:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Trends bei Ransomware-Angriffen Ransomware und Daten-Exfiltration – eine gefährliche Kombination
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Ransomware und die damit verbundenen Attacken begleiten Cybersecurity-Experten bereits seit einigen Jahren und stellt mittlerweile eine der größten Cyberbedrohungen der Gegenwart dar. Für Cybersecurity-Experten besonders alarmierend ist die jüngste Entwicklung, dass Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten.
Solche Lösegeldforderungen können Unternehmen wirtschaftlich schwer treffen. Aktuelle Forderungen reichen von ein paar hundert Euro bis in die Millionen – der Schaden, der durch den Ausfall der Daten entstehen kann sowie die möglicherweise schwerwiegenden Reputationsverluste, sind hier noch nicht eingerechnet. Hinzu kommt, dass selbst wenn betroffene Unternehmen Lösegeld bezahlen, keinerlei Garantie besteht, dass die Daten schlussendlich auch freigegeben werden. Zusammengefasst ist die Verschlüsselung von Daten für Unternehmen weitaus bedrohlicher als ein simpler Datendiebstahl. Umfassender Schutz vor Ransomware-Attacken sollte dementsprechend die oberste Priorität für jedes Unternehmen sein.
Organisationen mit sensiblen Daten sind besonders gefährdet
Ransomware-Angriffe können auf verschiedene Arten gestartet werden. Besonders beliebt sind Phishing-E-Mails, die einen schädlichen Anhang beherbergen, auf den ersten Blick allerdings wie eine legitim wirkenden Geschäfts-E-Mail aussehen. Einmal heruntergeladen und geöffnet, greift der Virus den Computer des Opfers an und bekommt dabei in einigen Fällen sogar Admin-Zugang. Opfer ahnen zu diesem Zeitpunkt von der Gefahr und dem durchgeführten Angriff oft noch nichts. Unerkannt bahnt sich der Virus auf diese Weise seinen Weg von einem PC zum nächsten, bis schlussendlich das gesamte Netzwerk infiziert ist. Besonders aggressive Formen wie Petrwrap/Petya umgehen Nutzer komplett und infizieren Systeme über bestehende Sicherheitslücken.
Sobald die Malware Zugriff auf den Computer des Opfers erhalten hat, folgt die Verschlüsselung einiger oder aller sensibler Daten und ein Reboot des Systems wird erzwungen. Erst im Rahmen dieses Reboots wird der Nutzer über den erfolgten Angriff sowie die Lösegeldforderung informiert. Das Lösegeld wird dabei üblicherweise in Form von nicht nachverfolgbaren Bitcoins und per Vorauszahlung gefordert. Teil dieser Informationen ist auch, dass der Erpresste den Entschlüsselungscode nach der Zahlung erhalten wird. Darauf verlassen kann man sich allerdings nicht und im schlimmsten Fall bleiben die Daten dauerhaft verschlüsselt.
Während theoretisch jedes Unternehmen Ransomware-Angriffen zum Opfer fallen kann, suchen sich die Angreifer ihre Ziele oftmals aufgrund bestimmter Merkmale aus. Besonders sensible Daten, die Angst vor Reputationsverlusten durch entsprechende Attacken und unzureichende Sicherheitsvorkehrungen reichen bereits aus, um ins Fadenkreuz der Kriminellen zu geraten. Universitäten verfügen beispielsweise oftmals nur über einen geringen Schutz gegen Ransomware und andere Cyber-Attacken, arbeiten zugleich aber häufig mit verschiedenen Filesharing-Diensten. Sie sind daher leichte Beute für Phishing-E-Mails und daher häufig im Fokus von Cyberkriminellen. Kommunen und andere staatliche Einrichtungen hingegen müssen die Verfügbarkeit ihrer Computersysteme rund um die Uhr gewährleisten, schließlich basieren darauf essentielle öffentliche Dienstleistungen. Erfolgt keine schnelle Wiederherstellung der Daten, können beispielsweise polizeiliche Stellen, Notfalleinrichtungen, der öffentlichen Nahverkehr oder das Justizsystem nicht wie gewohnt arbeiten. Entsprechend dringend sind im Umkehrschluss auch die Bemühungen zur Wiederherstellung aller Daten zu gestalten. Für Krankenhäuser und andere Gesundheitseinrichtungen macht der Zugang zu Patientendaten den Unterschied zwischen Leben und Tod aus. Aber auch Finanzinstitute, Anwaltskanzleien und große Unternehmen zahlen zum Teil lieber Lösegeld, als mit einer Ransomware-Attacke in Verbindung gebracht zu werden – vorausgesetzt, sie verfügen über die nötigen Ressourcen.
Die genannten Beispiele zeigen eindeutig, dass Ransomware-Angriffe weitaus gefährlicher sind als einfacher Datendiebstahl. Letzterer ist für Opfer zwar ebenfalls unangenehm, aber immerhin bleibt der Zugriff auf die gestohlenen Daten erhalten. Bei einer Ransomware-Attacke hingegen sind die Daten zunächst verschwunden, was einen normalen Geschäftsbetrieb effektiv unmöglich macht.
Gefährliche Kombination aus Ransomware, Datendiebstahl und Daten-Exfiltration
Ransomware-Attacken werden hinsichtlich ihrer Technologie und Vorgehensweise laufend weiterentwickelt und dadurch immer gefährlicher. Für Cybersecurity-Experten ist dabei insbesondere die jüngste Entwicklung alarmierend, da Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten. Die Kombination dieser drei Vorgehensweisen stellt eine besonders große Gefahr für Unternehmen und Cybersecurity-Verantwortliche dar.
