Im Zuge der Weiterentwicklung der Cyberkriminalität ist ein Angriffsweg weltweit in den Vordergrund gerückt: Ransomware.
Laut dem Trendbericht „The State of Cybersecurity 2023“ von Arctic Wolf betrachten 48 % der Unternehmen Ransomware als bedeutendsten Angriffsvektor. Sie haben guten Grund dazu, denn der Arctic Wolf Labs Threats Report 2024 zeigte, dass 48,6 % der von Arctic Wolf untersuchten Vorfälle Ransomware-Angriffe waren.
Darüber hinaus sind die Kosten aufgrund von Ransomware stetig gestiegen, wobei es im IBM Cost of a Data Breach Report heißt: „Mit USD 5,13 Millionen stiegen die durchschnittlichen Kosten eines Ransomware-Angriffs im Bericht 2023 um 13 % gegenüber den durchschnittlichen Kosten von USD 4,54 Millionen im Vorjahresbericht.“ Die Beträge, die Cyberkriminelle zu erpressen versuchen, folgen einem ähnlichen Muster. Laut dem Arctic Wolf Labs Threat Report 2024 stieg das mittlere Lösegeld im letzten Jahr um 20 % auf USD 600.000.
Ransomware kann viele Gestalten annehmen. Auch wenn jeder Angriff anders ist, entwickelt sie sich doch zum bevorzugten Angriffsvektor für Cyberkriminelle. Daher ist es von entscheidender Bedeutung, dass Unternehmen diese Angriffe verstehen und lernen, wie sie sich gegen diese wachsende Bedrohung zur Wehr setzen können.
Die Entwicklung von Ransomware-Angriffen
Ransomware wurde erstmals 1989 dokumentiert, aber erst in den 2010er-Jahren und mit dem gleichzeitigen Aufkommen von Kryptowährungen, Remote-Anwendungen und Cloud-basierten Netzwerken setzte sich dieser Angriffstyp unter Cyberkriminellen wirklich durch. Seitdem ist die illegale Branche explosionsartig gewachsen und Innovationen wie Ransomware-Banden, Ransomware-as-a-Service (RaaS), komplexere Stämme, Datenexfiltration und Leak-Sites haben sich durchgesetzt.
Zwei gängige Techniken, die sich mit der Zunahme von Ransomware weiterentwickelt haben, sind doppelte und dreifache Erpressung. Bei der doppelten Erpressung exfiltriert der Bedrohungsakteur Daten aus dem System und droht mit ihrer Freigabe, wenn das geforderte Lösegeld nicht gezahlt wird. In einem Dreifach-Erpressungsszenario sind die genannten Schritte identisch, der Bedrohungsakteur kontaktiert aber darüber hinaus Personen, deren Daten möglicherweise kompromittiert wurden, und fordert sie unter Androhung der Datenfreigabe zur Zahlung auf oder droht der erpressten Organisation mit einer zweiten Art von Angriff. Mit diesen Taktiken lassen sich mit einem einzigen Angriff mehrfache Zahlungen erpressen.
Während sich Ransomware-Gruppen und die von ihnen verwendeten Stämme scheinbar ständig neu mischen und verändern, gibt es einige allgemeinere Trends, die Bestand haben.
Häufige Arten von Ransomware sind:
1. Krypto-Ransomware. Dies ist die heute am häufigsten vorkommende Ransomware. Systeme, Vermögenswerte oder Anwendungen werden verschlüsselt und können erst nach Zahlung eines Lösegelds entsperrt werden.
2. Locker-Ransomware. Locker-Ransomware funktioniert, indem sie Benutzer vollständig aus einem System aussperrt, anstatt einzelne Teile des Systems zu verschlüsseln. Oft erscheint auf den Endgeräten ein Sperrbildschirm mit einer Lösegeldforderung.
