:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ermittlungsbehörden werden gegen Ransomware-Bedrohung aktiver Risse im Ökosystem der Ransomware
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Nach dem britischen National Cyber Security Centre (NCSC) ist Ransomware die unmittelbarste Bedrohung für Unternehmen weltweit. Cybercrime rund um Ransomware ist organisiert und ausgeklügelt, mit einer Technologie, die so weit demokratisiert und zugänglich gemacht wurde, dass Ransomware zu einer eigenen Wirtschaft geworden ist.
Einige Ransomware-Betreiber spielen ein Zahlenspiel, indem sie MSPs (Managed Service Provider) mit Angriffen auf die Software-Lieferkette ins Visier nehmen, die Tausende von Unternehmen betreffen. Andere, wie z. B. APT-Gruppen (Advanced Persistent Threat), haben es auf bestimmte Ziele abgesehen, um Regierungen zu destabilisieren oder hochwertige Daten zu erpressen. Im vergangenen Jahr beobachtete die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) Ransomware-Vorfälle, die 14 der 16 kritischen Infrastruktursektoren der USA betrafen. Dazu zählen Verteidigung, Lebensmittel und Landwirtschaft sowie Regierungseinrichtungen und sogar die Notdienste. Das australische Zentrum für Cybersicherheit (Australian Cyber Security Centre, ACSC) hat kürzlich berichtet, dass seine kritischen Infrastrukturen immer wieder von Ransomware-Betreibern ins Visier genommen werden und hat sogar eine gemeinsame Erklärung mit den USA und dem Vereinigten Königreich veröffentlicht, um vor der zunehmenden Ransomware-Bedrohung für staatliche Einrichtungen und private Unternehmen zu warnen.
Dies deckt sich mit den Ergebnissen, die wir in unserem Sicherheitsbericht 2022 veröffentlicht haben. Darin stellten wir fest, dass die Zahl der Cyberangriffe im Jahr 2021 im Vergleich zum Vorjahr um 50 Prozent zunehmen wird, wobei jede Woche eine von 61 Organisationen weltweit von Ransomware betroffen sein wird. Der Regierungs-/Militärsektor verzeichnete einen Anstieg der wöchentlichen Angriffe um 47 Prozent, der Kommunikationssektor um 51 Prozent, aber der Bildungs-/Forschungssektor hatte mit 75 Prozent den größten Anstieg zu verzeichnen und meldete im Jahresdurchschnitt 1.605 Cyberangriffe pro Woche. Dieser starke Anstieg könnte zumindest teilweise auf die erhöhte Anfälligkeit von Organisationen zurückzuführen sein, da sie als Reaktion auf die Pandemie zu hybriden Arbeitsmodellen übergegangen sind und so mehr Angriffsfläche boten. Wahrscheinlicher ist jedoch, dass die wachsende Ransomware-as-a-Service (RaaS)-Wirtschaft dafür verantwortlich ist. Deren Dienstleistung besteht darin, dass Ransomware-Gruppen und ihre Partner Ransomware verpacken und an „Kunden“ verkaufen und dann den Angriff koordinieren. Diese erstklassigen Ransomware-Betreiber bieten nicht nur die Ransomware selbst an, sondern oft auch Geldwäschedienste, Verhandlungsspezialisten und sogar detaillierte Spielbücher, wie das kürzlich durchgesickerte „Kochbuch“ von Conti beweist. Diese Demokratisierung der Cyberkriminalität hat eine ganze Ransomware-Subindustrie geschaffen, in der der Wettbewerb wie in jedem anderen legalen Sektor die Innovation vorantreibt.
Dank der Bemühungen von White-Hat-Forschern und Sicherheitsspezialisten sowie der Regierungen auf der ganzen Welt, die ihre Sicherheitsvorkehrungen verstärken und einen proaktiveren Ansatz verfolgen, zeigen sich nun jedoch erste Risse im Ransomware-Ökosystem.
War der Angriff auf Colonial Pipeline der Wendepunkt?
