Ransomware

Schwierige Abgrenzung: Reduzierung von Ransomware-Risiken mit einem ganzheitlichen Ansatz

Share with your network!

Ransomware, Business Email Compromise (BEC) und Datenverlust haben mehr gemeinsam, als Sie vielleicht denken.

Man kann ohne Übertreibung sagen, dass es sich bei Ransomware nicht mehr um eine epidemische, sondern vielmehr um eine endemische Bedrohung handelt, die schwerwiegendere Auswirkungen auf das alltägliche Leben hat als jemals zuvor. Und kein Unternehmen und keine Organisation ist davor gefeit. Laut dem State of the Phish 2022-Bericht von Proofpoint verzeichneten 68 % aller weltweiten Unternehmen mindestens eine Ransomware-Infektion, die direkt aus E-Mail-Schaddaten, Malware-Übertragungen der zweiten Stufe oder einer anderen Kompromittierungsform stammte. Sobald Sie das Internet nutzen, sind Sie ein potenzielles Opfer von Ransomware.

Ebenso wie Ransomware heute auf eine größere Vielfalt von potenziellen Opfern abzielt, haben auch die Bedrohungsakteure ihre Geschäftsmodelle erweitert. Mittlerweile erleben wir sehr häufig Techniken mit doppelter und sogar dreifacher Erpressung. Dabei exfiltrieren die Angreifer enorme Mengen vertraulicher Daten und halten dauerhafte Zugänge offen, um den Profit zu vergrößern und weitere Forderungen stellen zu können.

Viele Ransomware-Gruppen, die eine Attribution und die damit verbundenen Anklagen vermeiden wollen, verzichten mittlerweile gänzlich auf den Einsatz von Locker-Malware. Stattdessen stehlen sie enorme Datenmengen und bieten sie zu hohen Preisen zum Verkauf an bzw. verlangen große Summen für deren Vernichtung. Gerade von letzterem sollten Käufer allerdings die Finger lassen.

Auch wenn die Bedrohungsakteure ihre Geschäftsmodelle weiterentwickeln, bleibt ihr Ziel stets das gleiche: der Missbrauch Ihrer Umgebung. Selbst wenn die Angreifer nicht mehr auf Locker-Malware, sondern auf Datendiebstahl setzen, handelt es sich immer noch um Erpressung. Und wenn BEC-Akteure statt der Umleitung von Gehaltszahlungen und Steuerbetrug sich nun auf B2B-Cyber-Finanzbetrug (Business-to-Business) spezialisieren, ist das dennoch nichts anderes als BEC. Wichtig ist auch, dass BEC-Akteure auf der Suche nach ungezahlten Rechnungen oder Ransomware-Gruppen (bzw. Cyber-Erpresser), die Daten stehlen wollen, unabhängig von der letztendlichen Monetarisierungsstrategie viele der gleichen Techniken einsetzen werden.

Die verwendeten Tools und Techniken sind seit Jahren unverändert – Kompromittierung von Anmeldedaten, Nachahmung von Personen, vom Anwender aktivierte Malware, Datendiebstahl usw. Unabhängig davon, in welche Richtung sich die Bedrohungslandschaft entwickelt, zeigt sich eines ganz deutlich: Es ist nicht sinnvoll, die wichtigsten Risiken Ransomware, Datenerpressung, BEC und Datenverlust als separate Kategorien zu betrachten. Vereinfacht ausgedrückt lohnt es sich für Sicherheitsverantwortliche, die Anwendung dieser Tools und Techniken zu erschweren, denn sie machen damit gleich mehreren Angreifertypen das Leben schwer.

Neuer Feind gleich alter Feind

Ransomware als Datendiebstahl

Fast alle Ransomware-Zwischenfälle umfassen auch Datendiebstahl, was sie zur häufigsten Erpressungsform macht. Tatsächlich konzentrieren sich viele Ransomware-Gruppen mittlerweile einzig und allein auf Datendiebstahl und versuchen gar nicht, Informationen zu verschlüsseln oder zu zerstören.

Das macht diese Angriffsmethode auch so problematisch. Sobald die Daten Ihre Umgebung erst einmal verlassen haben, gibt es keine Garantie, dass sie jemals wieder in Ihren Besitz zurückkommen. Und selbst wenn doch – sie könnten immer noch verkauft, offengelegt oder anderweitig gegen Ihr Unternehmen eingesetzt werden. Dadurch wird die Entscheidung über die Zahlung oder Nichtzahlung des Lösegeldes sicher nicht einfacher.