3. Scareware. Scareware funktioniert wie ein Betrug. Den Benutzern wird mitgeteilt, dass sich ein Virus auf ihrem Endgerät befindet und sie für die Lösung des Problems bezahlen müssen. Diese Art von Ransomware richtet sich häufiger an Einzelpersonen als an Organisationen.
4. Dox oder Leakware. Leakware verteilt exfiltrierte Daten im Darknet. Diese Taktik ist in den letzten Jahren häufiger geworden und wird häufig von Ransomware-Banden eingesetzt, da gestohlene Zugangsdaten bei zukünftigen Angriffen hilfreich sein und personenbezogene Daten oft für einen hohen Preis verkauft werden können.
5. Ransomware-as-a-Service (RaaS). In diesem Ransomware-Verteilungssystem werden gültige Anmeldeinformationen, Verschlüsselungssoftware, Leak-Sites oder andere Erstzugriffsmethoden an eine andere Gruppe verkauft, die im Gegenzug für einen Teil des Lösegelds einen Angriff startet.
Die Zahl der Ransomware-Banden – Gruppen von Cyberkriminellen, die sich zusammenschließen, um eine charakteristische Ransomware-Variante zu verteilen und mehrere Organisationen anzugreifen – nimmt ebenfalls ständig zu. Viele dieser Gruppen arbeiten nach dem Ransomware-as-a-Service-Modell.
Die fünf Gruppen, denen Arctic Wolf® Incident Response im Jahr 2023 am häufigsten begegnete, waren:
- BlackCat
- LockBit 3.0
- Akira
- Royal
- BlackBasta
Der Aufstieg von Ransomware-as-a-Service
Auch wenn im Zuge der Weiterentwicklung von Ransomware und Cyberkriminalität alle fünf Methoden an Beliebtheit gewonnen haben, ist es doch RaaS, das die Hackerszene komplett verändert hat.
RaaS-Teilnehmer bieten Ressourcen wie Verschlüsselungssoftware, Leak-Sites und Branding unabhängigen Partnern an, die dann den Ransomware-Angriff durchführen. Die Erlöse aus RaaS-Angriffen werden üblicherweise zwischen Partnern und Betreibern aufgeteilt. Einige Organisationen beschäftigen aber auch dauerhaft Cyberkriminelle, die sie mit einer Pauschale, einem prozentualen Anteil oder einer Art Gehalt kompensieren. Am besten lässt sich dieses Cyberkriminalitätsmodell mit dem Software-as-a-Service-Konzept (SaaS) der Technologiebranche vergleichen.
Während Ransomware in der Vergangenheit hauptsächlich von hochqualifizierten Bedrohungsakteuren eingesetzt wurde, hat dieses Modell durch die Aufteilung der Verantwortlichkeiten das Spielfeld für neue Teilnehmer geöffnet. Es ermöglicht technisch weniger versierten Cyberkriminellen die Durchführung von Angriffen und schützt gleichzeitig die Identität der beteiligten Personen.
Darüber hinaus hat RaaS zur Dominanz von Ransomware-Banden beigetragen.
Beispiel für einen Ransomware-Angriff
Am besten versteht man Ransomware, indem man sich die drei Hauptphasen eines Angriffs ansieht.
Phase 1: Der Bedrohungsakteur erlangt Zugriff auf ein Netzwerk.
Dies kann per Social Engineering, über ein Schwachstellen-Exploit, Malware oder eine andere Methode geschehen. Der erste Schritt ist stets der Zugriff.
Externe Offenlegung ist mit 70,1 % der Arctic Wolf Incident Response-Fälle im Jahr 2023 der bei weitem wichtigste Erstzugriffspunkt für Bedrohungsakteure. Auf dem zweiten Platz stehen mit 24,4 % Benutzeraktionen.
Phase 2: Der Bedrohungsakteur bewegt sich seitwärts und vertikal, um Zugang zu kritischer Betriebstechnologie oder wertvollen Daten zu erlangen.