Konventionelle Daten-Exfiltration ist eine Vermischung aus Datendiebstahl und Erpressung. Dabei dringt ein Hacker in die Sicherheitsstruktur eines Unternehmens ein und filtert Daten nach deren geschätztem Wert. Finanzbelege, geistiges Eigentum eines Unternehmens und sensible Geschäftsinformationen können genauso dazu gehören wie vertrauliche Nachrichten oder geplante Marktaktivitäten. Nachdem der Angreifer die Daten gesichert hat, bestimmt er ihren jeweiligen Wert, indem er sie auf dem Schwarzmarkt potentiellen Interessenten anbietet. Ist dieser Schritt abgeschlossen, kontaktiert der Erpresser das angegriffene Unternehmen und verlangt ein Lösegeld, um den Verkauf der Daten an Dritte zu verhindern. Verantwortliche stehen dadurch vor der schwierigen Situation einen erheblichen Imageschaden, mögliche Strafen von behördlichen Stellen oder andere negative Auswirkungen zu riskieren, sollten die gestohlenen Daten veröffentlicht werden. Die Daten selbst bleiben aber für die Opfer jederzeit zugänglich.
Im Laufe des letzten Jahres ergänzten die Varianten Maze und DopplePaymer traditionelle Ransomware-Attacken um die Dimension der Daten-Exfiltration. Weigert sich bei einer Attacke ein Opfer das Lösegeld zu bezahlen, veröffentlicht der Hacker einen Teil der erbeuteten und verschlüsselten Daten, macht den Angriff damit publik und erhöht den Druck zur Kooperation. Die dadurch entstehende Kombination aus Imageschaden und Datendiebstahl, in Verbindung mit dem operativen Ausfall während der Ransomware-Attacke ist ebenso effektiv wie gefährlich. Das Backup von Daten stellt gegen diese Doppelgefahr keinen alleinigen Schutz mehr dar.
Ransomware-Angriffe in 2020
Mehrere größere Ransomware-Attacken haben die Cybersecurity-Experten im Jahr 2020 aufhorchen lassen und zum Teil sogar überrascht. Garmin, ein großer Technologie-Konzern mit einem weitreichenden Portfolio von GPS-Geräten für Branchen von der zivilen Luftfahrt bis hin zu Personal Fitness, war Ziel eines WastedLocker-Angriffs, der den Zugriff von Millionen Nutzern auf Online-Dienste vorübergehend einfror. Übereinstimmenden Berichten zufolge zahlte Garmin Lösegeld in Höhe von 10 Millionen US-Dollar und erhielt erst dann einen funktionierenden Entschlüsselungscode.
Eine Ransomware-Attacke auf den australischen Getränkekonzern Lion verzögerte zum einen den Ablauf im operativen Geschäft, limitierte aber zugleich auch die Transparenz und Nachverfolgbarkeit innerhalb der Produktion drastisch.
Das weltweit tätige Unternehmen Toll Group mit Sitz in Australien war gleich zwei Ransomware-Angriffen in nur sechs Monaten ausgesetzt. Die Attacken beinhalteten einen massiven Datendiebstahl, der auch Finanzdaten und Rechnungen betraf, und sorgten für monatelange Unterbrechungen im operativen Geschäft. Hatte das Unternehmen anfänglich noch Lösegeldzahlungen abgelehnt, bezeugt die Veröffentlichung von gestohlenen Daten im Dark Web den Einsatz von Daten-Exfiltration.
Und auch der Erpessungstrojaner Emotet feierte im Jahr 2020 sein Comeback mit zahlreichen neuen Angriffen in verschiedenen Ländern. In Frankreich infizierte der Trojaner beispielsweise die PCs im Netzwerk des Pariser Justizsystems.
:quality(80)/p7i.vogel.de/wcms/42/d5/42d5a0800513dd0b19a03586d452da1f/94741636.jpeg "Auf seinen Kaffee musste Peter Schmitz im Live-Podcast zwar verzichten, nicht jedoch auf eine lebhafte Diskussion. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 32
Emotet Live-Podcast – mit 100 Leuten im Studio
Gegen diese aggressiven Formen von Ransomware-Angriffen sind konventionelle Cybersecurity-Maßnahmen oft machtlos. Haben Angreifer erst einmal Zugriff auf die Systeme und Daten verschlüsselt, leidet das operative Geschäft durch den Ausfall und Folgeschäden sind unausweichlich. Es gilt, Angreifer gar nicht erst so weit kommen zu lassen – die Etablierung eines umfassenden Zero-Trust-Modells schützt Unternehmen auch gegen die zukünftige Entwicklung von Ransomware und Daten-Exfiltration.
Über den Autor: Heiko Frank ist Principal System Engineer bei A10 Networks.
(ID:47306729)
:quality(80)/p7i.vogel.de/wcms/00/19/00192d9c7683aab9bd2d7bc2e4414bb2/0105022755.jpeg "CISOs sollten nicht die Symptome (Ransomware), sondern die Ursachen wie beispielswiese Cyber-Hygiene, Endpunkt-Erkennungs- und Reaktionsstrategie angehen. (Bild: ryanking999 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/d7/3ed76b0e0c007b674b7833c2fc78d373/0113163474.jpeg "Immer öfter verzichten Cyberkriminelle auf die Verschlüsselung von Daten, sondern beschränken sich auf den Diebstahl und die Erpressung der betroffenen Unternehmen. (Bild: ryanking999 - stock.adobe.com)")