Angriffe mit neuer Taktik

Statt Dateien auf einzelnen Geräten zu verschlüsseln, haben es Angreifer auf Netzwerkfreigabe-Dateien in IT-Umgebungen von Unternehmen und in der Public Cloud abgesehen. Das ist ein völlig neuer Ansatz bei Ransomware-Angriffen. [...]

Die Welt ist voll von Softwareanwendungen, die entweder über das Internet genutzt oder von Websites, dem Apple App Store oder Google Play heruntergeladen werden können. (c) Adobestock

Ransomware-Angriffe nehmen insgesamt zwar ab, doch das Schadenpotenzial bleibt hoch. Die Akteure gehen zunehmend zielgenauer und effizienter vor. So ermöglicht ihnen die Kompromittierung der Netzwerkfreigabe die Verschlüsselung von gemeinsam genutzten Dateien auf Netzwerkservern. Dies gilt insbesondere für Dateien, die bei IaaS-Cloud-Anbietern (Infrastructure-as-a-Service) gespeichert sind. Die Cyberangreifer müssen zuvor die Sicherheitsmaßnahmen am Netzwerkperimeter umgehen, was ihnen häufig gelingt. Auf der Suche nach geschäftskritischen Netzwerkfreigabe-Dateien erfolgt dann die Auskundschaftung des Netzwerks. Durch die Verschlüsselung dieser Dateien, auf die viele Geschäftsanwendungen zugreifen, erzielen die Angreifer einen großen Effekt. Dass die betroffenen Unternehmen auf die Lösegeldforderung eingehen, wird dadurch wahrscheinlicher.
Vectra zeigt in seinem aktuellen »Spotlight Report on Ransomware« verschiedene Entwicklungen dieser Cyberbedrohung auf. Die von Unternehmen freiwillig zur Verfügung gestellten Daten wurden von Januar bis Juni 2019 im Netzwerkverkehr zwischen mehr als vier Millionen Workloads und Geräten in Clouds, Rechenzentren und Unternehmensumgebungen gesammelt. Die Analyse dieser Metadaten liefert ein besseres Verständnis für das Verhalten und die Trends von Angreifern sowie für drohende Geschäftsrisiken.

Finanz- und Versicherungsbranche steht hoch im Kurs


Aufgeschlüsselt nach betroffenen Branchen, in denen Angriffe auf Netzwerkdatei-Ressourcen stattfanden, zeigt sich ein hoher Prozentsatz von Finanz- und Versicherungsunternehmen (35 Prozent), gefolgt vom Gesundheitswesen (18 Prozent) und der Energieversorgung (17 Prozent).
Was die geografischen Hotspots in der EMEA-Region angeht, war Deutschland im beobachteten Zeitraum mit großem Abstand das Top-Ziel von Ransomware-Angriffen auf Netzwerkfreigabe-Dateien, mit einem Anteil von 42 Prozent. An zweiter Stelle landete die Schweiz (26 Prozent), gefolgt von Großbritannien (18 Prozent), Dänemark (8 Prozent) und Saudi-Arabien (2 Prozent). Eine noch geringere Anzahl dieser Angriffe wurde in Österreich und Spanien verzeichnet, während in Ungarn und Norwegen nur marginale Aktivitäten nachzuweisen waren, was sich jederzeit ändern kann, wenn die Cyberkriminellen einen neuen »Markt« für sich entdecken.

Angreifer gehen gezielt vor


Ransomware-Angriffe sind nicht nur schnell, sondern auch einfacher und lukrativer als das Stehlen und Verkaufen von Kreditkartendaten oder persönlichen Daten, die im Laufe der Zeit an Wert verlieren. Hinzukommt die diskrete Zahlungsabwicklung via Kryptowährung, die anonym abläuft und schwer nachzuverfolgen ist. All dies erklärt, warum bei Cyberkriminellen das saubere, unkomplizierte Geschäftsmodell von Ransomware nach wie vor hoch im Kurs steht.
Die Cyberkriminellen nehmen bevorzugt Unternehmen ins Visier, die am ehesten größere Lösegelder zahlen würden, um wieder Zugriff auf ihre Dateien zu erhalten. Die Kosten für Ausfallzeiten aufgrund einer Unterbrechung des Geschäftsbetriebs, die Unfähigkeit zur Wiederherstellung gesicherter Daten und die drohenden Reputationsschäden sind für Unternehmen, die ihre Daten in der Cloud speichern, besonders gravierend.
Viele Unternehmen haben noch dazu einen problematischen Mangel an Cybersicherheitskenntnissen. Die Auswirkungen werden bei schnelllebigen Ransomware-Angriffen sehr deutlich. Es gibt einfach nicht genug ausgebildete Sicherheitsfachleute, um rund um die Uhr Systeme zu scannen, nach Bedrohungen zu suchen und auf Vorfälle zu reagieren.

