Angriffe mit neuer Taktik

Statt Dateien auf einzelnen Geräten zu verschlüsseln, haben es Angreifer auf Netzwerkfreigabe-Dateien in IT-Umgebungen von Unternehmen und in der Public Cloud abgesehen. Das ist ein völlig neuer Ansatz bei Ransomware-Angriffen. [...]

Ransomware-Angriffe nehmen insgesamt zwar ab, doch das Schadenpotenzial bleibt hoch. Die Akteure gehen zunehmend zielgenauer und effizienter vor. So ermöglicht ihnen die Kompromittierung der Netzwerkfreigabe die Verschlüsselung von gemeinsam genutzten Dateien auf Netzwerkservern. Dies gilt insbesondere für Dateien, die bei IaaS-Cloud-Anbietern (Infrastructure-as-a-Service) gespeichert sind. Die Cyberangreifer müssen zuvor die Sicherheitsmaßnahmen am Netzwerkperimeter umgehen, was ihnen häufig gelingt. Auf der Suche nach geschäftskritischen Netzwerkfreigabe-Dateien erfolgt dann die Auskundschaftung des Netzwerks. Durch die Verschlüsselung dieser Dateien, auf die viele Geschäftsanwendungen zugreifen, erzielen die Angreifer einen großen Effekt. Dass die betroffenen Unternehmen auf die Lösegeldforderung eingehen, wird dadurch wahrscheinlicher.
Vectra zeigt in seinem aktuellen »Spotlight Report on Ransomware« verschiedene Entwicklungen dieser Cyberbedrohung auf. Die von Unternehmen freiwillig zur Verfügung gestellten Daten wurden von Januar bis Juni 2019 im Netzwerkverkehr zwischen mehr als vier Millionen Workloads und Geräten in Clouds, Rechenzentren und Unternehmensumgebungen gesammelt. Die Analyse dieser Metadaten liefert ein besseres Verständnis für das Verhalten und die Trends von Angreifern sowie für drohende Geschäftsrisiken.

Finanz- und Versicherungsbranche steht hoch im Kurs

Aufgeschlüsselt nach betroffenen Branchen, in denen Angriffe auf Netzwerkdatei-Ressourcen stattfanden, zeigt sich ein hoher Prozentsatz von Finanz- und Versicherungsunternehmen (35 Prozent), gefolgt vom Gesundheitswesen (18 Prozent) und der Energieversorgung (17 Prozent).
Was die geografischen Hotspots in der EMEA-Region angeht, war Deutschland im beobachteten Zeitraum mit großem Abstand das Top-Ziel von Ransomware-Angriffen auf Netzwerkfreigabe-Dateien, mit einem Anteil von 42 Prozent. An zweiter Stelle landete die Schweiz (26 Prozent), gefolgt von Großbritannien (18 Prozent), Dänemark (8 Prozent) und Saudi-Arabien (2 Prozent). Eine noch geringere Anzahl dieser Angriffe wurde in Österreich und Spanien verzeichnet, während in Ungarn und Norwegen nur marginale Aktivitäten nachzuweisen waren, was sich jederzeit ändern kann, wenn die Cyberkriminellen einen neuen »Markt« für sich entdecken.

Angreifer gehen gezielt vor

Ransomware-Angriffe sind nicht nur schnell, sondern auch einfacher und lukrativer als das Stehlen und Verkaufen von Kreditkartendaten oder persönlichen Daten, die im Laufe der Zeit an Wert verlieren. Hinzukommt die diskrete Zahlungsabwicklung via Kryptowährung, die anonym abläuft und schwer nachzuverfolgen ist. All dies erklärt, warum bei Cyberkriminellen das saubere, unkomplizierte Geschäftsmodell von Ransomware nach wie vor hoch im Kurs steht.
Die Cyberkriminellen nehmen bevorzugt Unternehmen ins Visier, die am ehesten größere Lösegelder zahlen würden, um wieder Zugriff auf ihre Dateien zu erhalten. Die Kosten für Ausfallzeiten aufgrund einer Unterbrechung des Geschäftsbetriebs, die Unfähigkeit zur Wiederherstellung gesicherter Daten und die drohenden Reputationsschäden sind für Unternehmen, die ihre Daten in der Cloud speichern, besonders gravierend.
Viele Unternehmen haben noch dazu einen problematischen Mangel an Cybersicherheitskenntnissen. Die Auswirkungen werden bei schnelllebigen Ransomware-Angriffen sehr deutlich. Es gibt einfach nicht genug ausgebildete Sicherheitsfachleute, um rund um die Uhr Systeme zu scannen, nach Bedrohungen zu suchen und auf Vorfälle zu reagieren.

