lässt vermuten, dass immer mehr finanziell motivierte Betreiber auf der Bildfläche erscheinen werden. Angreifer aller Art sind ständig auf der Suche nach Unternehmen, die sie ins Visier nehmen können, und sie wissen, dass Ransomware nicht nur effektiv ist, sondern auch mit geringem Aufwand verbunden sein kann, insbesondere, wenn sie das Ransomware-as-a-Service-Modell nutzen. Die Forscher gehen davon aus, dass immer mehr Betreiber diesem Modell folgen werden, um Geld zu erpressen.

Zunahme von Varianten und Fähigkeiten

Einige der am weitesten verbreiteten Ransomware-Familien, die im Jahr 2020 beobachtet wurden, waren weniger als ein Jahr alt. Es werden weiterhin neue und aktualisierte Ransomware-Varianten entwickelt und eingesetzt, die als eigenständige Malware oder zusammen mit herkömmlicher Malware verwendet werden. Da Linux immer häufiger zum Ziel von Ransomware wird, ist es klar, dass Angreifer weiterhin die Fähigkeit entwickeln werden, alle Arten von Systemen anzugreifen.

Mehr Profit durch doppelte Erpressung

Proof of Compromise- und doppelte Erpressungstechniken waren zu Beginn des Jahres 2020 ebenfalls weniger als ein Jahr alt, aber sie sind jetzt in ihrer Popularität explodiert. Mindestens 16 verschiedene Ransomware-Varianten drohen nun damit, Daten preiszugeben oder Leck-Seiten zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. In diesem Sinne wird auch die Nutzung von Tor und anderen anonymen Diensten weiter zunehmen. Die Verwendung von anonymen Diensten erschwert es Sicherheitsforschern und Strafverfolgern, Aktivitäten zu verfolgen und Indikatoren zu identifizieren, die zur Netzwerkverteidigung genutzt werden können.

Steigende Lösegeld-Forderungen Die höchste Lösegeldforderung ist in nur wenigen Jahren von 500 US-Dollar auf mehr als 30 Millionen US-Dollar gestiegen und hat sich allein von 219 bis 2020 verdoppelt von 15 auf 30 Millionen US-Dollar. Solange die Angreifer weiterhin bezahlt werden, werden diese Forderungen weiter steigen. Nur sehr wenige Betreiber stellen Lösegeldforderungen in anderen Formen als virtueller Währung, wobei sie in der Regel Bitcoin bevorzugen, obwohl in mehreren von den Forschern beobachteten Vorfällen auch Monero gefordert wurde.

Fortgesetzte Nutzung des Gewohnten

Ein Großteil des Erfolgs dieser Betreiber liegt in ihrer Fähigkeit, sich der Entdeckung zu entziehen. Die Angreifer werden weiterhin Netzwerke infiltrieren, indem sie auf traditionelle Phishing-Methoden, schwache Zugangsdaten sowie Tools setzen, die in den Zielumgebungen vertreten sind. Dazu gehört die Verwendung von Post-Exploitation-Frameworks wie Cobalt Strike, PowerShell Empire und PowerSploit.

Fazit und Empfehlungen

Die Abwehr von Ransomware-Angriffen ist ähnlich wie der Schutz vor anderer Malware. Ransomware stellt jedoch ein viel höheres Risiko für Unternehmen dar.

Erstzugang bei Angriffen

Der Erstzugang ist bei allen Ransomware-Varianten relativ einheitlich. Unternehmen sollten ihre Benutzer für die E-Mail-Sicherheit sensibilisieren und schulen sowie Möglichkeiten zur Erkennung und Beseitigung bösartiger E-Mails in Betracht ziehen, sobald diese in das Postfach eines Mitarbeiters gelangen. Unternehmen sollten auch sicherstellen, dass sie ein ordnungsgemäßes Patch-Management durchführen und überprüfen, welche Dienste möglicherweise dem Internet ausgesetzt sind. Remote-Desktop-Dienste sollten korrekt konfiguriert und abgesichert werden, wobei nach Möglichkeit das Prinzip der geringsten Privilegien angewandt werden sollte, mit einer Richtlinie zur Erkennung von Mustern, die mit Brute-Force-Angriffen verbunden sind.

Backup- und Wiederherstellungsprozess

Unternehmen sollten weiterhin ihre Daten sichern und einen geeigneten Wiederherstellungsprozess einrichten. Ransomware-Betreiber werden gezielt Backups vor Ort verschlüsseln, daher sollten Unternehmen sicherstellen, dass alle Backups sicher offline gehalten werden. Wiederherstellungsprozesse müssen implementiert und mit wichtigen Beteiligten geprobt werden, um Ausfallzeiten und Kosten für das Unternehmen im Falle eines Ransomware-Angriffs zu minimieren.

Sicherheitskontrollen

Die effektivsten Formen des Schutzes vor Ransomware sind Endpunktsicherheit, URL-Filterung oder Web-Schutz, erweiterte Bedrohungsabwehr (unbekannte Bedrohungen/Sandboxing) und Anti-Phishing-Lösungen, die in allen Unternehmensumgebungen und auf allen Geräten eingesetzt werden. Diese Lösungen garantieren zwar keinen vollständigen Schutz, aber sie reduzieren das Risiko einer Infektion durch gängige Varianten drastisch und bieten Überbrückungsmaßnahmen, so dass eine Technologie eine Durchsetzungslinie bietet, wenn eine andere möglicherweise nicht effektiv ist.