Ransomware Report

Unit 42 Ransomware Report: Cyberkriminelle setzen vermehrt auf Mehrfacherpressung

, Unit 42 | Autor: Herbert Wieler

Unit 42 Ransomware Report: Cyberkriminelle setzen vermehrt auf Mehrfacherpressung

Multi-Erpressungstaktiken weiter auf dem Vormarsch

Während Ransomware in den letzten Jahren viel Aufmerksamkeit geschenkt wurde, setzen moderne Angreifer zunehmend zusätzliche Erpressungstechniken ein, um ihre Opfer zur Zahlung zu zwingen – oder verzichten ganz auf Ransomware und praktizieren Erpressung auf eigene Faust

Unternehmen müssen ihre Abwehrmaßnahmen weiterentwickeln, um den verschiedenen Methoden, mit denen Angreifer Druck ausüben, zu begegnen. Incident-Response-Pläne müssen heute nicht nur technische Überlegungen beinhalten, sondern auch Maßnahmen, um den Ruf eines Unternehmens zu schützen. Ebenso sind Überlegungen nötig zum Schutz von Mitarbeitern oder Kunden, die zur Zielscheibe einiger aggressiverer Taktiken der Erpresser werden könnten.

Der 2023 Unit 42 Ransomware Threat Report befasst sich mit den jüngsten Incident-Response-Fällen sowie mit der Einschätzung der Analysten von Unit 42 zur allgemeinen Bedrohungslage. Er enthält auch Prognosen darüber, wie Angreifer Ransomware und Erpressungstaktiken in Zukunft einsetzen werden.

Die wichtigsten Ergebnisse des 2023 Unit 42 Ransomware and Extortion Threat Report

Multi-Erpressungstaktiken sind weiter auf dem Vormarsch

In den von Unit 42 bis Ende 2022 untersuchten Ransomware-Fällen haben Angreifer in durchschnittlich 70 Prozent der Fälle Datendiebstahl betrieben. Im Vergleich dazu wurde Mitte 2021 nur in durchschnittlich 40 Prozent der Fälle Datendiebstahl festgestellt. Angreifer drohen häufig damit, gestohlene Daten auf Leak-Sites im Dark Web zu veröffentlichen, die zunehmend eine Schlüsselkomponente ihrer Erpressungsversuche darstellen.

Belästigung ist eine weitere Erpressungstaktik, die in immer mehr Ransomware-Fällen zum Einsatz kommt. Gruppen von Ransomware-Angreifern zielen mit Drohungen und unerwünschten Mitteilungen auf bestimmte Personen im Unternehmen ab, häufig auf die Führungsebene. Ende 2022 war die Belästigung ein Faktor in etwa 20 Prozent der Ransomware-Fälle. Zum Vergleich: Mitte 2021 war Belästigung in weniger als ein Prozent der Ransomware-Fälle ein Faktor.

Erpresserbanden sind opportunistisch – es gibt jedoch einige Muster bei den Unternehmen, die sie angreifen

Der Analyse von Leak-Sites im Dark Web zufolge war die Fertigungsindustrie im Jahr 2022 mit 447 kompromittierten Unternehmen, die auf Leak-Sites öffentlich gemacht wurden, die am stärksten angegriffene Branche. Unit 42 geht davon aus, dass dies darauf zurückzuführen ist, dass in dieser Branche häufig veraltete Software eingesetzt wird, die nicht regelmäßig oder einfach aktualisiert oder gepatcht wird. Dies ist auch vor dem Hintergrund der geringen Toleranz der Branche gegenüber Ausfallzeiten zu sehen. Den Daten der Leak-Sites zufolge waren Unternehmen in den USA am stärksten betroffen mit 42 Prozent der beobachteten Leaks im Jahr 2022.

Große, multinationale Unternehmen können lukrative Ziele für Angreifer sein

Angriffe auf die größten Unternehmen der Welt machen einen kleinen, aber bemerkenswerten Prozentsatz der öffentlichen Erpressungsvorfälle aus. Im Jahr 2022 waren 30 Unternehmen auf der Forbes Global 2000-Liste öffentlich von Erpressungsversuchen betroffen. Seit 2019 wurden bei mindestens 96 dieser Unternehmen vertrauliche Dateien im Rahmen von Erpressungsversuchen in irgendeiner Form öffentlich gemacht.

Was im kommenden Jahr bei Erpressungen zu erwarten ist

Die Experten von Unit 42 haben Vorhersagen darüber erstellt, was im kommenden Jahr von Erpressergruppen zu erwarten ist:

  • Eine große Cloud-Ransomware-Kompromittierung
  • Ein Anstieg der Erpressungen im Zusammenhang mit Insider-Bedrohungen
  • Ein Anstieg politisch motivierter Erpressungsversuche
  • Der Einsatz von Ransomware und Erpressung zur Ablenkung von Angriffen, die auf die Infizierung der Lieferkette oder von Quellcode abzielen

Empfehlungen zur verbesserten Vorbereitung auf Ransomware und Erpressung

Während eines aktiven Erpressungsvorfalls ist die schnelle Unterstützung durch einen Incident-Response-Partner und einen externen Rechtsbeistand entscheidend. Ein umfassender Reaktionsplan mit entsprechenden Protokollen für die Krisenkommunikation verringert die Unsicherheiten bei der Schadensbegrenzung erheblich. Es ist wichtig zu wissen, welche Interessengruppen einzubeziehen sind und wie Entscheidungen zeitnah getroffen werden (z. B. ob gezahlt werden soll oder nicht oder wer befugt ist, Zahlungen zu genehmigen).

Der Krisenkommunikationsplan sollte auch abdecken, was zu tun (oder zu vermeiden) ist, wenn Mitarbeiter oder Kunden belästigt werden. Die Mitarbeiter sollten für die Belästigung durch Ransomware sensibilisiert werden, damit sie über die Instrumente und Prozesse verfügen, die sie bei einem aktiven Belästigungsvorfall anwenden können.

Unternehmen sollten eine Post-Mortem-Bewertung der Kompromittierung durchführen, um sicherzustellen, dass alle verbliebenen Hintertüren oder andere Indikatoren für eine Kompromittierung (z. B. geplante Aufgaben oder Jobs) entfernt wurden. Dadurch ist sichergestellt, dass der Angreifer nach einem ersten Eindringen nicht einfach einen Folgeangriff durchführen kann.