Ermittlungsbehörden werden gegen Ransomware-Bedrohung aktiver Risse im Ökosystem der Ransomware

Von Christine Schönig

Anbieter zum Thema

Nach dem britischen National Cyber Security Centre (NCSC) ist Ransomware die unmittelbarste Bedrohung für Unternehmen weltweit. Cybercrime rund um Ransomware ist organisiert und ausgeklügelt, mit einer Technologie, die so weit demokratisiert und zugänglich gemacht wurde, dass Ransomware zu einer eigenen Wirtschaft geworden ist.

Vorbei sind die Zeiten, in denen Ransomware-Akteure lediglich einen einzelnen Computer angreifen und versuchen, einen Benutzer durch den Diebstahl seiner Daten zu erpressen.
Vorbei sind die Zeiten, in denen Ransomware-Akteure lediglich einen einzelnen Computer angreifen und versuchen, einen Benutzer durch den Diebstahl seiner Daten zu erpressen.
(Bild: ryanking999 - stock.adobe.com )

Einige Ransomware-Betreiber spielen ein Zahlenspiel, indem sie MSPs (Managed Service Provider) mit Angriffen auf die Software-Lieferkette ins Visier nehmen, die Tausende von Unternehmen betreffen. Andere, wie z. B. APT-Gruppen (Advanced Persistent Threat), haben es auf bestimmte Ziele abgesehen, um Regierungen zu destabilisieren oder hochwertige Daten zu erpressen. Im vergangenen Jahr beobachtete die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) Ransomware-Vorfälle, die 14 der 16 kritischen Infrastruktursektoren der USA betrafen. Dazu zählen Verteidigung, Lebensmittel und Landwirtschaft sowie Regierungseinrichtungen und sogar die Notdienste. Das australische Zentrum für Cybersicherheit (Australian Cyber Security Centre, ACSC) hat kürzlich berichtet, dass seine kritischen Infrastrukturen immer wieder von Ransomware-Betreibern ins Visier genommen werden und hat sogar eine gemeinsame Erklärung mit den USA und dem Vereinigten Königreich veröffentlicht, um vor der zunehmenden Ransomware-Bedrohung für staatliche Einrichtungen und private Unternehmen zu warnen.

Dies deckt sich mit den Ergebnissen, die wir in unserem Sicherheitsbericht 2022 veröffentlicht haben. Darin stellten wir fest, dass die Zahl der Cyberangriffe im Jahr 2021 im Vergleich zum Vorjahr um 50 Prozent zunehmen wird, wobei jede Woche eine von 61 Organisationen weltweit von Ransomware betroffen sein wird. Der Regierungs-/Militärsektor verzeichnete einen Anstieg der wöchentlichen Angriffe um 47 Prozent, der Kommunikationssektor um 51 Prozent, aber der Bildungs-/Forschungssektor hatte mit 75 Prozent den größten Anstieg zu verzeichnen und meldete im Jahresdurchschnitt 1.605 Cyberangriffe pro Woche. Dieser starke Anstieg könnte zumindest teilweise auf die erhöhte Anfälligkeit von Organisationen zurückzuführen sein, da sie als Reaktion auf die Pandemie zu hybriden Arbeitsmodellen übergegangen sind und so mehr Angriffsfläche boten. Wahrscheinlicher ist jedoch, dass die wachsende Ransomware-as-a-Service (RaaS)-Wirtschaft dafür verantwortlich ist. Deren Dienstleistung besteht darin, dass Ransomware-Gruppen und ihre Partner Ransomware verpacken und an „Kunden“ verkaufen und dann den Angriff koordinieren. Diese erstklassigen Ransomware-Betreiber bieten nicht nur die Ransomware selbst an, sondern oft auch Geldwäschedienste, Verhandlungsspezialisten und sogar detaillierte Spielbücher, wie das kürzlich durchgesickerte „Kochbuch“ von Conti beweist. Diese Demokratisierung der Cyberkriminalität hat eine ganze Ransomware-Subindustrie geschaffen, in der der Wettbewerb wie in jedem anderen legalen Sektor die Innovation vorantreibt.

