Ransomware

Ransomware-Angriff auf MGM Resorts: Check Point fasst Ereignisse zusammen

, Check Point | Autor: Herbert Wieler

Ransomware-Angriff auf MGM Resorts: Check Point fasst Ereignisse zusammen

Am 12. September 2023 wurde MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, Berichten zufolge von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an einigen seiner wichtigsten Standorte in Las Vegas außer Betrieb setzte. Durch den Angriff wurden die Gäste aus ihren Zimmern ausgesperrt und konnten weder vor Ort noch über die MGM-Mobil-App Transaktionen durchführen. Die betroffenen Casino-Hotels mussten die Transaktionen letztlich manuell abwickeln. Es wird erwartet, dass dieser Vorfall wesentliche Auswirkungen auf die Geschäftstätigkeit des Unternehmens haben wird.

Zum Zeitpunkt des Vorfalls war unklar, wer hinter der Kampagne steckte, obwohl auf Social-Media-Plattformen Spekulationen im Umlauf waren. Nun steht fest, dass die Ransomware-Gruppe ALPHV die Verantwortung übernommen hat. Sie veröffentlichte eine Erklärung auf ihrer Dark-Web-Seite und gab damit zum ersten Mal öffentlich bekannt, dass sie an einem Angriff beteiligt war. In der Erklärung beschreibt die Gruppe, wie sie am 11. September in die Systeme von MGM Resorts eingedrungen ist. Während der Verhandlungen mit MGM gaben sie keine Auskunft darüber, welche persönlichen Informationen sie exfiltrierten, erklärten jedoch, dass sie externe Websites wie haveibeenpwned.com benachrichtigen werden, wenn die Gespräche mit MGM nicht zu einer Lösung zu ihren Gunsten führen.

ALPHV und der Aufstieg von Mega-Ransomware

Wie viele etablierte Ransomware-Gruppen hat sich auch ALPHV zu einem organisierten Unternehmen entwickelt, das groß angelegte Angriffe auf bekannte Unternehmen durchführt. ALPHV (auch bekannt als BlackCat) ist ein Bedrohungsakteur, der über Ransomware-as-a-Service (RaaS) illegale Geschäfte betreibt und Ende 2021 das erste Mal auftauchte. Die Gruppe ist dafür bekannt, dass sie die Programmiersprache Rust verwendet und in der Lage ist, Windows- und Linux-basierte Betriebssysteme anzugreifen. ALPHV wird in Cybercrime-Foren vermarktet und betreibt ein Partnerprogramm. Die Gruppe ist ebenso berüchtigt dafür, gestohlene Daten weiterzugeben, wenn ihre Lösegeldforderungen nicht erfüllt werden, und betreibt zu diesem Zweck mehrere Dark Web-Blogs. ALPHV ist eine der größten RaaS-Bedrohungsgruppen, die in den letzten 12 Monaten für fast 9 Prozent aller auf Dark Web Shame Sites veröffentlichten Opfer verantwortlich war, knapp hinter cl0p (über 9 Prozent) und Lockbit (21,5 Prozent).

In den letzten 12 Monaten veröffentlichte ALPHV die Identität von rund 400 seiner Opfer, die sich weigerten, das Lösegeld zu zahlen. Die geografische Verteilung der Opfer ist typisch für das Ransomware-Ökosystem, wobei mehr als die Hälfte in den USA ansässig ist. Fast drei Prozent seiner Opfer findet ALPHV in deutschen Unternehmen. Im August 2023 beobachtete Check Point Research 918 durchschnittliche wöchentliche Cyberangriffe pro Unternehmen in der Freizeit-/Gastgewerbebranche weltweit, wobei 396 in den USA stattfanden. Damit lag dieser Sektor im ersten Halbjahr auf Platz 11 der am häufigsten angegriffenen Branchen. ALPHV hat es auf Opfer in verschiedenen Sektoren abgesehen, darunter das verarbeitende Gewerbe, das Gesundheitswesen und die Rechtsbranche.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research, kommentiert: „Der Vorfall ist ein weiterer Beweis für den wachsenden Trend, dass sich Ransomware-Angreifer auf die Erpressung von Daten konzentrieren und Nicht-Windows-Betriebssysteme anvisieren. Das Modell von Ransomware-as-a-Service (RaaS) ist nach wie vor sehr erfolgreich und kombiniert eine starke technologische Infrastruktur für die Angriffe mit versierten und ausgeklügelten Partnern, die einen Weg finden, in große Unternehmen einzudringen. MGM sollte die Hotelgäste und Besucher darüber informieren, welche Informationen möglicherweise erlangt wurden. Der Fall ist ein weiteres abschreckendes Beispiel für alle Organisationen, ihre Zugangskontrollen regelmäßig zu überprüfen und sicherzustellen, dass sie über durchgängige Sicherheitsverfahren verfügen."