Zu diesen Bewegungen könnten die Erlangung von privilegiertem Zugriff, die Ausnutzung einer Schwachstelle in Active Directory, das Starten einer Spear-Phishing-Kampagne oder die Bereitstellung von Malware gehören.
Der gewährte Zugriff könnte digitale Betriebstechnologie und IT-Technologie oder die in Gesundheitssystemen gespeicherten personenbezogenen Daten (PII) umfassen, wie es bei der derzeit aktiven Ransomware-Bande Royal üblich ist.
Phase 3: Der Bedrohungsakteur startet den Ransomware-Angriff in einer der oben genannten Formen – am häufigsten ist die Verschlüsselung.
Der Bedrohungsakteur oder die Ransomware-Gruppe setzt darauf, dass die Daten der Organisation so wertvoll oder Ausfallzeiten so schädlich sind, dass sie zahlt, und zwar schnell. Das war der Fall bei einem Hackerangriff auf MGM im Sommer 2023. Das Hotel in Las Vegas musste USD 10 Millionen bezahlen, um sich von dem Ransomware-Vorfall zu erholen, und machte rund USD 100 Millionen Verlust bei den Buchungen.
Ransomware in Aktion: Der Datenschutzverstoß bei MCNA Dental
Im Mai 2023 erfuhr die Öffentlichkeit, dass MCNA Dental, eine US-amerikanische Zahnversicherung, Opfer eines Ransomware-Angriffs der Gruppe LockBit geworden war.
LockBit ist bekannt für Angriffe auf kritische Infrastrukturen und das Gesundheitswesen und entwickelt sich schnell zu einer der produktivsten Ransomware-Gruppen. Obgleich die Erstzugriffstechnik nicht bekannt gegeben wurde, behauptete LockBIt, zehn Tage lang unentdeckt im System von MCNA gewesen zu sein und in dieser Zeit 700 GB Daten, einschließlich personenbezogener Daten (PII) von den Kunden von MCNA, exfiltriert zu haben. Das Lösegeld betrug USD 10 Millionen.
LockBit veröffentlichte die exfiltrierten Daten – darunter personenbezogene Daten von 8,9 Millionen Menschen – schließlich im Darknet.
Dieser Angriff verdeutlicht nicht nur, wie es Ransomware-Gruppen gelingt, sich der Entdeckung entziehen, sondern auch, wie sie auf große, datenreiche Organisationen abzielen und sich nicht scheuen, Daten zu exfiltrieren, zu erpressen und letztendlich im Darknet preiszugeben – oder sie sogar an andere Cyberkriminelle zu verkaufen.
So lässt sich ein Ransomware-Angriff beenden
Ein Ransomware-Angriff muss nicht damit enden, dass ein Unternehmen Millionen zahlt und sich mit den Folgen kompromittierter Daten herumschlägt. So wie sich die Cyberkriminalität weiterentwickelt hat, hat sich auch die Cybersecurity weiterentwickelt. Durch Forschung und Analyse wissen wir, dass es einige Taktiken gibt, die verhindern können, dass sich eine Bedrohung in einen vollständigen Ransomware-Angriff verwandelt.
1. Dateien sichern
Am besten gehen Sie bei der Dateisicherung nach dem 3-2-1-Prinzip vor. Das bedeutet, dass Sie über drei Kopien der Daten verfügen (1 primäre und 2 Backups): zwei Kopien an getrennten Orten und eine in einem externen Speicher (idealerweise in einer sicheren privaten Cloud).
2. Cloud-Umgebung schützen
Ein Sicherheitsvorfall, der von Ihrem Unternehmen ausgeht und Ihre Cloud-Daten zerstört oder beeinträchtigt, liegt in Ihrer Verantwortung. Viele Cloud-Security-Vorfälle lassen sich auf Konfigurationsfehler und/oder allzu laxe Zugriffsrichtlinien zurückführen. Beim Modell der geteilten Verantwortung ist es wichtig, dass Ihre Organisation ihre Rolle versteht, damit keine Sicherheitslücken entstehen, von denen Sie annehmen, dass sie vom Anbieter abgedeckt werden.
