Cybereason, das XDR-Unternehmen, hat ein neues Whitepaper mit dem Titel „RansomOps: Inside Complex Ransomware Operations and the Ransomware Economy“ veröffentlicht.
Darin wird untersucht, wie sich Ransomware-Angriffe in den vergangenen zehn Jahren von einer Nische zur milliardenschweren Mega-Industrie entwickelt haben. Mit der zunehmenden Weiterentwicklung von RansomOps-Angriffen profitieren Ransomware-Syndikate von Rekordgewinnen und greifen Organisationen des öffentlichen und privaten Sektors jeder Größe an.
Angreifer setzten anfänglich auf das Gieskannenprinzip, um vorwiegend Einzelpersonen anzugreifen. Verglichen mit dem, was man in den Jahren 2020-2021 zu sehen bekamen, waren die Lösegeldforderungen damals relativ gering. Mit dem Aufkommen von komplexen RansomOps, die den verdeckten Operationen staatlicher Bedrohungsakteure ähneln, ist es für die meisten Unternehmen, die nun im Fokus der Angreifer stehen, schwieriger geworden, sich gegen Ransomware-Angriffe zu verteidigen. Und da sich immer mehr Unternehmen dazu entschließen, Lösegeld zu zahlen, haben die Angreifer ihre Forderungen immer weiter hochgeschraubt.
„Die Verschiebung von breit angelegten Ransomware-Kampagnen hin zu gezielten Angriffen auf Unternehmen, die in der Lage sind, Lösegeldforderungen in Höhe von mehreren Millionen Dollar zu zahlen, hat den Anstieg der Angriffe im Jahr 2021 angeheizt. Zwei RansomOps-Angriffe haben dabei im vergangenen Jahr besonders viel Aufmerksamkeit erregt: die Angriffe auf Colonial Pipeline und JBS Foods. Leider ist für 2022 mit einer weiteren Zunahme der Angriffe zu rechnen. Dabei werden die Lösegeldforderungen steigen und Betreiber kritischer Infrastrukturen, Krankenhäuser und Banken zur Zielscheibe werden“, so Lior Div, CEO und Mitbegründer von Cybereason.
Der neue Bericht beschreibt detailliert die vier Komponenten von RansomOps:
- Initial Access Brokers (IABs): Sie infiltrieren Zielnetzwerke, bauen Persistenz auf und bewegen sich lateral, um einen möglichst großen Teil des Netzwerks zu kompromittieren. Den Zugang verkaufen sie dann an andere Angreifer.
- Ransomware-as-a-Service (RaaS) Providers: Sie stellen den eigentlichen Ransomware-Code und die Zahlungsmethoden bereit. Außerdem wickeln sie die Verhandlungen mit dem Ziel ab und stellen sowohl den Angreifern als auch den Opfern andere „Kundendienste“ zur Verfügung.
- Ransomware Affiliates: Sie schließen einen Vertrag mit dem RaaS-Anbieter ab, wählen die Zielorganisationen aus und führen dann den eigentlichen Ransomware-Angriff durch.
- Cryptocurrency Exchanges: Hier werden die erpressten Erlöse umgeschlagen und gewaschen.
Zahlen oder nicht zahlen
Ein früherer Cybereason-Bericht mit dem Titel „Ransomware: The True Cost to Business“ zeigt, dass 80 Prozent der Unternehmen, die eine Lösegeldforderung gezahlt haben, ein zweites Mal angegriffen wurden – oft von denselben Angreifern. Anstatt zu zahlen, sollten sich Unternehmen auf frühzeitige Erkennungs- und Präventionsstrategien konzentrieren, um Ransomware-Angriffe im möglichst frühen Stadium zu beenden – also noch bevor wichtige Systeme und Daten in Gefahr geraten. Darüber hinaus gibt es eine Reihe weiterer Gründe, nicht zu zahlen, wie zum Beispiel:
KEINE GARANTIE FÜR DIE WIEDERHERSTELLUNG VON DATEN: Das Lösegeld zu zahlen, bedeutet nicht, dass Unternehmen wieder Zugriff auf Ihre verschlüsselten Daten erhalten. Die Entschlüsselungsprogramme, die von den Angreifern zur Verfügung gestellt werden, funktionieren manchmal einfach nicht richtig. Im Fall von Colonial Pipeline im Jahr 2021 zahlte das Unternehmen ein Lösegeld in Höhe von 4,4 Millionen Dollar. Daraufhin erhielt das Unternehmen fehlerhafte Wiederherstellungsschlüssel von der DarkSide Group und musste seine Backups aktivieren, um seine Systeme wiederherzustellen.
RECHTLICHE FRAGEN: In den USA drohen Unternehmen schon heute hohe Geldstrafen, wenn sie Ransomware-Akteure bezahlen, die den Terrorismus unterstützen. Ähnliche Regelungen sind zukünftig auch in der EU denkbar. Darüber hinaus könnten Ransomware-Angriffe auf Lieferketten, die sich auf Kunden oder Partner eines Unternehmens auswirken, zu Klagen seitens der betroffenen Unternehmen führen.
FÖRDERUNG VON RANSOMWARE-ATTACKEN: Unternehmen, die Ransomware-Angreifer bezahlen, senden die Botschaft, dass die Angriffe funktionieren. Dies führt zu weiteren Angriffen und höheren Lösegeldforderungen. Wie Cybereason rät auch das FBI, dass Unternehmen kein Lösegeld zahlen sollten, da dies die Angreifer nur ermutigt, indem es ihnen zeigt, dass Erpressung funktioniert.
Der vollständige Bericht sollte hier zum Download verfügbar sein.
www.cybereason.com