Puma, Microsoft, NVIDIA, Samsung und T-Mobile. Das sind einige der bekanntesten Marken der Welt, und sie alle haben eines gemeinsam. Allein in den letzten Monaten wurde jede einzelne von ihnen, Opfer verheerender Ransomware-Attacken.
Cyberkriminelle haben sich Zugang zu den Firmennetzen verschafft, Daten verschlüsselt und anschließend Lösegeldsummen in astronomischer Höhe für die Rückgabe der betreffenden Daten gefordert. Ransomware gehört aktuell zum bevorzugten Waffenarsenal von Angreifern. Betroffen sind Firmen aller Branchen, Organisationsformen und Größe.
Tatsächlich waren laut den Ergebnissen der IDC „2021 Ransomware-Study“ etwa 37 Prozent aller weltweit agierenden Unternehmen im vergangenen Jahr Opfer irgendeiner Form von Ransomware-Angriffen geworden. Ein lukratives Geschäft für Cyberkriminelle: Allein 2021 flossen Zahlungen in einer geschätzten Höhe von 600 Millionen Dollar in Kryptowährungen. Dazu kommen die nicht unerheblichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff. Man vermutet, dass Firmen 2021 durchschnittlich 1,85 Millionen US-Dollar dafür aufwenden mussten.
Auch wenn finanzielle Motive für die Angreifer ausschlaggebend sind, verlieren Unternehmen weit mehr als „nur“ Geld. Aktuelle Angriffe sind oftmals sehr aufmerksamkeits- und medienwirksam. Cyberkriminelle werben inzwischen regelrecht mit ihren Attacken.
Diese PR, gepaart mit der Berichterstattung führt oft zu irreparablen Schäden an der Marke, erodiert das Vertrauen der Kunden und erschwert es Firmen, sich nach einem Angriff vollständig zu erholen.
Vor nicht allzu langer Zeit ging es bei Ransomware-Angriffen in erster Linie darum, Informationen auf einem System zu verschlüsseln. Für ein entsprechendes Lösegeld wird den Betroffenen der Schlüssel versprochen, um die Daten wieder zugänglich zu machen.
Aktuell haben Cyberkriminelle mit der sogenannten „Double Extorsion“ aber eine noch weit potentere Methode zur Verfügung. Dabei werden die Daten zunächst abgezogen und an einem separaten Ort gespeichert, bevor die Lösegeldforderung gestellt wird. Selbst, wenn die Zahlung dann geleistet wird, landen die Daten meist trotzdem im Dark Web, da sie sich dort zusätzlich monetisieren lassen.
Ein glücklicher Ausgang ist für die Opfer von Ransomware also eher die Ausnahme: Wenn Unternehmen sich weigern, Lösegeld zu zahlen, verlieren sie ihre Daten, und wenn sie zahlen, auch.
Die nach wie vor beste Verteidigung gegen Ransomware besteht darin, die Netzwerke zu härten und die Bedrohung frühzeitig zu erkennen, bevor Schaden entsteht.
Ransomware-Angriffspfade
Eines der bekanntesten Zitate im Bereich Cybersicherheit lautet: „Angreifer müssen nur einmal richtig liegen, die Verteidiger immer.“ Das erweckt den Eindruck, dass die besseren Chancen grundsätzlich aufseiten der Cyberkriminellen liegen – tatsächlich ist das längst nicht immer der Fall. Bei einem Ransomware-Angriff durchlaufen Cyberkriminelle in etwa 14 Schritte, bevor sie endgültig Daten abziehen und die eigentliche Lösegeldforderung stellen.
Diese Schritte reichen von der Reconnaissance-Phase, also dem Ausspähen eines Unternehmens, über den ersten Zugang, zumeist über Phishing, um Anmeldeinformationen zu stehlen oder Schwachstellen auszunutzen. Anschließend wird in der Regel eine Malware ausgeführt, um Passwörter einzusammeln. Mit deren Hilfe bewegen sich Angreifer in der typischen lateralen Art und Weise im Netzwerk voran. Dabei werden Sicherheitseinstellungen umgangen oder ausgehebelt, mit dem Ziel, möglichst viele Informationen zu den „Kronjuwelen“ der betreffenden Firma zu erlangen. Diese Schritte nehmen (viele) Monate in Anspruch. Erst dann gehen Angreifer dazu über, Daten zu stehlen und mit dem üblichen Ransomware-Bildschirm den Betroffenen zu informieren.
Hinter einer Ransomware-Attacke steckt jede Menge Arbeit, und auch Angreifer müssen deutlich mehr als nur ein einziges Mal alles richtig machen. Dazu zählt, dass sie etliche Monate unentdeckt im Netzwerk verbleiben. Es muss eine ganze Reihe von Schritten erfolgreich ablaufen, um das letztendliche Ziel zu erreichen. Genau da liegen diverse Möglichkeiten, Ransomware schon auf ihrem Weg zu erkennen – bevor weitreichender Schaden entsteht.
Ransomware Choke Points
Bei den 14 Schritten einer typischen Ransomware-Attacke gibt es verschiedene Stellen, an denen sich der Pfad unterbrechen lässt. Für den initialen Zugang wird oft Phishing verwendet. Die beste Verteidigungsstrategie ist es zum einen, Mitarbeiter zu sensibilisieren und zum anderen, cloudbasierte Sicherheitstools zu verwenden. Sie bewerten den Sicherheitsstatus von Dokumenten und Links, bevor jemand aus der Belegschaft sie überhaupt in die Hände bekommt. Solche Tools sammeln Daten aus Millionen von Quellen weltweit und erkennen sofort, ob es sicher ist, auf einen Link oder ein Dokument zu klicken. Im Idealfall schützen die eingesetzten Tools zusätzlich vor unbekannten Bedrohungen und Zero-Day-Angriffen sowie polymorpher Malware, die signaturbasierte Prüf-Engines umgehen kann.
Um die laterale Bewegung zu unterbinden und einen Angreifer daran zu hindern, Ransomware über das Netzwerk zu verbreiten, eignet sich der Zero-Trust-Ansatz. Er gewährleistet, dass nur autorisierte Benutzer und Hosts auf Anwendungen und Ressourcen zugreifen können. Dies reduziert die Angriffsfläche und schränkt die Möglichkeiten einer Ransomware ein, sich zu verbreiten, Daten zu verschlüsseln und zu exfiltrieren. Man sollte zudem den Zugriff auf bestimmte Websites grundsätzlich blockieren, wie z. B. für „Mega“, eine Plattform, die nachweislich von Angreifern zum Hosten ihrer gestohlenen Daten verwendet wird.
Fazit
Die beschriebenen Maßnahmen setzen an unterschiedlichen Punkten auf dem Weg eines Ransomware-Angriffs an. Unternehmen haben also durchaus einige Möglichkeiten, Eindringlinge zu identifizieren und zu stoppen, bevor die Daten gestohlen werden und so potenziell schwerwiegende Auswirkungen zu verhindern.
Autor: Andreas Bandel, Area Director DACH und EE, Cato Networks