Teil 1 von 3 der Reihe Ransomware: Ein Praxisleitfaden
1989 kam es mit der Malware „AIDS Trojan“, die per Diskette zu den Anwendern gelangte, zum allerersten Ransomware-Erpressungsversuch. Die Angreifer verlangten von den Opfern gerade einmal 189 US-Dollar – die heute etwa 450 US-Dollar wert sind – per Scheck auf dem Postweg im Austausch für einen Entschlüsselungsschlüssel.
Heute haben Ransomware-Angreifer ihre Taktiken weiterentwickelt und machen weitaus größere Beute. Sie streichen von Sportmannschaften, Fortune 500-Unternehmen, Regierungen und anderen Millionenbeträge ein.
Cybersicherheitsexperten müssen mit der wechselnden Ransomware-Landschaft Schritt halten, um diese kostspieligen Angriffe zu verhindern. Nachfolgend finden Sie die fünf wichtigsten von Proofpoint beobachteten Ransomware-Trends, die Unternehmen kennen sollten.
1. Ransomware-Angriffe auf kritische Infrastruktur nehmen weiter zu
Obwohl Ransomware-Angriffe in letzter Zeit weltweit zu stagnieren scheinen, bleiben sie dennoch eine ständige Bedrohung. Der Grund für die scheinbare Flaute ist möglicherweise die Zerschlagung mehrerer überaus aktiver Ransomware-Gruppen durch Strafverfolgungsbehörden. Zudem haben sich weitere Gruppen in letzter Zeit aufgelöst oder neu organisiert. Diese Entwicklungen haben den Markt vorübergehend erschüttert. Außerdem haben sich RaaS-Gruppen (Ransomware-as-a-Service) konsolidiert, die sofort einsetzbare Ransomware-Tools entwickeln und diese im Rahmen eines Abonnementmodells vertreiben. Diese Gruppen haben den Markt für weniger erfahrene Bedrohungsakteure geöffnet, indem sie die Kosten und das erforderliche technische Know-how für Ransomware-Angriffe verringert haben.
Heute sinkt die Zahl der potenziellen Opfer, da viele ihre Sicherheitsmaßnahmen verstärken. Die Angreifer sind daher auf einfachere Ziele ausgewichen. Meist bedeutet dies mehr Angriffe auf kritische Infrastruktur wie Organisationen im Transport-, Nachrichten-, Gesundheits- und Bildungswesen. Allein im Jahr 2022 reichten diese Unternehmen beim FBI mehr als 870 Beschwerden über Ransomware-Angriffe ein – ein Anstieg von 34 % im Vorjahresvergleich.
Im Bericht Cost of a Data Breach 2022 (Kosten von Datenkompromittierungen 2022) stellt IBM fest, dass Anbieter kritischer Infrastrukturen bei der Implementierung einer Zero-Trust-Strategie und Investitionen in Sicherheitstechnologien häufig hinterherhinken. Gleichzeitig entstehen im Falle einer Kompromittierung bis zu 23 % höhere Kosten als bei anderen Unternehmen. Dies macht sie zu einem lukrativen Ziel für Ransomware-Gruppen. Im späteren Verlauf des Jahres 2022 waren Bildungseinrichtungen und Unternehmen im Gesundheitswesen ganz besonders von diesem Trend betroffen.
Ransomware-Angriffe auf kritische Infrastrukturen verursachen nicht nur enorme Kosten, sondern gelten nun auch als Bedrohung für die nationale Sicherheit. Das Weiße Haus hat vor Kurzem seine National Cybersecurity Strategy (nationale Cybersicherheitsstrategie) veröffentlicht, in der diese Angriffe jetzt als Bedrohungen für „die nationale und öffentliche Sicherheit und den wirtschaftlichen Wohlstand“ eingestuft werden.
2. Zunahme bei mehrstufigen Erpressungstechniken
Die Tage, an denen Systeme nach einem Ransomware-Angriff einfach gesperrt und verschlüsselt wurden, sind vorbei. Die Bedrohungsakteure sind nun darauf aus, ihre Ausbeute zu erhöhen, indem sie mehrere Zahlungen verlangen, mehrere Datenkompromittierungen durchführen, ihre Opfer auf Leak-Websites öffentlich bloßstellen und Verbraucher im Rahmen von doppelten oder dreifachen Erpressungen unter Druck setzen.
In unserem State of the Phish-Bericht 2023 haben wir beobachtet, dass 64 % der mit Ransomware infizierten Unternehmen das Lösegeld gezahlt haben. 41 % von ihnen mussten mehr als einmal zahlen. Zudem hatte ein kleiner Teil der Gruppe Pech und erhielt trotz der Zahlung keinen Zugang mehr zu den eigenen Daten, was leider nicht selten vorkommt.