KI-gestützte Erkennung und Reaktion

Wenn Unternehmen bösartige Verhaltensweisen frühzeitig im Angriffszyklus erkennen, können sie die Anzahl der mit Ransomware verschlüsselten Dateien begrenzen, die Verbreitung des Angriffs stoppen und einen katastrophalen Geschäftsausfall verhindern. Dies gilt gerade im Fall von Netzwerkfreigabe-Dateien, auf die es die Akteure im Moment besonders abgesehen haben.
Um sich effektiv zu schützen, müssen Unternehmen nach frühen Indikatoren für einen Ransomware-Angriff Ausschau halten. Da die Täter gezielter agieren, kann deren Verweildauer im Netzwerk recht lang sein, bevor Dateien verschlüsselt werden. Von der Erstinfektion bis zum eigentlichen Einsatz der Ransomware führen Angreifer oft lange Zeit ungestört Auskundschaftungen im kompromittierten Netzwerk durch, um festzustellen, welche Systeme besonders geschäftskritisch und damit finanziell attraktiv sind für die Verschlüsselung.
KI kann subtile Indikatoren für Ransomware-Verhalten erkennen und ermöglicht es Unternehmen, weitreichende Schäden zu verhindern. Eine entsprechend ausstaffierte Sicherheitsplattform beschleunigt die Erkennung und Reaktion, indem sie Netzwerk-Metadaten mit dem richtigen Kontext sammelt, anreichert und speichert. Auf diese Weise ist es möglich, versteckte Bedrohungen in Echtzeit zu erfassen, zu verfolgen und zu untersuchen, um schnell reagieren zu können. Entscheidend ist dabei die unternehmensweite Abdeckung von Clouds, Rechenzentren, Benutzern und IoT-Netzwerken. Nur so lässt sich sicherstellen, dass Angreifer sich nicht in einem verborgenen Winkel der heute weitreichenden IT-Umgebung eines Unternehmens verstecken können.

Notfallplan und Prävention ebenso wichtig

Ebenso entscheidend wie die Fähigkeit, derartige Angriffe proaktiv zu erkennen, ist ein dokumentierter und erprobter Notfallplan. Beispielsweise sollten Sicherheitsfachkräfte wissen, dass das Herunterfahren eines mit Malware verschlüsselten File-Servers das System-BIOS zerstören kann, wodurch es nicht mehr wiederherstellbar ist. Maßnahmen wie Netzwerksegmentierung und Hostisolierung sollten in Betracht gezogen werden.
Es ist auch wichtig, den privilegierten Zugriff zu kontrollieren, um zu wissen, welche Konten Zugriff auf kritische Systeme haben. Ransomware kann nur mit den Rechten des Benutzers oder der Anwendung, die es startet, ausgeführt werden. Umfassende Kenntnisse über die Systeme und Benutzer, die auf bestimmte Dienste zugreifen, ermöglichen es, den Missbrauch von privilegierten Zugängen zu überwachen. Dies ist entscheidend, wenn ein Zugang kompromittiert ist, um bereits zu reagieren, lange bevor die Verschlüsselung von Netzwerkdateien stattfindet.

Schutz ist möglich

Ein besserer Schutz auch gegen die neueste Taktik der Ransomware-Banden ist möglich, erfordert aber ein gut durchdachtes Zusammenspiel aus Prävention, proaktivem Handeln mithilfe KI-basierter Erkennung und Reaktion sowie einem Notfallplan für den Fall der Fälle.|AW