Ransomware: Wachsende Bedrohung durch Professionalisierung

Ransomware: Wachsende Bedrohung durch Professionalisierung

 

Ransomware ist schon lange ein Dorn im Auge. Nun entwickeln Erpresser das Geschäftsmodell weiter. Um das Thema „Ransomware-as-a-Service“ entwickelt sich ein regelrechter Dienstleistungssektor. Auch Sicherheitsbehörden warnen vor der zunehmenden Professionalisierung und rechnen weiterhin mit schwerwiegenden Angriffen.

Im vergangenen Jahr konnte man eine regelrechte Arbeitsteilung unter den Cyberkriminellen in Sachen Ransomware feststellen. Dies zeigt die Herausgabe eines Sicherheitshinweises der USA in Zusammenarbeit mit verschiedenen Behörden. Laut diesem Sicherheitshinweis bleiben Phishing, das Remote Desktop Protocol (RDP) und Exploits die am häufigsten genutzten Angriffsmöglichkeiten der Cyberkriminellen.

Der Umzug vieler Mitarbeiter in das Homeoffice hat die Angriffsfläche für Cyberkriminelle um ein Vielfaches erhöht, daher rechne man mit immer weiter steigenden Fallzahlen. Auch wenn IT-Abteilungen versuchen dagegen anzukommen, reichen oft die Ressourcen leider nicht aus.

 

Ransomware-as-a-Service

 

Die Behörden warnen derzeit akut, dass sich das Ransomware-Geschäft in den vergangenen Jahren durchaus professionalisiert hat. Teilweise wird es sogar als Ransomware-as-a-Service, RaaS angeboten. Zusätzlich haben sich parallel dazu Gruppen entwickelt, die sich um Verhandlungen, Erpressungen, die Lösegelder und deren Zahlungen kümmern. Häufig bieten die Erpresser sogar einen 24 Stunden Support, um die Zahlungen zu beschleunigen.

Auch könnten die Sicherheitsbehörden eine zunehmende Zusammenarbeit unter den Kriminellen feststellen. So tauschen sie beispielsweise untereinander die Informationen aus und vergrößern dadurch die potenzielle Bedrohung. So habe beispielsweise die BlackMatter-Gruppe ihre Opfer an Lockbit 2.0 übergeben und sich anschließend aus dem Geschäft zurückgezogen. Die Conti-Gang hat bereits im Oktober 2021 damit begonnen, die Zugänge zu den Systemen ihrer Opfer zu verkaufen.

Laut den US-Behörden haben es die Kriminellen bisher überwiegend auf große und lukrative Opfer abgesehen. Bereits im letzten Jahr gab es einen Angriff auf Colonial Pipelines und den großen Fleischproduzenten JBS Foods. Die Politik und Behörden haben darauffolgend den Druck erhöht und somit sind die Erpresser auf kleine Ziele umgestiegen.

 

Angriffe auf Cloud- und Managed Services

 

Die Behörden warnen, dass die Industrie und kritische Infrastrukturen auch weiterhin ein gefragtes Ziel der Erpresser sind. Auch vor Cloud-Providern und Infrastruktur-Dienstleistern machten die Cyberkriminellen bisher keinen Halt. Erst zuletzt seien Managed Service Provider (MSP) Opfer von Angriffen geworden. Über einen solchen Provider wird den Kriminellen zugleich der Zugriff auf mehrere Opfer ermöglicht.

Grundsätzlich wird empfohlen, das geforderte Lösegeld nicht zu bezahlen, denn solange die Kriminellen damit eine Rendite erwirtschaften, würde das Geschäft immer so weiterlaufen. Jedes bezahlte Lösegeld bestätige den Kriminellen die Rentabilität ihrer betrügerischen Aktivitäten. In den USA ist die Zahlung von Lösegeldern sogar anzeigepflichtig und wird streng sanktioniert.

Die Behörden empfehlen den Unternehmen möglichst schnell zu reagieren und alle Maßnahmen zur Prävention umzusetzen. Dafür sollten alle Systeme möglichst aktuell gehalten und neue Patches zeitnah eingespielt werden. Besonders bei Cloud-Systemen sei darauf zu achten, dass alle Systeme auf dem neuesten Stand sind. Gefährliche Dienste wie RDP sollten streng überwacht werden, der Datenverkehr sollte möglichst verschlüsselt stattfinden und alle Mitarbeiter sollten in Sachen Phishing geschult sein, um nicht auf die kriminellen Machenschaften hereinzufallen.

 

Das kann man beim Ransomware-Angriff tun

 

Für den Fall eines Angriffs sollte man sich, laut der Behörden, an die Checkliste im Ransomware Guide der CISA halten. Eventuelle Backups sollten vor dem Einspielen auf jeden Fall überprüft werden. Auch sollte der Vorfall direkt an die zuständigen Behörden gemeldet werden. Unternehmen und Branchen im öffentlichen Sektor sollten schnellstmöglich Maßnahmen ergreifen, um ihre Systeme zu sichern. Es wird empfohlen, mit den Ermittlungsbehörden zu kooperieren.