In den letzten Jahren sehen wir, dass Ransomware-Angreifer ihre Opfer immer häufig doppelt erpressen. Dabei werden Kundendaten exfiltriert und als Druckmittel benutzt, anstatt lediglich die Geschäftsabläufe stillzulegen. In einigen Fällen verschlüsseln die Bedrohungsakteure gar nicht erst, sondern gehen gleich zu Erpressungstaktiken über.
Die Zahl der böswilligen Akteure, die Datendiebstahl und Erpressung bevorzugen – und keine Ransomware nutzen – wächst. Laut dem Global Threat Report 2023 von CrowdStrike wuchs diese Gruppe im Jahr 2022 um 20 %. Außerdem haben sich die Erpressungstechniken weiterentwickelt, wodurch die Zahl dreifacher Erpressungen gestiegen ist. In diesen Fällen umgehen die Ransomware-Gruppen die Unternehmen und wenden sich mit den gestohlenen Daten direkt an die Verbraucher, um sie auf eine Kompromittierung aufmerksam zu machen.
Dadurch sollen die Verbraucher dazu gebracht werden, zusätzlichen Druck auf das betroffene Unternehmen auszuüben. In seltenen Fällen werden auch die Verbraucher selbst erpresst. Diese Technik kam beispielsweise im Dezember 2022 beim Knox College im US-amerikanischen Illinois zum Einsatz. Die Ransomware-Gruppe Hive, der vor Kurzem das Handwerk gelegt wurde, erlangte Zugang zu vertraulichen Studenteninformationen und kontaktierte die Studenten direkt mit dem Wortlaut „Für uns ist heute ein normaler Werktag. Für euch ist es ein trauriger Tag“ – und zählte anschließend ihre Forderungen auf.
3. Stärkere Sicherheitsmaßnahmen lassen die Lösegeldbeträge stagnieren
Die jahrelange Bekämpfung von Ransomware an mehreren Fronten scheint eine positive Wirkung zu haben. Laut einer Schätzung von Chainalysis vom Januar gab es im Jahr 2022 deutlich weniger Lösegeldzahlungen für Ransomware: Sie sanken von 5,7 Millionen auf 4,1 Millionen US-Dollar. Dies ist wohl nicht auf einen wesentlichen Rückgang von Ransomware-Bedrohungen zurückzuführen, sondern eher auf den an mehreren Fronten gemachten Fortschritt. Unternehmen sind heute besser vor Ransomware-Angriffen geschützt. Zudem macht es die Unruhe auf dem Kryptowährungsmarkt den Angreifern schwerer, Zahlungen zu empfangen. Darüber hinaus befolgen immer mehr Unternehmen den Rat von Strafverfolgungsbehörden, nicht zu zahlen.
Das sind gute Neuigkeiten für alle Unternehmen, die künftig von Ransomware-Infektionen betroffen sein werden. Doch die Zahlung von Lösegeld bleibt weiterhin ein Problem, besonders für Unternehmen, die die Kosten durch eine Cyberversicherung ausgleichen wollen. Unserem State of the Phish-Bericht 2023 zufolge wurden von den 82 % der Unternehmen, die von einem Ransomware-Zwischenfall betroffen waren und Schadenersatz über ihre Cyberversicherung beantragten, weniger als 40 % vollständig entschädigt. Außerdem wird es zunehmend teurer und schwieriger, eine Cyberversicherung abzuschließen. 2022 vermeldete Forrester, dass nur ein Fünftel der Unternehmen eine Cyberversicherungspolice hatte, die mehr als 660.000 US-Dollar abdeckt. Das ist deutlich weniger als die durchschnittliche Lösegeldhöhe, die laut Palo Alto Networks bei 2,2 Millionen US-Dollar liegt.
Das zeigt erneut, wie wichtig der Shift-Left-Ansatz beim Schutz vor Erstzugriffs-Schaddaten geworden ist. Ein weiterer Lichtblick bei diesem Trend ist, dass sich der durchschnittliche Nachlass auf Ransomware-Zahlungen anscheinend ebenfalls erhöht. In der Regel können die Opfer mit 20–25 % Nachlass auf ihre Zahlungen rechnen, wobei vielen sogar bis zu 60 % gewährt wird.
4. Ransomware-Gruppen agieren gezielter und raffinierter
Da immer mehr Unternehmen nicht mehr zahlen, gehen viele Ransomware-Gruppen in Bezug auf ihre Angriffsmethoden und die Wahl ihrer Opfer strategischer vor.
Zudem nutzen die Ransomware-Gruppen weitere Angriffswege wie Messaging-Apps, SMS und Telefonanrufe. Wir fassen diese Bedrohungen als TOAD-Bedrohungen (Telephone-Oriented Attack Delivery, Angriffe per Telefon) zusammen. Bis Dezember 2022 beobachtete Proofpoint am Tag durchschnittlich 300.000 bis 400.000 TOAD-Bedrohungen. Häufig bleiben diese Kommunikationskanäle ungeschützt. Einige Opfer erhalten sogar weiterhin bedrohliche SMS und Sprachmitteilungen, obwohl das Lösegeld bereits gezahlt wurde.
