Vectra Spotlight Report Ransomware 2019

Ransomware zielt auf Netzwerk-Freigaben

| Autor / Redakteur: Andreas Müller / Peter Schmitz

Verschlüsselung von Netzwerkfreigabe-Dateien bei Cloud-Service-Providern ist derzeit die größte Bedrohung durch Ransomware.
Verschlüsselung von Netzwerkfreigabe-Dateien bei Cloud-Service-Providern ist derzeit die größte Bedrohung durch Ransomware. (Bild: gemeinfrei / Pixabay)

Ransomware-Angriffe nehmen zwar in der Summe ab, die Angreifer gehen gleichzeitig aber zunehmend gezielter und effizienter vor. Sie nehmen vermehrt gemeinsam genutzte Dateien in Netzwerkfreigabe-Ressourcen ins Visier, was speziell in Cloud-Umgebungen eine überaus kritische Bedrohung darstellt. Das sind Ergebnisse des aktuellen „Spotlight Report on Ransomware“ von Vectra.

Vectra weist in seinem Spotlight Report Ransomware 2019 darauf hin, dass die effektivste Waffe von Cyberkriminellen bei Ransomware-Angriffen das fremde Netzwerk selbst ist. Die Kompromittierung der Netzwerkfreigabe ermöglicht die unerwünschte Verschlüsselung von gemeinsam genutzten Dateien auf Netzwerkservern. Dies gilt insbesondere für Dateien, die bei IaaS-Cloud-Anbietern (Infrastructure-as-a-Service) gespeichert sind.

Cyberangreifer können heute mühelos die Sicherheit des Netzwerkperimeters umgehen und interne Auskundschaftungen durchführen, um Netzwerkfreigabe-Dateien zu finden und zu verschlüsseln. Durch die Verschlüsselung dieser Dateien, auf die viele Geschäftsanwendungen im gesamten Netzwerk zugreifen, erzielen die Angreifer einen Größenvorteil. Der Angriff erfolgt schneller und ist weitaus schädlicher ist als die Verschlüsselung von Dateien auf einzelnen Geräten.

Malware ist weiter auf dem Vormarsch

Steigendes Cybercrime-Risiko

Malware ist weiter auf dem Vormarsch

22.05.19 - Cyberkriminalität ist eine wachsende Gefahr, die gegenwärtig für einen weltweiten Schaden von rund 600 Millionen Dollar verantwortlich ist. Im vergangenen Jahr setzte vor allem der massive Anstieg von Angriffen mit Malware IT-Sicherheitsexperten in Alarmbereitschaft – die Entwicklung deutet auf ein zunehmendes Risiko hin, Opfer einer solchen Attacke zu werden. lesen

Der Spotlight Report 2019 on Ransomware basiert auf Beobachtungen und Daten aus der Black Hat Edition 2019 des Attacker Behavior Industry Report, der aus einer Stichprobe von über 350 Opt-in-Kunden von Vectra die Verhaltensweisen der Angreifer und diesbezügliche Trends in Netzwerken aufzeigt. Dabei geht es insbesondere um das Verhalten, das Angreifer anwenden, um im regulären Netzwerkverkehr unterzutauchen und ihre bösartigen Handlungen zu verschleiern. Von Januar bis Juni 2019 überwachte hierbei die Bedrohungserkennungs- und Reaktionsplattform Vectra Cognito angereicherte Metadaten. Diese wurden aus dem Netzwerkverkehr zwischen mehr als vier Millionen Workloads und Geräten in Kundenclouds, Rechenzentren und Unternehmensumgebungen gesammelt. Die Analyse dieser Metadaten liefert ein besseres Verständnis für das Verhalten und die Trends von Angreifern sowie für drohende Geschäftsrisiken.

Finanzbranche weltweit im Visier, Deutschland ist Top-Ziel in der EMEA-Region

Fälle von Netzwerkdateiverschlüsselung mit Ransomware in der EMEA-Region, aufgeschlüsselt nach Branchen.
Fälle von Netzwerkdateiverschlüsselung mit Ransomware in der EMEA-Region, aufgeschlüsselt nach Branchen. (Bild: Vectra)

Aufgeschlüsselt nach betroffenen Branchen, in denen Netzwerkdatei-Verschlüsselung mit Ransomware stattfand, zeigt sich ein hoher Prozentsatz von Finanzunternehmen (35 Prozent), gefolgt vom Gesundheitswesen (18 Prozent) und der Energieversorgung (17 Prozent) in diesem Zeitraum (siehe Bild).

Fälle von Netzwerkdatei-Verschlüsselung mit Ransomware in der EMEA-Region, aufgeschlüsselt nach Ländern.
Fälle von Netzwerkdatei-Verschlüsselung mit Ransomware in der EMEA-Region, aufgeschlüsselt nach Ländern. (Bild: Vectra)

Geografisch betrachtet war Deutschland in der EMEA-Region im beobachteten Zeitraum mit großem Abstand das Top-Ziel von Ransomware-Angriffen auf Netzwerkfreigabe-Dateien. Der Anteil dieser Bedrohung im Ransomware lag in Deutschland im untersuchten Zeitraum bei 42 Prozent. An zweiter Stelle landete die Schweiz (26 Prozent), gefolgt von Großbritannien (18 Prozent), Dänemark (8 Prozent) und Saudi-Arabien (2 Prozent). Bild 2 verdeutlicht die geografische Verteilung.