3. Identitäts- und Zugriffskontrollen durchsetzen
Die Sicherheit von Anmeldeinformationen ist zur Verhinderung von Ransomware-Angriffen von größter Bedeutung. Zu den entsprechenden Sicherheitsmaßnahmen gehören die Implementierung von Multi-Faktor-Authentifizierung (MFA), die Überwachung des Darknet auf Datenlecks, die Härtung von Active Directory, die Implementierung eines Zero-Trust-Frameworks und die Eindämmung von menschlichem Versagen durch Schulungen zum Thema Sicherheitsbewusstsein.
4. Vulnerability-Management-Programm ins Leben rufen
Die meisten Ransomware-Angriffe gehen auf eine externe Offenlegung zurück und nicht auf Zero-Day-Exploits. Indem Sie bekannte Schwachstellen regelmäßig identifizieren, priorisieren und patchen, kann Ihre Organisation sich nach außen hin härten und die Angriffsfläche reduzieren.
5. Lösung für Überwachung, Erkennung und Reaktion rund um die Uhr einsetzen
Eine frühzeitige Erkennung ist entscheidend, um einen Ransomware-Angriff zu stoppen. Durch die Identifizierung von Anzeichen eines potenziellen Ransomware-Angriffs – beispielsweise ungewöhnliche Anmeldungen oder Regeländerungen in einer Anwendung – kann Ihre Organisation handeln und Vorfälle beenden, bevor sie eskalieren.
Wo MDR aufhört und IR beginnt
Bei der Prävention von Ransomware und der Reaktion darauf gibt es zwei Hauptlösungen: Managed Detection and Response (MDR) und Incident Response (IR). Doch die beiden Lösungen sind nicht austauschbar und können sich nicht gegenseitig ersetzen.
MDR hilft Ihrem Unternehmen, zu verhindern, dass Bedrohungen zu Vorfällen werden. Sie bietet nicht nur eine Überwachung Ihrer gesamten Umgebung rund um die Uhr, sondern hilft Ihnen auch, schnell auf Bedrohungen zu reagieren und diese einzudämmen, bevor es zu Seitwärtsbewegungen oder einer Eskalation kommt. In der Praxis könnte dies so aussehen: Die Lösung erkennt eine ungewöhnliche Anmeldung um 3 Uhr morgens und isoliert daraufhin das Endgerät, an das sie angeschlossen ist, und informiert Ihre Organisation über die Aktion.
Erfahren Sie mehr über Arctic Wolf® Managed Detection and Response.
IR wird benötigt, wenn aus einer Bedrohung bereits ein Vorfall geworden ist, beispielsweise ein Ransomware-Angriff. Ein IR-Anbieter hilft Ihrem Unternehmen, den Angriff zu stoppen und den Betrieb wiederherzustellen. Genau wie bei MDR sind nicht alle IR-Anbieter gleich. Daher ist es wichtig, mit einem zusammenzuarbeiten, der von Ihrer Cyberversicherung anerkannt wird und im Fall von Ransomware Verhandlungen mit dem Bedrohungsakteur anbietet und über andere Ransomware-spezifische Fachkenntnisse verfügt. IR-Retainer sind nicht nur eine gute Möglichkeit, sich mit einem IR-Anbieter vertraut zu machen, sondern helfen Ihrem Unternehmen auch dabei, proaktive IR-Arbeit zu leisten und auf den schlimmsten Fall vorbereitet zu bleiben.
Erfahren Sie mehr über Arctic Wolf® Incident Response.
Erfahren Sie, wie ein Security-Operations-Ansatz zur Risikominimierung dem Budget Ihrer Organisation zugute kommt.
Lernen Sie die Prognosen von Arctic Wolf Labs für das Cyberkriminalitätsumfeld 2024 kennen, und erfahren Sie, wie Sie Ihre Organisation entsprechend vorbereiten.