Eines der Markenzeichen moderner Ransomware-Angriffe sind die weitreichenden realen Schäden, die sie anrichten können - von der Lahmlegung des britischen National Health Service bis hin zum Chaos im US-Ministerium für Heimatschutz. Doch noch nie wurden die realen Folgen eines erfolgreichen Ransomware-Angriffs so offenbar wie bei dem Angriff auf Colonial Pipeline im Jahr 2021. Als einer der größten Pipeline-Betreiber in den USA liefert Colonial Pipeline etwa 45 Prozent des Treibstoffbedarfs der gesamten Ostküste - von der Wärmeversorgung von Häusern und Unternehmen bis hin zur Betankung von Autos, Jets und sogar Militäreinrichtungen. Die Betreiber der DarkSide-Ransomware nutzten eine mutmaßlich ungepatchte Sicherheitslücke im System von Colonial Pipeline aus und zwangen das Unternehmen, bestimmte Systeme offline zu nehmen, um die Bedrohung einzudämmen. Die Treibstoffkosten stiegen sprunghaft an, es kam zu Panikkäufen, und die Luftfahrt- und Militärbranche hätte ernsthaft in Mitleidenschaft gezogen werden können, wenn die Situation nicht eine ganze Woche später behoben worden wäre.
Dieser Angriff schien der letzte Tropfen für die Regierung Biden zu sein, der das Fass zum Überlaufen brachte. Kurz nach dem Vorfall ankündigte die US-Regierung an, dass Krypto-Börsen wie die in Russland ansässige SUEX sanktioniert würden, um es Ransomware-Akteuren zu erschweren, von ihren Angriffen zu profitieren. Dies schien der erste in einer Reihe von Ereignissen zu sein, die letztlich dazu geführt haben, dass sich Risse im Ransomware-Ökosystem gebildet haben, und ein Beweis dafür, dass ein proaktiver Ansatz anstelle von Abhilfemaßnahmen der effektivste Weg zur Bekämpfung der Cyberkriminalität ist.
In den USA wird Ransomware inzwischen vom Justizministerium als Bedrohung der nationalen Sicherheit eingestuft. Die Europäische Union und weitere 31 Länder weltweit haben sich den USA angeschlossen und Sanktionen gegen Krypto-Börsen verhängt, um die Aktivitäten von Ransomware-Betreibern zu unterbinden. In Australien wurde ein neuer „Ransomware-Aktionsplan“ aufgestellt, der Organisationen und Regierungsinstitutionen mehr Befugnisse und Fähigkeiten verleiht, um Ransomware direkt zu bekämpfen. Diese Maßnahmen zeigen, wie sehr sich die Einstellungen von Regierungen in Bezug auf Cybersicherheit auf der ganzen Welt von einer reaktiven zu einer proaktiven Haltung gewandelt haben. Sämtliche Organisationen jedweder Branchen täten gut daran, diesem Beispiel zu folgen.
Aufruhr im Ransomware-Ökosystem
Ransomware-Betreiber stehen an der Spitze des Ransomware-Ökosystems, und wie bei jedem anderen Dienstleister ist die Reputation von enormer Bedeutung. RaaS-Gruppen müssen Partner oder Kunden anlocken, um ihr Netzwerk auszubauen und ihre Einnahmen zu steigern. Daher kann jede Störung, die diesen Gruppen zugefügt wird, schwerwiegende Folgen haben und sogar die Branche gegen sich selbst aufbringen.
Wie aus unserem Bericht hervorgeht, gab die verantwortliche DarkSide-Gruppe einen Monat nach dem Angriff auf Colonial Pipeline bekannt, dass sie ihre Tätigkeit einstellt, nachdem ihre Server beschlagnahmt und ihre Kryptogelder gestohlen worden waren. Dies wirkte sich auf ihre Fähigkeit aus, ihre RaaS-Partner zu bezahlen. Die REvil-Gruppe, die für den Kaseya MSP-Einbruch im Juli 2021 verantwortlich war, verschwand später im selben Jahr ebenfalls, nachdem eine Strafverfolgungsoperation erfolgreich ihre Infrastruktur und ihren Blog gekapert hatte, was der Gruppe sozusagen eine Dosis ihrer eigenen Medizin verabreichte. Das Justizministerium ging sogar noch weiter: Es verhaftete Mitglieder der REvil-Gruppe und beschlagnahmte Lösegeld im Wert von mehr als 6 Millionen US-Dollar.
