Ransomware-as-a-Service (RaaS) ist vielleicht keine brandneue Taktik auf dem Cyber-Schlachtfeld, erfreut sich jedoch bei Bedrohungsakteuren schnell wachsender Beliebtheit. Seit mindestens fünf Jahren haben Cyberkriminelle nicht nur die finanzielle Wirksamkeit von Ransomware erkannt, sondern auch verstanden, dass sie, wenn sie sich zusammenschließen und die Stärken des jeweils anderen nutzen, ihre Ransomware-Angriffe ausweiten, die Gewinne aufteilen und gestohlene Daten verwenden können, um zukünftige Cyberangriffe auf größere Organisationen durchzuführen.
An diesem RaaS-Geschäftsmodell sind mittlerweile häufig „Ransomware-Banden“ beteiligt, definiert als Personen, die unabhängigen Partnern Ressourcen wie Verschlüsselungssoftware, Leak-Sites und Branding anbieten, die dann den Ransomware-Angriff ausführen. Dieses Modell hat es nicht nur weniger technisch versierten Cyberkriminellen ermöglicht, Angriffe durchzuführen, sondern war auch eine der Hauptursachen für die bloße Zunahme von Datenschutzverletzungen von Jahr zu Jahr.
Arctic Wolf Labs, unser Team hochrangiger Forscher, Datenwissenschaftler und Entwickler im Bereich Sicherheit, hat guten Grund zu der Annahme, dass im Laufe des Jahres 2024 auch die Häufigkeit und Komplexität von RaaS zunehmen wird. Doch bevor wir die Zukunft untersuchen, ist es wichtig, die Daten und Vorfälle hervorzuheben, die uns hierher geführt haben.
Wie RaaS im Jahr 2023 aussah
Schauen wir uns zunächst die jüngsten Ransomware-Angriffe des vergangenen Jahres an. Laut der „2023 Breaches in Review“ von Arctic Wolf betrafen fünf unserer neun Top-Angriffe (55 %) Ransomware. Von diesen fünf waren an drei Angriffen internationale Ransomware-Gruppen beteiligt, die unter das RaaS-Modell fielen.
MCNA Dental ließ beispielsweise 700 GB Daten exfiltrieren und im Darknet veröffentlichen, nachdem die Organisation es versäumt hatte, das Lösegeld in Höhe von 10 Millionen US-Dollar an die Ransomware-Gruppe LockBit zu zahlen. LockBit war nicht nur die führende Ransomware-Gruppe im Jahr 2022 – laut einer Studie von Arctic Wolf wurde sie 822-mal auf Ransomware-Leak-Seiten gelistet –, sondern hat außerdem gute Aussichten, den Titel im Jahr 2023 zurückzuerobern. Laut interner Nachverfolgung sind ihre Dark-Web-Beiträge im Vergleich zum Vorjahr um 17 % gestiegen. Die Gruppe ist berüchtigt für ihre sich selbst verbreitendes Ransomware und ihre kurzen Verweilzeiten, was ihre Erfolgsbilanz erklären könnte. Im ersten Halbjahr 2023 hatte LockBit bereits 527-mal auf Ransomware-Seiten gepostet.
Aber der Verstoß gegen MCNA Dental ist nicht der einzige große Verstoß, der mit Ransomware begann und mit exfiltrierten Daten und unermesslichen finanziellen Verlusten endete. Im Vergleich zum zweiten Halbjahr 2022 verzeichnete Arctic Wolf® Incident Response im ersten Halbjahr 2023 einen Anstieg der Ransomware-Vorfälle um 46 %. Dies könnte durch eine Reihe von Faktoren bedingt sein, unter anderem durch einen Rückgang der Ransomware-Häufigkeit im Jahr 2022, aber auch durch andere Trends weiterhin nach oben und nach rechts, einschließlich der Größe der angegriffenen Organisationen, der anhaltenden Verbreitung von RaaS sowie der globalen Reichweite und Auswirkungen dieser Art von Cyberangriffen.
Warum RaaS weiter zunehmen wird
Wenn sich diese Trends fortsetzen, ist die Antwort auf die Frage „Wird RaaS im Jahr 2024 weiter zunehmen?“ ein klares, überzeugtes Ja sein. Und der Grund für diese Überzeugung geht über die bloßen Muster vergangener Jahre hinaus.
