Ransomware – also ferngesteuerte, digitale Erpressung – bedroht eine Vielzahl an Unternehmen, von den modernsten Raumfahrtunternehmen über Lebensmittelkonzerne bis hin zu industriellen Umgebungen.
Die Security-Analysten von FireEye Mandiant Intelligence haben zahlreiche Ransomware-Attacken aus den Jahren 2017 bis 2019 untersucht und dabei eine Reihe von gemeinsamen Merkmalen in Bezug auf Angriffstechnik, Verweildauer und Tageszeit identifiziert.
Die wichtigsten Erkenntnisse auf einen Blick
- Die Anzahl der Analysen von FireEye Mandiant zu Ransomware-Fällen stieg von 2017 bis 2019 um 860 Prozent.
- Die Vorfälle betrafen Organisationen weltweit in fast allen Branchen, darunter Finanzwesen, Chemie, Rechtswesen, Behörden und das Gesundheitswesen. Die Experten beobachteten Einbrüche, die finanziell motivierten Cyber-Kriminellen wie FIN6, TEMP.MixMaster zugeschrieben wurden, sowie Dutzende andere Aktivitäten.
- Bei zahlreichen Angriffen wurde die Ransomware sofort aktiviert, so beispielsweise bei Vorfällen mit den Varianten GANDCRAB und GLOBEIMPOSTER
- Die meisten Angriffe schienen jedoch komplexere „Post-Compromise“-Angriffe zu sein, bei denen die Akteure zunächst mögliche Zielnetzwerke sowie kritische Systeme erkunden, bevor sie die Ransomware gezielt einsetzen – vermutlich, um die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen.
- Bei 75 Prozent der Angriffe vergingen mindestens drei Tage vom ersten Anzeichen des Vorfalls bis zur Aktivierung der Ransomware.
- Bei 76 Prozent der Vorfälle wurde die Ransomware außerhalb der üblichen Arbeits- und Bürozeiten, also vor 8.00 Uhr oder nach 18.00 Uhr an einem Wochentag oder am Wochenende ausgeführt. Die Akteure wollen damit wahrscheinlich die Erfolgschancen maximieren und gehen davon aus, dass Gegenmaßnahmen langsamer durchgeführt werden als während der normalen Arbeitszeiten. Es gibt Fälle, bei denen die Angreifer den Einsatz der Ransomware mit den Aktivitäten der Anwender verknüpfen: 2019 beispielsweise haben Angreifer bei Einzelhändlern und Dienstleistern Active Directory Gruppenrichtlinienobjekte (GPO) erstellt, wodurch die Aktivierung der Ransomware mit der An- und Abmeldung von Nutzern ausgelöst wurde.
- Angriffe über das Remote Desktop Protocol (RDP) – also über den Fernzugriff auf Windows-PCs – werden seit 2017 beobachtet. Bei diesen Angriffen loggt sich ein Angreifer über das RDP in ein System in einer Zielumgebung ein. In einigen Fällen testete der Angreifer damit die Zugangsdaten (viele fehlgeschlagene Authentifizierungsversuche, gefolgt von einem erfolgreichen). In anderen Fällen war eine erfolgreiche RDP-Anmeldung der erste Nachweis für böswillige Aktivitäten, gefolgt von einer Ransomware-Infektion. Werden schwache Zugangsdaten verwendet, kann dies einen RDP-Angriff begünstigen. Möglich ist auch, dass die Akteure die gültigen Zugangsdaten bereits über andere Aktivitäten ergattert oder von anderen Hackern erworben haben.
- Eine beträchtliche Anzahl von Ransomware wurde durch Phishing-Kampagnen verbreitet, darunter einige der erfolgreichsten Malware-Familien, die für finanziell motivierte Operationen verwendet werden: TRICKBOT, EMOTET und FLAWEDAMMYYY. Im Januar 2019 beobachteten die Analysten TEMP.MixMaster TrickBot-Infektionen, die zu einem interaktiven Einsatz von Ryuk führten.
www.fireeye.de