Die letzten Jahre standen im Zeichen der Erpressungssoftware: Allein 2019 gab es über 187 Mio. Ransomware-Vorfälle, was täglich über 500.000 Attacken auf Unternehmen entspricht. Und seit der Pandemie gehen Experten von einem satten Zuwachs von rund 150 % aus. Wie können sich Unternehmen davor schützen?
Ransomware-Angriffe sind in den letzten Jahren nicht nur zahlreicher geworden, je Attacke richten sie auch einen größeren Schaden an: Durch das erpresserische Verschlüsseln von IT-Umgebungen können neben temporären Ausfällen und monetären Einbußen auch Datenverluste oder irreparable Beschädigungen von Daten entstehen.
Selbst durch die Zahlung von Lösegeld lässt sich das Unheil manchmal nicht verhindern, wie es auch der Ransomware-Report 2021 von Sophos mit seinen Erkenntnissen auf den Punkt bringt:
- 37 % der Umfrageteilnehmer waren im letzten Jahr Opfer von Ransomware
- Bei 54 % der betroffenen Unternehmen gelang es Cyberkriminellen im Zuge
des schwerwiegendsten Angriffs, Daten zu verschlüsseln - 404 USD betrug das durchschnittliche Lösegeld bei Unternehmen mittlerer Größe
- Lediglich 65 % der Unternehmen konnten nach der Lösegeldzahlung ihre verschlüsselten Daten wiederherstellen
Welche Arten von Ransomware gibt es?
Die Coronakrise hat Ransomware mit dem verstärkten Homeoffice-Aufkommen und vermehrten Unsicherheiten nochmals einen enormen Aufschwung beschert. Und allein im letzten Jahr haben sich die Angriffstaktiken und -abläufe stark gewandelt. So können Ransomware-Angriffe heute auf viele unterschiedliche Arten erfolgen:
Standard-Ransomware: Herkömmliche Ransomware zielt auf Daten ab und sperrt die betroffenen Dateien, bis das Lösegeld bezahlt wird.
Ransomware-as-a-Service (RaaS): Hierbei bieten Cyber-Kriminelle ihre Ransomware auf die gleiche Art an, wie seriöse Software-Entwickler ihre SaaS-Produkte. So können Täter auch ohne Kenntnisse über die Programmierung von Schadsoftware ein RaaS-Kit buchen und direkt eine Ransomware-Attacke starten.
Ransomware-Partner-Programme: Hierbei handelt es meist um sogenannte Affiliate-Programme, bei denen der RaaS-Betreiber als „stiller Partner“ mit einem prozentualen Anteil am Lösegeld beteiligt ist.
Angriffe auf IoT-Geräte: Diese Variante sucht nicht nach den Daten eines Unternehmens, sondern zielt auf Steuerungssysteme (z. B. von Fahrzeugen, Fertigungslinien, Antriebssystemen, Versorgern) ab und fährt sie herunter, bis das Lösegeld gezahlt wird.
Ransomware-as-a-Service im Aufwind
Besonders Ransomware-as-a-Service (RaaS) und andere „Hacker-Toolkits“ haben den Einstieg für Cyber-Kriminelle deutlich erleichtert. Denn damit können selbst unerfahrene Bedrohungsakteure zerklüftete Security-Infrastrukturen erfolgreich angreifen.
Wegen der exponentiellen Zunahme von Lösegeldzahlungen an Ransomware-Gruppen ist die Wahrscheinlichkeit groß, dass solche Angriffe in Zukunft noch zunehmen. Dazu machen es digitale Zahlungstechnologien – wie z. B. die Blockchain mit ihrer Kryptowährung Bitcoin – Strafverfolgungsbehörden praktisch so gut wie unmöglich, die getätigten Lösegeldzahlungen zu verfolgen.
So ergibt sich ein Bedrohungsszenario, das mitunter seltsame Blüten treibt: Selbst Banken decken sich schon mit Bitcoins ein, damit ihre Kunden Cyber-Kriminelle im Fall eines Ransomware-Angriffs schnell für das Entsperren gehackter Systeme bezahlen können.
Worauf zielt die Ransomware ab?
Nahezu jedes Betriebssystem ist heute das Ziel von Ransomware. Dabei betreffen die Angriffe nicht nur IT- und Desktop-Systeme, sondern auch mobile Geräte und vor allem die Cloud. Denn vor allem Cloud-Applikationen, die von Ransomware-Angriffen bislang verschont geblieben sind, eröffnen Hackern völlig neue „Marktchancen“.
In puncto Branche sind Cyber-Kriminelle hingegen nicht allzu wählerisch, denn fast alle Segmente sind bedroht: Allein 2020 warnte die US-Behörde für Cybersecurity und Infrastruktursicherheit (CISA) vor Ransomware, die auf den Pipeline-Betrieb, das Gesundheitswesen, den öffentlichen Sektor, Schulen und weitere Bereiche abzielt.
Eine weitere Strategie von Ransomware-Hacktivisten ist der Angriff auf und die Infektion anfälliger Geschäftsserver: So ist die Ransomware DearCry, die eine Anfang 2021 neu entdeckte Schwachstelle von Microsoft Exchange ausnutzte, ein gutes Beispiel für diese Taktik und die zunehmende Agilität von Cyber-Kriminellen.
Wie Sie sich vor Ransomware-Attacken schützen können
Unternehmen sollten die Stärke ihrer aktuellen Cyber Security, potenzielle Schwachstellen und die beste Lösung für jede Phase der Cyber-Kill-Chain bewerten. Dazu empfehlen wir umfassende Vorbereitungen auf potenzielle Ransomware-Vorfälle, wie unter anderem:
- Netzwerk-Segmentierung
- Härten von Geräten
- Erstellen und Testen von Backups
- Ermitteln von Überwachungs- und Reaktionsprozessen
- Ergänzen interner Technologien, Tools und Prozesse durch Experten-Outsourcing
- Einsatz von Zero-Day-IDS / IPS Systemen
Geben Sie Erpressungstrojanern keine Chance
Da es die Ransomware-Evolution auch Cyber-Kriminellen mit wenig technischen Kenntnissen ermöglicht, von erfolgreichen Attacken zu profitieren, wird die Anzahl wohl noch weiter steigern. Unternehmen sollten daher nicht nur technische Gegenmaßnahmen ergreifen, sondern auch die Security-Awareness ihrer Mitarbeiter und Mitarbeiterinnen schulen.
Und ist das Kind bereits in den Brunnen gefallen, heißt es vor allem, nicht in Panik zu verfallen. Die hat noch niemanden geholfen und wer Ruhe bewahrt, kann gleich viel überlegter agieren. Und falls Sie mehr über das Thema Ransomware erfahren möchten oder noch Fragen dazu haben, zögern Sie nicht, mich jederzeit zu kontaktieren.