Zudem suchen die Ransomware-Gruppen nach wie vor den direkten Kontakt zu Angestellten, um deren Arbeitgeber zu kompromittieren. Dabei werden sie mit sechsstelligen Beträgen gelockt. In der Vergangenheit erfolgten solche Anfragen im Vertrauen per E-Mail oder LinkedIn-Nachrichten. In jüngster Zeit jedoch haben Ransomware-Gruppen wie Lapsus$ Stellenangebote auf Reddit und ins Deep Web gestellt, in denen nach Zugang zu bestimmten Unternehmen gefragt wird. Diese Taktiken kennzeichnen eine verstörende Wende bei der Zunahme von Insider-Bedrohungen.
Wenn Angreifer in ein Unternehmen eindringen, bewegen sie sich lateral im Netzwerk. Währenddessen suchen sie nach vertraulichen Daten, auf die sie Zugriff erlangen, indem sie privilegierte Konten übernehmen – und somit Identitäten kompromittieren. Aus diesem Grund wurde der neue Cybersicherheitsbegriff „Identity Threat Detection and Response“ (ITDR, dt. identitätsbezogene Bedrohungserkennung und -Reaktion) geprägt, der auf dieses wachsende Problem aufmerksam machen soll. IDTR beschreibt Strategien und Lösungen wie Illusive, die Angreifer erkennen und daran hindern, Kontenzugriff zu erlangen und Anmeldedaten zu stehlen, und die auch andere identitätsbezogene Bedrohungen stoppen können.
Nachdem sie sich in einem System festgesetzt haben, forschen einige Ransomware-Gruppen wie Lorenz ihre Opfer über längere Zeit aus. Die Malware, mit der sie die betroffenen Systeme kompromittieren, wird immer häufiger auf die Opfer zugeschnitten und individuell entwickelt. Dies erhöht die Erfolgsaussichten und jeder Angriff kann optimal ausgenutzt werden.
5. Weiterentwicklung von Ransomware beschleunigt sich
Als Branche bewegt sich Ransomware schneller als je zuvor. Laut Ivanti haben bekannte Systemschwachstellen in Verbindung mit Ransomware bis zum dritten Quartal 2022 im Vorjahresvergleich um 12 % zugenommen. Zudem werden viele Ransomware-Gruppen immer anpassungsfähiger und nutzen diese Schwachstellen aus, sobald sie öffentlich bekannt werden – oder sogar noch davor.
Außerdem ermöglicht ihnen diese Flexibilität, ihre Produkte zu verbessern und sich den Strafverfolgungsbehörden zu entziehen. Arete und Cyentia stellten in ihrem gemeinsamen Ransomware-Bericht fest, dass es 70 % der gängigsten Ransomware-Varianten im Jahr 2022 im Jahr davor noch nicht gab. Dies deutet auf eine äußerst turbulente Umgebung hin. Zum Teil könnte diese Beobachtung auch auf Umbenennungen zurückzuführen sein, die in der Branche durchaus üblich sind.
Bestimmte Ransomware-Gruppen wie BlackCat sind dafür bekannt, eine Weile unterzutauchen, um der Erkennung zu entgehen, nur um dann ihre Malware weiterzuentwickeln und unter einem völlig anderen Namen wieder aufzutauchen. Dies macht es schwer, die Gruppen zu verfolgen und zu stoppen.
Hat Ihr Unternehmen Maßnahmen zum Schutz vor Ransomware implementiert?
2022 war in Bezug auf Ransomware ein sehr ereignisreiches Jahr – und auch in diesem Jahr verändert sich die Bedrohungslandschaft weiterhin täglich. Die Bedrohungsakteure finden immer wieder neue Wege, größere Summen zu erbeuten und dabei weniger Daten zu hinterlassen. Deshalb muss es oberstes Gebot sein, Ransomware zu verhindern, statt sie nach einem Angriff aufzuspüren.
Mit einem mehrstufigen Sicherheitsansatz und hochentwickelten Erkennungsalgorithmen greift Proofpoint früher in die Angriffskette ein, um Ransomware-Angriffe zu stoppen, bevor sie die Postfächer Ihrer Anwender erreichen.
Woher wissen Sie, ob Ihr Unternehmen Ransomware-Angriffe erfolgreich stoppt? Führen Sie eine kostenlose Proofpoint-Risikoschnellanalyse für E-Mails durch, um Ransomware und Malware-Bedrohungen in Ihrer Umgebung zu erkennen. In weniger als fünf Minuten erhalten Sie folgende Einblicke:
- Bedrohungen, die Ihre E-Mail-Sicherheitslösung übersieht
- Überblick über Personen, die in Ihrem Unternehmen angegriffen werden, z. B. die besonders häufig angegriffenen Personen (VAPs, Very Attacked People)
- Überblick darüber, wie Proofpoint den besten mehrschichtigen und integrierten Schutz vor neuen Bedrohungen bietet