Tatsächlich zahlen Unternehmen immer häufiger nicht, was jedoch entsprechende Konsequenzen nach sich zieht. Hinzu kommt: Wenn immer weniger Unternehmen Lösegeld zahlen, werden die Cyberkriminellen nach anderen Möglichkeiten suchen, von ihren Angriffen zu profitieren. Cyberversicherer weigern sich immer häufiger, nach erfolgreichen Ransomware-Angriffen zu bezahlen.

Deshalb werden die meisten Bedrohungsakteure dem gleichen Szenario folgen: So viele Daten wie möglich stehlen und im Dark Web verkaufen, gleichzeitig jedoch Lösegeld dafür verlangen, dass sie die Datenschutzverletzung nicht öffentlich kommunizieren.

Kurzfristig besteht der beste Schutz darin, potenzielle Angriffe so früh wie möglich zu erkennen und die Datenexfiltration zu verhindern.

Bekannte Bedrohungsakteure nutzen doppelte oder dreifache Erpressungstaktiken:

  • BlackCat/ALPHV-Tools können jetzt exfiltrierte Dateien beschädigen oder zerstören, sodass die Angreifer über die einzige funktionierende Kopie der Daten verfügen.
  • Black Basta nutzt doppelte Erpressung und verschlüsselt vertrauliche Daten, um anschließend damit zu drohen, sie bei Nichterfüllung der Forderungen zu veröffentlichen.
  • LockBit nutzt dreifache Erpressungstechniken, um die Opfer noch stärker zur Lösegeldzahlung zu motivieren.
  • BlackByte setzt auf Erpressungstechniken im Dark Web und fordert die Opfer zur Zahlung auf, um ihre Daten zu entfernen, während diese gleichzeitig anderen Bedrohungsakteuren zum Kauf angeboten werden.
  • Die mit LAPSUS$ im Zusammenhang stehende Gruppe Yanluowang hat das VPN-Konto (virtuelles privates Netzwerk) eines Angestellten kompromittiert und angeblich bis zu 55 GB an Daten gestohlen.

Ransomware und BEC

Bislang wurden BEC- und Ransomware-Akteure als unterschiedliche Gruppierungen betrachtet. Dadurch besteht jedoch die Gefahr, eine ohnehin schon komplexe Bedrohungslage noch weiter zu verkomplizieren.

Es stimmt, dass einige Gruppen über Spezialisierungen, Kompetenzen und Infrastrukturen verfügen, die sich vor allem für eine der beiden Angriffsformen eignen. Überwiegend werden jedoch die gleichen grundlegenden Taktiken und Techniken genutzt.

Während Ransomware- und BEC-Bedrohungsakteure also leicht unterschiedliche Verhaltensweisen an den Tag legen können, gibt es aus Sicht der Sicherheitsverantwortlichen viele Gemeinsamkeiten.

In fast allen Fällen erlangen oder kaufen diese Cyberkriminellen den Erstzugriff auf eine Umgebung mit einer der folgenden Methoden:

  1. Per E-Mail-Phishing
  2. Über das Remote Desktop Protocol (RDP), das es Angreifern ermöglicht, aus der Ferne die Kontrolle über einen Computer zu übernehmen
  3. Mithilfe von Stealer-Malware, die Authentifizierungstoken, Cookies und Anmeldedaten erfassen kann

BEC- und Ransomware-Akteure nutzen häufig Thread-Hijacking, um sich in legitime Kommunikationsvorgänge einzuklinken.

Doch unabhängig von der tatsächlich angewendeten Taktik stellen die großen Ähnlichkeiten für Unternehmen beim Aufbau einer Schutzstrategie einen erheblichen Vorteil dar.

Letztendlich geht es immer darum, die gleichen Aktivitäten zu stoppen. Dabei spielt es keine Rolle, wie ein Bedrohungsakteur seinen Angriff anschließend monetarisieren will.