Tipps für Unternehmen zur Vorbeugung von Ransomware- und anderen Angriffen

Neben fortschrittlichen Cybersicherheits-Tools müssen Unternehmen eine gute Sicherheitshygiene in lokalen, cloudbasierten und hybriden Netzwerken bis hin zur Vorstandsebene praktizieren. Es gibt eine Reihe von Maßnahmen, die Führungskräfte ergreifen können, um das Risiko und die möglichen Auswirkungen eines Angriffs zu minimieren. Hier sind ein paar einfache Tipps, die erhöhte Sicherheit bieten:

1. Robuste Datensicherung

Das Ziel von Ransomware ist es, das Opfer zur Zahlung eines Lösegelds zu zwingen, damit es wieder Zugriff auf seine verschlüsselten Daten erhält. Dies ist jedoch nur wirksam, wenn das Ziel tatsächlich den Zugriff auf seine Daten verliert. Eine robuste, sichere Datensicherungslösung ist ein wirksames Mittel, um die Auswirkungen eines Ransomware-Angriffs abzuschwächen.

2. Schulungen zum Cyber-Bewusstsein

Phishing-E-Mails sind eine der beliebtesten Methoden zur Verbreitung von Ransomware. Indem sie einen Benutzer dazu verleiten, auf einen Link zu klicken oder einen bösartigen Anhang zu öffnen, verschaffen sich Cyberkriminelle Zugang zum Computer des Mitarbeiters und beginnen mit der Installation und Ausführung der Ransomware auf dem Computer. Häufige Schulungen zum Thema Cybersicherheit sind für den Schutz des Unternehmens vor Ransomware von entscheidender Bedeutung, da sie die eigenen Mitarbeiter als erste Verteidigungslinie bei der Gewährleistung einer geschützten Umgebung einsetzen. Diese Schulungen sollten die Mitarbeiter über die klassischen Anzeichen von und die Sprache, die in Phishing-E-Mails verwendet wird, aufklären.

3. Aktuelle Patches

Computer auf dem neuesten Stand zu halten und Sicherheits-Patches zu installieren, insbesondere solche, die als kritisch eingestuft sind, kann dazu beitragen, die Anfälligkeit eines Unternehmens für Ransomware-Angriffe zu verringern, da solche Patches in der Regel übersehen werden oder zu lange auf sich warten lassen, um den erforderlichen Schutz zu bieten.

4. Verstärkung der Benutzerauthentifizierung

Die Durchsetzung strenger Passwortrichtlinien, die Forderung nach einer Multi-Faktor-Authentifizierung und die Aufklärung der Mitarbeiter über Phishing-Angriffe, die auf den Diebstahl von Anmeldedaten abzielen, sind wichtige Bestandteile der Cybersicherheitsstrategie eines Unternehmens.

5. Anti-Ransomware-Lösungen

Anti-Ransomware-Lösungen überwachen Programme, die auf einem Computer laufen, auf verdächtige Verhaltensweisen, die häufig von Ransomware an den Tag gelegt werden. Wenn diese Verhaltensweisen erkannt werden, kann das Programm Maßnahmen ergreifen, um die Verschlüsselung zu stoppen, bevor weiterer Schaden angerichtet werden kann.

6. Fortschrittliche Bedrohungsabwehr nutzen

Die meisten Ransomware-Angriffe können erkannt und abgewehrt werden, bevor es zu spät ist. Um ihre Chancen auf Schutz zu maximieren, müssen Unternehmen eine automatisierte Bedrohungserkennung und -abwehr einrichten, einschließlich des Scannens und Überwachens von E-Mails und Dateiaktivitäten. KI ist zu einem unverzichtbaren Verbündeten im Kampf gegen Cyberbedrohungen geworden. KI-gesteuerte Cybersicherheitslösungen ergänzen das menschliche Fachwissen, verstärken die Verteidigungsmaßnahmen und bieten so einen robusten Schutz gegen eine Vielzahl von Angriffen. Da Cyberkriminelle ihre Taktiken immer weiter verfeinern, wird die symbiotische Beziehung zwischen KI und Cybersicherheit entscheidend für den Schutz der digitalen Zukunft sein.