Dank der Bemühungen von White-Hat-Forschern und Sicherheitsspezialisten sowie der Regierungen auf der ganzen Welt, die ihre Sicherheitsvorkehrungen verstärken und einen proaktiveren Ansatz verfolgen, zeigen sich nun jedoch erste Risse im Ransomware-Ökosystem.

War der Angriff auf Colonial Pipeline der Wendepunkt?

Eines der Markenzeichen moderner Ransomware-Angriffe sind die weitreichenden realen Schäden, die sie anrichten können - von der Lahmlegung des britischen National Health Service bis hin zum Chaos im US-Ministerium für Heimatschutz. Doch noch nie wurden die realen Folgen eines erfolgreichen Ransomware-Angriffs so offenbar wie bei dem Angriff auf Colonial Pipeline im Jahr 2021. Als einer der größten Pipeline-Betreiber in den USA liefert Colonial Pipeline etwa 45 Prozent des Treibstoffbedarfs der gesamten Ostküste - von der Wärmeversorgung von Häusern und Unternehmen bis hin zur Betankung von Autos, Jets und sogar Militäreinrichtungen. Die Betreiber der DarkSide-Ransomware nutzten eine mutmaßlich ungepatchte Sicherheitslücke im System von Colonial Pipeline aus und zwangen das Unternehmen, bestimmte Systeme offline zu nehmen, um die Bedrohung einzudämmen. Die Treibstoffkosten stiegen sprunghaft an, es kam zu Panikkäufen, und die Luftfahrt- und Militärbranche hätte ernsthaft in Mitleidenschaft gezogen werden können, wenn die Situation nicht eine ganze Woche später behoben worden wäre.

Dieser Angriff schien der letzte Tropfen für die Regierung Biden zu sein, der das Fass zum Überlaufen brachte. Kurz nach dem Vorfall ankündigte die US-Regierung an, dass Krypto-Börsen wie die in Russland ansässige SUEX sanktioniert würden, um es Ransomware-Akteuren zu erschweren, von ihren Angriffen zu profitieren. Dies schien der erste in einer Reihe von Ereignissen zu sein, die letztlich dazu geführt haben, dass sich Risse im Ransomware-Ökosystem gebildet haben, und ein Beweis dafür, dass ein proaktiver Ansatz anstelle von Abhilfemaßnahmen der effektivste Weg zur Bekämpfung der Cyberkriminalität ist.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

In den USA wird Ransomware inzwischen vom Justizministerium als Bedrohung der nationalen Sicherheit eingestuft. Die Europäische Union und weitere 31 Länder weltweit haben sich den USA angeschlossen und Sanktionen gegen Krypto-Börsen verhängt, um die Aktivitäten von Ransomware-Betreibern zu unterbinden. In Australien wurde ein neuer „Ransomware-Aktionsplan“ aufgestellt, der Organisationen und Regierungsinstitutionen mehr Befugnisse und Fähigkeiten verleiht, um Ransomware direkt zu bekämpfen. Diese Maßnahmen zeigen, wie sehr sich die Einstellungen von Regierungen in Bezug auf Cybersicherheit auf der ganzen Welt von einer reaktiven zu einer proaktiven Haltung gewandelt haben. Sämtliche Organisationen jedweder Branchen täten gut daran, diesem Beispiel zu folgen.

Aufruhr im Ransomware-Ökosystem

Ransomware-Betreiber stehen an der Spitze des Ransomware-Ökosystems, und wie bei jedem anderen Dienstleister ist die Reputation von enormer Bedeutung. RaaS-Gruppen müssen Partner oder Kunden anlocken, um ihr Netzwerk auszubauen und ihre Einnahmen zu steigern. Daher kann jede Störung, die diesen Gruppen zugefügt wird, schwerwiegende Folgen haben und sogar die Branche gegen sich selbst aufbringen.

