In den letzten zwei Jahren haben sowohl die Häufigkeit als auch die Raffinesse von Ransomware-Angriffen deutlich zugenommen. Zu diesem Schluss gelangt eine Studie von Ivanti, Cyber Security Works und Cyware.
Ein Blick auf die Statistik verdeutlicht die Gefahrenlage: Gegenüber dem Vorjahr konnten Ende 2021 29 Prozent mehr CVEs gezählt werden, die per Ransomware ausgenutzt wurden. Parallel stieg die Anzahl der Ransomware-Familien um 26 Prozent. Doch die Gefahr lauert nicht in der schieren Quantität der Angriffsmöglichkeiten. Es geht primär darum, wie Kriminelle Schwachstellen nutzen und wer am stärksten gefährdet ist. Aus den Studienergebnissen lassen sich einige Muster ablesen.
Muster 1: Ungepatchte Sicherheitslücken
Ungepatchte Sicherheitslücken sind die häufigsten Angriffsvektoren für Ransomware-Gruppen. Von den Schwachstellen, die der Bericht für 2021 identifiziert hat, waren mehr als ein Drittel auch Trendthemen im Dark Web und wurden wiederholt ausgenutzt. Und mehr als die Hälfte der Schwachstellen vor 2021 werden heute noch für Angriffe genutzt. Das verdeutlicht, dass Unternehmen bereitstehende Patches einspielen müssen, egal wie alt sie sind. Doch bleiben wir realistisch: Kein Sicherheitsteam ist mehr in der Lage, jede Sicherheitslücke manuell zu patchen. Umso wichtiger ist es, das Patchmanagement zu automatisieren. Eine Lösung muss allerdings mit risikobasierten Patch-Informationen arbeiten, um den gefährlichsten CVEs die nötige Aufmerksamkeit zu schenken.
Muster 2: Ausnutzung von Zero-Day-Schwachstellen
Cyberkriminelle handeln schnell. Sie sind in der Lage Zero-Day-Schwachstellen auszunutzen, bevor sie in die National Vulnerability Database (NVD) aufgenommen werden. Dieser Trend unterstreicht den Bedarf an Lösungen, die von sich aus Zero-Day-Schwachstellen erkennen und beheben können. Er zeigt auch, dass sich Unternehmen nicht allein auf die NVD verlassen können. Bei der Priorisierung zu patchender CVEs müssen sie daher auch ein Auge auf Schwachstellentrends, Beispiele für ausgenutzte Schwachstellen oder Warnungen von Sicherheitsbehörden werfen.
Heutzutage stehen der Intensität von Angriffen immer ausgefeiltere Sicherheitskonzepte gegenüber.
Muster 3: Angriffe auf die Lieferkette
Ransomware-Gruppen nehmen zunehmend die Lieferketten ins Visier. Schon eine einzige Kompromittierung in der Lieferkette kann dazu führen, dass die komplette System-Distribution in Hunderten von Opfernetzwerken gekapert wird. Unternehmen, die in Supply Chains eingebunden sind, müssen besonders wachsam sein. Denn ein einzelner erfolgreicher Angriff hat nicht nur Auswirkungen auf die eigenen Geschäftswerte, sondern auch auf die Zusammenarbeit mit den Partnern innerhalb der Lieferkette – Imageschaden miteingeschlossen.
Muster 4: Ransomwareas-a-Service
Bei Ransomware-as-a-Service bieten Ransomware-Entwickler ihre Dienste, Varianten, Kits oder ihren Code anderen bösartigen Akteuren gegen Bezahlung an. Das beschleunigt zum einen die Ausbreitung von Bedrohungen – und erschwert es zum anderen, den Ursprung der Bedrohung auszumachen.
Heutzutage stehen der Intensität von Angriffen immer ausgefeiltere Sicherheitskonzepte gegenüber. Eine proaktive, risikobasierte Security-Strategie ist dabei unverzichtbar. Gleiches gilt für automatisierte Patch-Intelligenz: Hiermit können Unternehmen ihr Patchmanagement risikobasiert steuern und sich auf die CVEs konzentrieren, von denen die größte Gefahr ausgeht – auch wenn die IT-Abteilung mit Personalmangel zu kämpfen hat.