Angreifer werfen breites Netz aus – Angriffe sind schnell, einfach und lukrativ

Den Beobachtungen von Vectra zufolge, werfen die Akteure bei den jüngsten Ransomware-Angriffen ein breiteres Netz aus, um Cloud-, Rechenzentrums- und Unternehmensinfrastrukturen abzudecken. Die Cyberkriminellen nehmen dabei Unternehmen ins Visier, die am ehesten größere Lösegelder zahlen würden, um wieder Zugriff auf Dateien zu erhalten, die zuvor von Ransomware verschlüsselt wurden. Die Kosten für Ausfallzeiten aufgrund einer Unterbrechung des Geschäftsbetriebs, die Unfähigkeit zur Wiederherstellung gesicherter Daten und die drohenden Reputationsschäden sind für Unternehmen, die ihre Daten in der Cloud speichern, besonders gravierend.

Ransomware-Angriffe sind nicht nur schnell, sondern auch einfacher und lukrativer als das Stehlen und Verkaufen von Kreditkartendaten oder persönlichen Daten, die im Laufe der Zeit an Wert verlieren. Hinzukommt die diskrete Zahlungsabwicklung via Kryptowährung, die anonym abläuft und schwer nachzuverfolgen ist. All dies erklärt, warum bei Cyberkriminellen das saubere, unkomplizierte Geschäftsmodell von Ransomware nach wie vor hoch im Kurs steht.

„Laut unserer Studie bestätigen 53 Prozent der Unternehmen, dass sie einen problematischen Mangel an Cybersicherheitskenntnissen haben. Die Auswirkungen werden bei schnelllebigen Ransomware-Angriffen sehr deutlich“, erläutert Jon Oltsik, Senior Principal Analyst bei der Enterprise Strategy Group. „Die Branche hat einfach nicht genug ausgebildete Sicherheitsleute, um Systeme zu scannen, nach Bedrohungen zu suchen und auf Vorfälle zu reagieren. Dieser Spotlight Report liefert wichtige Einblicke in die Bewaffnung der Ransomware-Akteure, den Übergang von opportunistischen zu gezielten Angriffen und die fokussierten Branchen. Damit wollen wir Unternehmen helfen, besser vorbereitet zu sein.“

Kryptomining ist gefährlicher als Ransomware

Ransomware ist noch lange nicht tot

Kryptomining ist gefährlicher als Ransomware

10.06.19 - 2018 war das Jahr des Kryptomining: Es hat Unternehmen zehnmal häufiger getroffen als Ransomware. Cyber-Kriminelle haben sich in Gruppen organisiert und nutzen fortschrittliche Angriffsmethoden. Sie sind Teil einer wachsenden „Malware-as-a-Service“-Industrie, die im Darknet jedem zur Verfügung steht, der bereit ist zu bezahlen. lesen

Effektiver Schutz: KI-basierte Erkennung und Reaktion auf Ransomware

Die Antwort auf diese Bedrohung ist die Suche nach frühen Indikatoren für einen Ransomware-Angriff. Da die Täter gezielter agieren, kann deren Verweildauer im Netzwerk recht lang sein, bevor Dateien verschlüsselt werden. Von der Erstinfektion bis zum eigentlichen Einsatz der Ransomware führen Angreifer oft lange Zeit ungestört Auskundschaftungen im kompromittierten Netzwerk durch, um festzustellen, welche Systeme besonders geschäftskritisch und damit finanziell attraktiv sind für die Verschlüsselung.

Es gibt viele Schritte im Angriffslebenszyklus, die Unternehmen proaktiv auf erste Anzeichen hin überwachen können. Es ist wichtig, einen detaillierten Notfallplan zu haben, um einen Ransomware-Vorfall zu bewältigen, einschließlich der Kundenkommunikation. Ein dokumentierter und geprobter Reaktionsprozess ist ebenso entscheidend wie die Fähigkeit, derartige Angriffe proaktiv zu erkennen.

Beispielsweise sollten Sicherheitsfachkräfte wissen, dass das Herunterfahren eines mit Malware verschlüsselten Systems das System-BIOS zerstören kann, wodurch es nicht mehr wiederherstellbar ist. Maßnahmen wie Netzwerksegmentierung und Hostisolierung sollten in Betracht gezogen werden. Es ist auch wichtig, den privilegierten Zugriff zu beobachten, um zu wissen, welche Konten Zugriff auf kritische Systeme haben. Ransomware kann nur mit den Rechten des Benutzers oder der Anwendung, die es startet, ausgeführt werden. Umfassende Kenntnisse über die Systeme und Benutzer, die auf bestimmte Dienste zugreifen, ermöglichen es, den Missbrauch von privilegierten Zugängen zu überwachen. Dies ist entscheidend, um zu reagieren, wenn dieser Zugang gefährdet ist, lange bevor die Verschlüsselung von Netzwerkdateien stattfindet.

Künstliche Intelligenz kann subtile Indikatoren für Ransomware-Verhalten erkennen und ermöglicht es Unternehmen, weitreichende Schäden zu verhindern. Eine entsprechend ausstaffierte Sicherheitsplattform beschleunigt die Erkennung und Reaktion, indem sie Netzwerk-Metadaten mit dem richtigen Kontext sammelt, anreichert und speichert. Auf diese Weise ist es möglich, versteckte Bedrohungen in Echtzeit zu erfassen, zu verfolgen und zu untersuchen. Entscheidend ist dabei die unternehmensweite Abdeckung von Clouds, Rechenzentren, Benutzern und IoT-Netzwerken, so dass Angreifer sich nicht verstecken können. Wenn Unternehmen bösartige Verhaltensweisen frühzeitig im Angriffszyklus erkennen, können sie die Anzahl der mit Ransomware verschlüsselten Dateien begrenzen, die Verbreitung des Angriffs stoppen und einen katastrophalen Geschäftsausfall verhindern. Dies gilt gerade im Fall von Netzwerkfreigabe-Dateien, auf die es die Akteure im Moment besonders abgesehen haben.

Über den Autor: Andreas Müller ist Regional Director DACH bei Vectra Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46073751 / Malware)