Während Ransomware in den letzten Jahren viel Aufmerksamkeit geschenkt wurde, verwenden moderne Bedrohungsakteure zunehmend zusätzliche Erpressungstechniken, um ihre Ziele zur Zahlung zu zwingen - oder sie verzichten ganz auf Ransomware und erpressen stattdessen direkt. [...]
Unternehmen ihrerseits müssen ihre Abwehrmaßnahmen weiterentwickeln, um den verschiedenen Methoden zu begegnen, mit denen Bedrohungsakteure Druck ausüben.
Notfallpläne müssen heute nicht nur technische Überlegungen beinhalten, sondern auch Schutzmaßnahmen für den Ruf eines Unternehmens und Überlegungen zum Schutz von Mitarbeitern oder Kunden, die zur Zielscheibe von aggressiveren Taktiken der Erpresser werden könnten.
Der Bericht „2023 Unit 42 Ransomware Threat Report“ befasst sich mit aktuellen Fällen, in denen auf Vorfälle reagiert wurde, sowie mit der Einschätzung der gesamten Bedrohungslandschaft durch Threat Intelligence-Analysten. Er enthält auch Prognosen darüber, wie Bedrohungsakteure Ransomware und Erpressungstaktiken unserer Meinung nach in Zukunft einsetzen werden.
Die wichtigsten Ergebnisse des Unit 42 Ransomware and Extortion Threat Report 2023
Beobachtete Ransomware Leaks in Europa im Untersuchungszeitraum
| Deutschland | 129 |
| Niederlande | 26 |
| Portugal | 22 |
| Italien | 96 |
| Schweden | 13 |
| Schweiz | 36 |
| Frankreich | 99 |
| UK | 130 |
| Spanien | 69 |
| Österreich | 16 |
| Polen | 10 |
| Finnland | 6 |
| Dänemark | 11 |
| Belgien | 26 |
| Tschechien | 6 |
| Norwegen | 6 |
1. Multi-Erpressungstaktiken sind weiter auf dem Vormarsch.
In den Ransomware-Fällen, die von Unit 42 Ende 2022 untersucht wurden, haben Bedrohungsakteure in durchschnittlich 70 % der Fälle Datendiebstahl begangen. Im Vergleich dazu wurde Mitte 2021 nur in durchschnittlich 40 % der Fälle Datendiebstahl festgestellt.
Bedrohungsakteure drohen häufig damit, gestohlene Daten auf Leak-Sites im Dark Web zu veröffentlichen, die zunehmend eine Schlüsselkomponente ihrer Erpressungsversuche darstellen.
Eine weitere Erpressungstaktik, die wir in immer mehr Ransomware-Fällen beobachten, ist die Belästigung. Gruppen von Ransomware-Bedrohungsakteuren zielen mit Drohungen und unerwünschten Mitteilungen auf bestimmte Personen im Unternehmen ab, häufig auf die Führungsebene.
Ende 2022 war die Belästigung ein Faktor in etwa 20 % der Ransomware-Fälle. Zum Vergleich: Mitte 2021 war Belästigung in weniger als 1 % der Ransomware-Fälle von Unit 42 ein Faktor.
2. Erpresserbanden sind opportunistisch – es gibt jedoch Muster bei den Organisationen, die sie angreifen.
Nach einer Analyse von Leak-Sites im Dark Web war die Industrie im Jahr 2022 mit 447 kompromittierten Unternehmen, die auf Leak-Sites veröffentlicht wurden, die am häufigsten angegriffene Branche.
Unit 42 geht davon aus, dass dies darauf zurückzuführen ist, dass in dieser Branche häufig veraltete Software eingesetzt wird, die nicht regelmäßig oder einfach aktualisiert oder gepatcht wird – ganz zu schweigen von der geringen Toleranz der Branche gegenüber Ausfallzeiten.
Laut den Daten von Leak-Sites waren Unternehmen mit Sitz in den Vereinigten Staaten am stärksten betroffen: 42 % der beobachteten Leaks im Jahr 2022 betrafen sie.
3. Große, multinationale Organisationen können lukrative Ziele für Bedrohungsakteure sein
Angriffe auf die größten Organisationen der Welt machen einen kleinen, aber bemerkenswerten Prozentsatz der öffentlichen Erpressungsfälle aus. Im Jahr 2022 waren 30 Organisationen auf der Forbes Global 2000-Liste öffentlich von Erpressungsversuchen betroffen. Seit 2019 wurden bei mindestens 96 dieser Organisationen vertrauliche Dateien im Rahmen von Erpressungsversuchen in irgendeiner Form öffentlich gemacht.
Vorhersagen, was im kommenden Jahr von Erpressungen zu erwarten ist
Die Experten von Unit 42 haben Vorhersagen darüber erstellt, was wir im kommenden Jahr von solchen Erpressergruppen zu erwarten haben. Unsere Vorhersagen für 2023 beinhalten:
- Eine umfangreiche Cloud-Ransomware-Kompromittierung
- Ein Anstieg der Erpressungen im Zusammenhang mit Insider-Bedrohungen
- Ein Anstieg politisch motivierter Erpressungsversuche
- Der Einsatz von Ransomware und Erpressung zur Ablenkung von Angriffen, die auf die Infizierung der Lieferkette oder von Quellcode abzielen
Empfehlungen zur Verbesserung der Ransomware- und Erpressungsvorbereitung
Erstellen Sie ein Playbook für Mehrfach-Erpressungen
Während eines aktiven Angriffs ist die schnelle Unterstützung durch Ihren Incident Response-Partner und einen externen Rechtsbeistand von entscheidender Bedeutung. Ein umfassender Reaktionsplan mit entsprechenden Protokollen für die Krisenkommunikation verringert die Unsicherheiten bei der Schadensbegrenzung erheblich.
Es ist wichtig zu wissen, welche Interessengruppen einzubeziehen sind und wie die Entscheidungen zeitnah getroffen werden (z. B. ob gezahlt werden soll oder nicht, oder wer befugt ist, Zahlungen zu genehmigen).
Der Kommunikationsplan sollte auch abdecken, was zu tun (oder zu vermeiden) ist, wenn Mitarbeiter oder Kunden belästigt werden. Die Mitarbeiter einer Organisation sollten für die Belästigung durch Ransomware sensibilisiert werden, damit sie über die Tools und Prozesse verfügen, die sie bei einem aktiven Vorfall anwenden können.
Unternehmen sollten eine Post-Mortem-Bewertung der Kompromittierung durchführen, um sicherzustellen, dass alle verbliebenen Hintertüren oder andere Indikatoren für eine Kompromittierung (z. B. geplante Aufgaben oder Tätigkeiten) entfernt worden sind. Dadurch wird sichergestellt, dass der Bedrohungsakteur nach einem ersten Einbruch nicht einfach einen Folgeangriff durchführen kann.
Be the first to comment