Sobald wir das verstanden haben, sind Bedrohungs- und Informationsschutz nicht mehr zwei unterschiedliche Herausforderungen mit jeweils individuellen Kontrollen. Durch die Neukonzeption unserer Schutzmaßnahmen können wir die aktuell gefährlichsten Bedrohungen – BEC, Ransomware und Datendiebstahl – sehr viel effektiver erkennen und abwehren.

Aufbau von Schutzmaßnahmen für jeden Angriff

Ältere Lösungen für Bedrohungsschutz und Datenverlustprävention sind bei heutigen Bedrohungsszenarien, bei denen die Akteure Konten kompromittieren und Daten stehlen, praktisch machtlos. Ebenso erfüllen Tools, die mithilfe von Datenklassifizierungsregeln nach Kompromittierungsindikatoren suchen, auf sich allein gestellt nicht mehr ihren Zweck.

Stattdessen sollten die Sicherheitsverantwortlichen nach Erkennungssignalen suchen, die zum aktuellen Verhalten von Angreifern passen. Zum Beispiel kann das Identifizieren mehrerer Anmeldungen mit dem gleichen Sitzungs-Cookie darauf hinweisen, dass ein Angreifer kompromittierte Anmeldedaten missbraucht. Wenn auf dem Endpunkt des gleichen Anwenders anschließend die Installation eines ungewöhnlichen Archivierungstools wie 7zip oder WinRAR, die Erstellung eines riesigen mehrteiligen Archivs oder die Übertragung einer großen Menge an Daten festgestellt wird, die an einen bei Angreifern beliebten Cloud-File-Sharing-Dienst (wie Mega) gesendet werden, sind ziemlich sicher Notfallreaktionen erforderlich.

Heutige Ransomware-Betreiber sind Opportunisten. Unabhängig von ihrem eigentlichen Ziel sind sie stets auf der Suche nach Unternehmen mit schwachen Sicherheitskontrollen, und sie nutzen Techniken, die sich für sie bewährt haben. Sie suchen nach anfälligen VPN-Geräten, die mit dem Internet verbunden sind, einem offenen RDP-Port oder nach Menschen, die auf einen Link klicken oder einen Anhang in einer Phishing-E-Mail herunterladen. Gleichzeitig wissen sie, dass Letzteres am einfachsten zu finden sind.

Aus diesem Grund steht beim Schutz vor Ransomware, Datenerpressung und BEC-Angriffen stets der Mensch im Vordergrund. Alle diese Taktiken nutzen die gleichen Techniken zur Kompromittierung von Anmeldeinformationen und Daten, zur Nachahmung von Identitäten sowie Anwender-aktivierte Malware. Schädliche Payloads werden fast immer über Social Engineering verteilt, wobei menschliche Interaktionen für den Erfolg dieser Angriffe essenziell sind. Daher gilt: Wenn Sie Ihre Mitarbeiter schützen, stärken Sie damit Ihre Cybersicherheit und verringern die Wahrscheinlichkeit, dass die Vielzahl an Cyberangriffen ihr Ziel erreicht.

Mit anderen Worten: Wenn Cyberkriminelle keinen Weg in Ihr Unternehmen finden, können sie auch keine Dateien verschlüsseln, keine Daten stehlen und nicht den Geschäftsbetrieb unterbrechen. Es gibt zwar kein Allheilmittel für 100%ige Cybersicherheit, doch wenn Sie Ihre Mitarbeiter schulen und schützen, können Sie Bedrohungen auf Abstand halten und Datenverlust vermeiden.

Schutz vor Ransomware mit Proofpoint

Unsere umfassenden und integrierten Plattformen verringern das Risiko von Ransomware-Angriffen mit mehrschichtigen Kontrollen, die Erstzugriffe und Datenverlust verhindern.

Hier finden Sie weitere Informationen darüber, wie Proofpoint vor Ransomware schützt.

Lesen Sie unser Kundenmagazin New Perimeters zum Thema „Menschen schützen. Daten sichern“.

Möchten Sie mehr solcher Artikel lesen? In unserem exklusiven Magazin New Perimeters finden Sie die neuesten Erkenntnisse zur Cybersicherheit. Sie können unser Magazin online lesen, zum späteren Lesen herunterladen oder eine gedruckte Ausgabe bestellen, die Ihnen nach Hause geliefert wird.

Ihre kostenlose Ausgabe des exklusiven Proofpoint-Magazins New Perimeters erhalten Sie hier.