Sophos Report

Schnelle Ransomware-Angriffe behindern eine schnelle Reaktion des Opfers

, Sophos | Autor: Herbert Wieler

Schnelle Ransomware-Angriffe behindern eine schnelle Reaktion des Opfers

38 Prozent der schnellen Ransomware-Angriffe ereigneten sich innerhalb von 5 Tagen nach dem ersten Zugriff

Active Adversary Report für Sicherheitsexperten

Sophos, ein weltweit führender Anbieter von Innovationen und Cyber Security Services, veröffentlichte seinen Active Adversary Report für Sicherheitsexperten, der feststellte, dass in fast 42 % der untersuchten Angriffsfälle Telemetrieprotokolle fehlten. In 82 % dieser Fälle haben Cyberkriminelle die Telemetrie deaktiviert oder gelöscht, um ihre Spuren zu verbergen. Der Bericht deckt Incident Response (IR)-Fälle ab, die Sophos von Januar 2022 bis zum ersten Halbjahr 2023 analysiert hat.

Lücken in der Telemetrie verringern die dringend benötigte Sichtbarkeit in die Netzwerke und Systeme von Organisationen, insbesondere da die Verweildauer der Angreifer (die Zeit vom ersten Zugriff bis zur Erkennung) immer weiter abnimmt, wodurch sich die Zeit verkürzt, die Verteidiger haben, um effektiv auf einen Vorfall zu reagieren.

„Bei der Reaktion auf eine aktive Bedrohung ist Zeit entscheidend; Die Zeit zwischen dem Erkennen des ersten Zugriffsereignisses und der vollständigen Bedrohungsminderung sollte so kurz wie möglich sein. Je weiter ein Angreifer in der Angriffskette vordringt, desto größer sind die Kopfschmerzen für die Antwortenden. Fehlende Telemetrie führt zu mehr Zeit für Korrekturen, die sich die meisten Unternehmen nicht leisten können. Aus diesem Grund ist eine vollständige und genaue Protokollierung unerlässlich, aber wir sehen, dass Unternehmen allzu oft nicht über die Daten verfügen, die sie benötigen“, sagte John Shier, Field CTO, Sophos .

In dem Bericht klassifiziert Sophos Ransomware-Angriffe mit einer Verweildauer von weniger als oder gleich fünf Tagen als „schnelle Angriffe“, die 38 % der untersuchten Fälle ausmachten. „Langsame“ Ransomware-Angriffe sind solche mit einer Verweildauer von mehr als fünf Tagen, die 62 % der Fälle ausmachten.

Bei der Untersuchung dieser „schnellen“ und „langsamen“ Ransomware-Angriffe auf granularer Ebene gab es keine großen Unterschiede bei den Tools, Techniken und Living-off-the-Land-Binärdateien (LOLBins), die die Angreifer einsetzten, was darauf hindeutet, dass Verteidiger sie nicht benötigen ihre Verteidigungsstrategien neu zu erfinden, wenn die Verweildauer kürzer wird. Allerdings müssen sich Verteidiger darüber im Klaren sein, dass schnelle Angriffe und fehlende Telemetrie schnelle Reaktionszeiten behindern und zu mehr Zerstörung führen können.

„Cyberkriminelle entwickeln nur Innovationen, wenn sie müssen, und nur in dem Maße, in dem sie ihr Ziel erreichen. Angreifer werden nichts daran ändern, was funktioniert, selbst wenn sie schneller vom Zugriff zur Erkennung gelangen. Das sind gute Nachrichten für Unternehmen, da sie ihre Verteidigungsstrategie nicht radikal ändern müssen, da Angreifer ihre Zeitpläne verkürzen. Die gleichen Abwehrmaßnahmen, die schnelle Angriffe erkennen, gelten für alle Angriffe, unabhängig von der Geschwindigkeit. Dazu gehören vollständige Telemetrie, robuste Schutzmaßnahmen für alles und eine allgegenwärtige Überwachung“, sagte Shier. „Der Schlüssel besteht darin, die Reibung zu erhöhen, wann immer es möglich ist. Wenn Sie den Angreifern die Arbeit erschweren, können Sie wertvolle Zeit für die Reaktion gewinnen und jede Phase eines Angriffs in die Länge ziehen.

„Wenn beispielsweise bei einem Ransomware-Angriff mehr Reibungsverluste auftreten, können Sie die Zeit bis zur Exfiltration verzögern. Die Exfiltration erfolgt oft kurz vor der Entdeckung und ist häufig der kostspieligste Teil des Angriffs. Wir haben dies bei zwei Vorfällen mit Cuba-Ransomware beobachtet. Ein Unternehmen (Unternehmen A) verfügte über eine kontinuierliche Überwachung mit MDR, sodass wir die böswilligen Aktivitäten erkennen und den Angriff innerhalb weniger Stunden stoppen konnten, um den Diebstahl von Daten zu verhindern. Bei einem anderen Unternehmen (Unternehmen B) gab es diese Reibung nicht; Sie bemerkten den Angriff erst einige Wochen nach dem ersten Zugriff und nachdem Kuba bereits 75 Gigabyte sensibler Daten erfolgreich exfiltriert hatte. Dann riefen sie unser IR-Team an und einen Monat später versuchten sie immer noch, zum Tagesgeschäft zurückzukehren.“

Der Sophos Active Adversary Report für Sicherheitsexperten basiert auf 232 Sophos Incident Response (IR)-Fällen in 25 Sektoren vom 1. Januar 2022 bis 30. Juni 2023. Die angegriffenen Organisationen befanden sich in 34 verschiedenen Ländern auf sechs Kontinenten. 83 Prozent der Fälle stammten von Unternehmen mit weniger als 1.000 Mitarbeitern.