Vectra Ransomware Report 2019

Vectra analysiert Ransomware – Geld ist wichtiger als Angriffsziel

Vectra analysiert Ransomware – Geld ist wichtiger als Angriffsziel

Ransomware Spotlight Report 2019

Estes Park Health. Residex Software. Olean Medical Group. Seneca National Health System. Shingles Springs Health and Wellness Center. Baltimore. Atlanta. Lake City. Riviera Beach. DataResolution. iNSYNQ. Olympia Financial Group. Broken Arrows Public Schools. Wickenburg Community Hospital. City Power Johannesburg. Georgia State Patrol. Cleveland Hopkins International Airport. Colorado Department of Transportation. Police Federation of England and Wales. Hexion. Momentive.

Dies sind nur einige Unternehmen und Institutionen auf der ganzen Welt, die nach Angaben von Vectra 2019 Opfer von Ransomware-Angriffen wurden. Was sie gemeinsam haben, ist, dass sie meistens höchstwahrscheinlich ein Lösegeld gezahlt haben, um betriebliche Ausfallzeiten zu vermeiden und kritische Daten nicht zu verlieren. Jedes Ziel, von dem Angreifer glauben, dass es lohnenswert sein wird und wo sie Fuß fassen können, ist potenziell gefährdet.

Hinzukommt, dass Cyberkriminelle ihre Angriffe erweitern, wenn sie zuschlagen. Sie versuchen nach Angaben von Vectra längst nicht mehr, Dateien auf Einzelplatzgeräten zu verschlüsseln. Durch die Verschlüsselung mehrerer Dateiserver und Datenbanken können sie deutlich mehr Schaden verursachen und höheres Lösegeld fordern. Wenn Dateiserver und Datenbanken verschlüsselt werden, ist der Schaden in Bezug auf Betriebsausfallzeiten und Datenverlust deutlich höher.

Unternehmen, die von Ransomware-Vorfällen betroffen sind, wird die volle Aufmerksamkeit abverlangt, um Systeme sofort wiederherzustellen, damit der Geschäftsbetrieb fortgesetzt werden kann. Die Ausfallzeiten sind noch gravierender, wenn das Ziel ein Cloud Service Provider ist und Systeme seiner Kunden betroffen sind. Im Jahr 2019 wurden die Cloud-Hosting-Unternehmen DataResolution.net und iNSYNQ von Ransomware-Angriffen getroffen, die den Geschäftsbetrieb von mehr als 30.000 Kunden zum Stillstand brachten.

Ransomware war vor 2014 wenig bekannt, als die ersten Versionen der Software anfingen, sich in der Unternehmenswelt zu verbreiten. Es dauerte etwa ein Jahr, bis die Angreifer ihren Ansatz und ihre Angriffstechniken verfeinerten, was zu global verteilten Angriffen wie WannaCry im Jahr 2017 führte. Im Jahr 2019 entwickelte sich die opportunistische Taktik zu gut durchdachten gezielten Angriffen mit Stämmen wie LockerGaga, Ryuk, MegaCortex, GrandCrab und Dharma. Diese neuen, auf Ransomware ausgerichteten Malware-Familien setzten das Lösegeld entsprechend der wahrgenommenen Zahlungsfähigkeit des Opfers fest.

So hat Ryuk in der kurzen Zeit seines Bestehens seit August 2018 mehr als 100 US-amerikanische und internationale Unternehmen kompromittiert, darunter Cloud Service Provider wie DataResolution.net. CrowdStrike bezeichnet den von Ryuk verfolgten Ansatz als „Big Game Hunting“, denn Angreifer können Millionen von Dollar erwirtschaften, wenn sie Unternehmen mit hohen Jahresumsätzen angreifen. Und dies ist nur eine Sorte von Ransomware.

Moderne Ransomware fährt schwere Geschütze auf, hat einen großen Aktionsradius und ist zu einem wichtigen Werkzeug im Arsenal der Cyberangreifer avanciert, wie Vectra berichtet. Cloud-Betreiber und Unternehmen haben damit zu kämpfen, Ransomware-Angriffe zu erkennen und frühzeitig darauf zu reagieren.

Im 2019 Spotlight Report on Ransomware beobachteten Sicherheitsforscher von Vectra verstecktes Angreiferverhalten im Cloud- und Netzwerkverkehr von Hunderten von Opt-in-Kunden. Der Report zeigt, dass Cyberkriminelle ein breiteres Netz aufbauen und eine verheerende Art von gezielten Ransomware-Angriffen an Bedeutung gewonnen hat. Dies gilt insbesondere für Versuche, gemeinsam genutzte Netzwerkdateien zu verschlüsseln.

Effektive Sicherheit ist aber mit heutigen Mitteln durchaus möglich. Eine moderne Network-Detection-and-Response-Plattform auf Basis künstlicher Intelligenz erkennt Ransomware-Angriffe frühzeitig im Angriffslebenszyklus, lange bevor sie Schäden verursachen können. Dazu gehören alle Vorläufer und Anzeichen eines gezielten Angriffs, bevor die Verschlüsselung von gemeinsam genutzten Netzwerkdateien eine Chance auf Erfolg hat.

Die von Vectra gesammelten Daten zeigen die Branchen mit den meisten Versuchen zur Verschlüsselung von Netzwerkdateien auf und wo diese Versuche geografisch aufgetreten sind. Im untersuchten Zeitraum war die Finanzwirtschaft nach wie vor die am stärksten betroffene Branche, aber auch jede andere Branche wurde Ziel von Ransomware-Angriffen.

Weitere Informationen finden sich im 2019 Spotlight Report on Ransomware und in der Ransomware-Infografik , einer Visualisierung der wichtigsten Erkenntnisse des Berichts.