:quality(80)/images.vogel.de/vogelonline/bdb/1850500/1850534/original.jpg "Weil REvil Kasse machen will, muss Coop die Kassen schließen. (©Patrick Daxenbichler - stock.adobe.com)")
REvil verteilt Ransomware per Supply-Chain-Angriff
Kaseya kämpft mit Folgen der VSA-Attacke
Doch was bedeutet dies für das Ransomware-Ökosystem?
Einige Tätergruppen üben nun mehr Druck auf ihre Opfer aus, um die Behörden bei Ransomware-Angriffen fernzuhalten. Die Ransomware-Gruppe Grief drohte beispielsweise damit, die Entschlüsselungsdaten ihrer Opfer vollständig zu löschen, wenn diese professionelle Verhandlungsführer anheuern würden - etwas, das sie früher vielleicht als Möglichkeit zur Erpressung von Geld begrüßt hätten. Darüber hinaus hat die proaktive Verfolgung von Ransomware-Betreibern dazu geführt, dass sich eine Reihe von Betreibern und Partnerunternehmen aus der Arena zurückgezogen oder voneinander getrennt und sich umbenannt haben, um sich von Anklagen oder Beschlagnahmungen zu distanzieren. Nach der Schließung von DarkSide beispielsweise gründeten mehrere Mitglieder eine Splittergruppe namens BlackMatter, die jedoch ebenfalls unter Druck der Behörden geriet und noch vor Jahresende geschlossen wurde.
Dieser Schlag gegen das Ransomware-Ökosystems ist kein Einzelfall, sondern das Ergebnis des zunehmenden Drucks von Regierungsbehörden auf der ganzen Welt, um das einzudämmen, was sich schnell zu einer globalen Bedrohung entwickelt. Unternehmen sollten sich jedoch nicht zu sicher fühlen.
Noch nicht über den Berg
Auch wenn das Jahr 2021 dem Ransomware-Ökosystem einen schweren Schlag versetzt hat, ist es wahrscheinlich, dass auch im Jahr 2022 noch Millionen von Ransomware-Angriffen stattfinden werden, wobei neue und bestehende Betreiber und Partner ihre Angriffsbemühungen verstärken werden. Emotet, eines der gefährlichsten Botnets der Geschichte, kehrte Ende 2021 zurück, obwohl Regierungen auf der ganzen Welt koordinierte Anstrengungen unternommen haben, um es auszuschalten. Dieses aus einem Banktrojaner hervorgegangene modulare Botnet hat weltweit 1,5 Millionen Computer in Tausenden von Unternehmensnetzwerken infiziert und wird häufig als Übertragungsmechanismus für netzwerkweite Ransomware-Angriffe genutzt.
Unternehmen müssen daher wachsam bleiben und, wie Regierungen auf der ganzen Welt, eine proaktivere und präventivere Haltung im Umgang mit der wachsenden Bedrohung durch Ransomware einnehmen. Das bedeutet, globale Bedrohungsdaten in Echtzeit zu nutzen und Maßnahmen zu ergreifen, um Ihr Unternehmen nicht nur vor den Bedrohungen zu schützen, die Sie sehen können, sondern auch vor denen, die Sie nicht sehen können. Zero-Day-Schwachstellen und Angriffe der fünften Generation (Gen V) sind ausgefeilte Bedrohungen, die eine ausgefeilte Reaktion erfordern, ebenso wie Mitarbeiterschulungen, kontinuierliche Backups, Multi-Faktor-Authentifizierung und die Anwendung des Prinzips der geringstmöglich verteilten Privilegien.
Die Risse im Ransomware-Ökosystem zeigen sich zwar allmählich, aber auch wenn die jüngsten Schläge darauf hindeuten, dass die Ransomware-Akteure den Kampf verlieren könnten, ist der Cyberwar noch lange nicht vorbei.
Über die Autorin: Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies.
(ID:48418754)
:quality(80)/p7i.vogel.de/wcms/42/f8/42f892d7d2c6dd755e4c5b0cfdb7fa7c/0111847725.jpeg "Die Methoden und die Ausführung haben sich bei Ransomware in den letzten Jahren deutlich weiterentwickelt. Früher ging es um Profit, heute geht es um viel mehr als das. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")