Wie aus unserem Bericht hervorgeht, gab die verantwortliche DarkSide-Gruppe einen Monat nach dem Angriff auf Colonial Pipeline bekannt, dass sie ihre Tätigkeit einstellt, nachdem ihre Server beschlagnahmt und ihre Kryptogelder gestohlen worden waren. Dies wirkte sich auf ihre Fähigkeit aus, ihre RaaS-Partner zu bezahlen. Die REvil-Gruppe, die für den Kaseya MSP-Einbruch im Juli 2021 verantwortlich war, verschwand später im selben Jahr ebenfalls, nachdem eine Strafverfolgungsoperation erfolgreich ihre Infrastruktur und ihren Blog gekapert hatte, was der Gruppe sozusagen eine Dosis ihrer eigenen Medizin verabreichte. Das Justizministerium ging sogar noch weiter: Es verhaftete Mitglieder der REvil-Gruppe und beschlagnahmte Lösegeld im Wert von mehr als 6 Millionen US-Dollar.

Doch was bedeutet dies für das Ransomware-Ökosystem?

Einige Tätergruppen üben nun mehr Druck auf ihre Opfer aus, um die Behörden bei Ransomware-Angriffen fernzuhalten. Die Ransomware-Gruppe Grief drohte beispielsweise damit, die Entschlüsselungsdaten ihrer Opfer vollständig zu löschen, wenn diese professionelle Verhandlungsführer anheuern würden - etwas, das sie früher vielleicht als Möglichkeit zur Erpressung von Geld begrüßt hätten. Darüber hinaus hat die proaktive Verfolgung von Ransomware-Betreibern dazu geführt, dass sich eine Reihe von Betreibern und Partnerunternehmen aus der Arena zurückgezogen oder voneinander getrennt und sich umbenannt haben, um sich von Anklagen oder Beschlagnahmungen zu distanzieren. Nach der Schließung von DarkSide beispielsweise gründeten mehrere Mitglieder eine Splittergruppe namens BlackMatter, die jedoch ebenfalls unter Druck der Behörden geriet und noch vor Jahresende geschlossen wurde.

Dieser Schlag gegen das Ransomware-Ökosystems ist kein Einzelfall, sondern das Ergebnis des zunehmenden Drucks von Regierungsbehörden auf der ganzen Welt, um das einzudämmen, was sich schnell zu einer globalen Bedrohung entwickelt. Unternehmen sollten sich jedoch nicht zu sicher fühlen.

Noch nicht über den Berg

Auch wenn das Jahr 2021 dem Ransomware-Ökosystem einen schweren Schlag versetzt hat, ist es wahrscheinlich, dass auch im Jahr 2022 noch Millionen von Ransomware-Angriffen stattfinden werden, wobei neue und bestehende Betreiber und Partner ihre Angriffsbemühungen verstärken werden. Emotet, eines der gefährlichsten Botnets der Geschichte, kehrte Ende 2021 zurück, obwohl Regierungen auf der ganzen Welt koordinierte Anstrengungen unternommen haben, um es auszuschalten. Dieses aus einem Banktrojaner hervorgegangene modulare Botnet hat weltweit 1,5 Millionen Computer in Tausenden von Unternehmensnetzwerken infiziert und wird häufig als Übertragungsmechanismus für netzwerkweite Ransomware-Angriffe genutzt.

Unternehmen müssen daher wachsam bleiben und, wie Regierungen auf der ganzen Welt, eine proaktivere und präventivere Haltung im Umgang mit der wachsenden Bedrohung durch Ransomware einnehmen. Das bedeutet, globale Bedrohungsdaten in Echtzeit zu nutzen und Maßnahmen zu ergreifen, um Ihr Unternehmen nicht nur vor den Bedrohungen zu schützen, die Sie sehen können, sondern auch vor denen, die Sie nicht sehen können. Zero-Day-Schwachstellen und Angriffe der fünften Generation (Gen V) sind ausgefeilte Bedrohungen, die eine ausgefeilte Reaktion erfordern, ebenso wie Mitarbeiterschulungen, kontinuierliche Backups, Multi-Faktor-Authentifizierung und die Anwendung des Prinzips der geringstmöglich verteilten Privilegien.

Die Risse im Ransomware-Ökosystem zeigen sich zwar allmählich, aber auch wenn die jüngsten Schläge darauf hindeuten, dass die Ransomware-Akteure den Kampf verlieren könnten, ist der Cyberwar noch lange nicht vorbei.

Über die Autorin: Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies.

(ID:48418754)