KI-gestützte Erkennung und Reaktion


Wenn Unternehmen bösartige Verhaltensweisen frühzeitig im Angriffszyklus erkennen, können sie die Anzahl der mit Ransomware verschlüsselten Dateien begrenzen, die Verbreitung des Angriffs stoppen und einen katastrophalen Geschäftsausfall verhindern. Dies gilt gerade im Fall von Netzwerkfreigabe-Dateien, auf die es die Akteure im Moment besonders abgesehen haben.
Um sich effektiv zu schützen, müssen Unternehmen nach frühen Indikatoren für einen Ransomware-Angriff Ausschau halten. Da die Täter gezielter agieren, kann deren Verweildauer im Netzwerk recht lang sein, bevor Dateien verschlüsselt werden. Von der Erstinfektion bis zum eigentlichen Einsatz der Ransomware führen Angreifer oft lange Zeit ungestört Auskundschaftungen im kompromittierten Netzwerk durch, um festzustellen, welche Systeme besonders geschäftskritisch und damit finanziell attraktiv sind für die Verschlüsselung.
KI kann subtile Indikatoren für Ransomware-Verhalten erkennen und ermöglicht es Unternehmen, weitreichende Schäden zu verhindern. Eine entsprechend ausstaffierte Sicherheitsplattform beschleunigt die Erkennung und Reaktion, indem sie Netzwerk-Metadaten mit dem richtigen Kontext sammelt, anreichert und speichert. Auf diese Weise ist es möglich, versteckte Bedrohungen in Echtzeit zu erfassen, zu verfolgen und zu untersuchen, um schnell reagieren zu können. Entscheidend ist dabei die unternehmensweite Abdeckung von Clouds, Rechenzentren, Benutzern und IoT-Netzwerken. Nur so lässt sich sicherstellen, dass Angreifer sich nicht in einem verborgenen Winkel der heute weitreichenden IT-Umgebung eines Unternehmens verstecken können.

Notfallplan und Prävention ebenso wichtig


Ebenso entscheidend wie die Fähigkeit, derartige Angriffe proaktiv zu erkennen, ist ein dokumentierter und erprobter Notfallplan. Beispielsweise sollten Sicherheitsfachkräfte wissen, dass das Herunterfahren eines mit Malware verschlüsselten File-Servers das System-BIOS zerstören kann, wodurch es nicht mehr wiederherstellbar ist. Maßnahmen wie Netzwerksegmentierung und Hostisolierung sollten in Betracht gezogen werden.
Es ist auch wichtig, den privilegierten Zugriff zu kontrollieren, um zu wissen, welche Konten Zugriff auf kritische Systeme haben. Ransomware kann nur mit den Rechten des Benutzers oder der Anwendung, die es startet, ausgeführt werden. Umfassende Kenntnisse über die Systeme und Benutzer, die auf bestimmte Dienste zugreifen, ermöglichen es, den Missbrauch von privilegierten Zugängen zu überwachen. Dies ist entscheidend, wenn ein Zugang kompromittiert ist, um bereits zu reagieren, lange bevor die Verschlüsselung von Netzwerkdateien stattfindet.

Schutz ist möglich


Ein besserer Schutz auch gegen die neueste Taktik der Ransomware-Banden ist möglich, erfordert aber ein gut durchdachtes Zusammenspiel aus Prävention, proaktivem Handeln mithilfe KI-basierter Erkennung und Reaktion sowie einem Notfallplan für den Fall der Fälle.|AW


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*