Der Schlüssel zur Zukunft von RaaS liegt bei Cl0P, der Ransomware-Gruppe, die für die Ausnutzung einer Zero-Day-Schwachstelle in MOVEiT Transfer, einem gängigen Dateiübertragungsdienst, verantwortlich ist. Mit diesem einzigen Exploit konnte die Gruppe Tausende von Organisationen in Mitleidenschaft ziehen, von lokalen Regierungsstellen über Organisationen im Vereinigten Königreich bis hin zu British Airways. Zweifellos wird dieser Angriff noch mehr inspirieren. Darüber hinaus hat diese umfangreiche Angriffsserie nicht nur den Betrieb von Organisationen auf der ganzen Welt unterbrochen, sondern sowohl Cyberkriminelle als auch Cybersecurity-Experten daran erinnert, dass neben Geld auch die Datenexfiltration begehrt ist. Millionen persönlich identifizierbarer Informationen (PII) von Einzelpersonen haben dank CIL0P den Weg zum Darknet gefunden, und diese Daten können nicht nur zwischen Kriminellen verkauft werden, sondern sie können auch verwendet werden, um weitere Ransomware-Angriffe sowohl auf Einzelpersonen als auch auf Organisationen zu starten – das ist das Geschenk, das diesen klugen Bedrohungsakteuren immer wieder geschenkt wird.
Sieben der neun häufigsten Verstöße, die in unserem „Breaches in Review 2023“ behandelt wurden, beinhalteten Datenexfiltration. Dies zeigt, dass Cyberkriminelle diese Daten nicht nur als Hebel bei einem Angriff nutzen, sondern sie als wertvolles Gut mit dem Wert von Gold behandeln. Unsere internen Untersuchungen haben außerdem ergeben, dass die Veröffentlichung dieser riesigen Datenmengen technisch gesehen nicht schwierig ist. Derselbe Amateur, der einen Ransomware-Code von einem RaaS-Broker gekauft hat, kann die Daten, die er mit diesem Code gestohlen hat, problemlos veröffentlichen und verkaufen.
Entdecken Sie die Prognosen von Arctic Wolf für 2024 im Detail.
So verhindern Sie Ransomware-Angriffe und Datenexfiltration
Die notwendigen Schritte zur Verhinderung eines Ransomware-Angriffs zu unternehmen, ist kostengünstiger und betrieblich effizienter, als zu versuchen, Ihr Netzwerk zu bereinigen, Kreditüberwachungsdienste für die Betroffenen zu bezahlen und Kunden und Mandanten zu erklären, dass ihre personenbezogenen Daten nun in den Händen von Cyberkriminellen liegen. Da sich diese Taktik immer weiter verbreitet, ist es viel besser, auf Nummer sicher zu gehen.
Im Großen und Ganzen besteht die beste Möglichkeit, Ransomware zu verhindern, darin, dieselben Cybersecurity-Techniken anzuwenden, die Sie auch für jede andere Art von Bedrohung anwenden würden. Ransomware ist nur die Taktik – das Erpressen von Lösegeld für Daten oder Vorgänge. Daher ist es am besten, sich vor der Technik für den Erstzugriff zu schützen, sei es ein Schwachstellen-Exploit, Social Engineering, ein Fernzugriffscode oder eine Cloud-Fehlkonfiguration.
Ein ganzheitlicher Betriebsansatz ist immer der beste Weg, wenn es um Ihre Reise zur Sicherheit geht, da jedes Unternehmen dynamische Geschäfts- und Sicherheitsanforderungen hat.
Zu den Techniken zur Verbesserung der Cybersecurity insgesamt gehören:
- Schulung zum Sicherheitsbewusstsein, die Mitarbeitern dabei helfen kann, sich gegen Social-Engineering-Angriffe zu verteidigen.
- Starke Identitätsverwaltung und Passworthygiene zur Verhinderung von Zugangsdatendiebstahl oder Credential Stuffing sowie der Eskalation privilegierter Zugriffe während eines Vorfalls
- Laufendes Vulnerability Management und laufende Behebungsmaßnahmen mit Schwerpunkt auf Priorität, potenziellen Auswirkungen und Schweregrad
- 24×7-Überwachung von Endpunkten, Cloud, Netzwerk und Identitäten, um schnell auf einen Vorfall reagieren, ihn isolieren und stoppen zu können.
- Eine langfristige Cybersecurity-Strategie, die sich auf den Betrieb und die kontinuierliche Verbesserung konzentriert, nicht nur auf neue Tools
Diese Techniken können zwar verhindern, dass ein Vorfall auftritt oder zu einem vollständigen Ransomware-Angriff eskaliert, sie sind jedoch nicht speziell auf die Datenexfiltration ausgerichtet. Für dieses spezielle Anliegen empfiehlt Arctic Wolf Labs Folgendes:
„Erstellen Sie eine Ausgangsbasis für den erwarteten Netzwerkdatenverkehr und das erwartete Benutzerverhalten, um potenzielle Aktivitäten zur Datenexfiltration zu erkennen. In den meisten Fällen sammeln Bedrohungsakteure die gestohlenen Daten und versuchen, sie so schnell wie möglich aus dem Netzwerk zu schleusen. Dies würde eine Abweichung vom normalen Benutzerverhalten darstellen.“
Erfahren Sie mehr über die Prognosen und Empfehlungen von Arctic Wolf Labs für 2024.
Entdecken Sie, wie ein Security-Operations-Ansatz Ihr Cybersicherheitsniveau verändern und Ihr Unternehmen in die Lage versetzen kann, Cyberbedrohungen wie Ransomware besser zu bekämpfen.
