Welche Strategie schützt Ihre IT vor Ransomware?
Ransomware – Die größte Bedrohung
Wenn Malware erfolgreich die IT infiltriert, dann ist das Ziel die Erbeutung von Daten, wie z. B. Zugangsdaten, um in der Folge damit Kasse zu machen. Der Begriff Ransomware bezeichnet eine Schadsoftware, die das Ziel hat, Daten von Unternehmen und Organisationen zu verschlüsseln und im Nachgang für die Entschlüsselung der Daten Lösegeld zu fordern. Oft wird gedroht, die Geschäftsdaten im Darknet zu veröffentlichen, was nur durch Lösegeldzahlung zu verhindern sei. Diese Vorgehensweise macht Ransomware für den Angreifer schnell hochprofitabel.
Laut Global Threat Intelligence Report von NTT erreichte Ransomware bis Ende 2021 einen Anteil von 12 % bezogen auf alle Malware-Angriffe. Das ist viermal mehr, als in den zwei Jahren zuvor. Experten gehen davon aus, dass diese Dynamik weiter zunehmen wird. Laut dem Acronis Cyberthreats Report 2022 gehörte Deutschland Ende 2021 zu den drei am häufigsten durch Malware angegriffenen Ländern. Dieser Report sieht Ransomware als «die größte Bedrohung für mittlere Organisationen, einschließlich Behörden und Unternehmen im Gesundheitssektor und in anderen wichtigen Branchen». Alles Gründe, die dafür sprechen, sich näher mit dieser Form von Malware zu beschäftigen.
Wie gelangt Ransomware in Ihre IT-Infrastruktur?
Da Angreifer sofort einen hohen Profit aus einem erfolgreichen Angriff ziehen können, werden Taktiken und Technologien ständig weiterentwickelt. Es gibt jedoch ein grundsätzliches Schema, an dem man Ransomware-Angriffe erkennen kann:
Ransomware gelangt wie Malware über die üblichen Kanäle wie Phishing, Spoofing, ungepatchte Sicherheitslücken, Drive-by-Downloads, Schadsoftware in aktiven Internet-Inhalten auf ein IT-Device in Ihrem Unternehmensnetzwerk.
Um vor Entdeckung durch eine Antivirenlösung sicher zu sein, werden eventuell zusätzlich benötigte Dateien von einem Command and Control Server nachgeladen und die schädliche Startsequenz ausgeführt, bevor sich die initiale Malware selbstständig wieder löscht.
nachgeladen und die schädliche Startsequenz ausgeführt, bevor sich die initiale Malware selbstständig wieder löscht. Das Schadprogramm verteilt sich lateral auf weitere Computer im Netzwerk.
Vor der eigentlichen Verschlüsselung kopiert die Malware geschäftskritische Daten aus dem Netzwerk des Opfers über einen DNS-Tunnel zum Server des Angreifers. Die Datenexfiltration liefert ein zusätzliches Druckmittel, da Unternehmen sich zusätzlich der Gefahr ausgesetzt sehen, dass sensible Unternehmensdaten vom Angreifer weiterverkauft oder veröffentlicht werden. Diese Vorgehensweise ist seit 2020 Standard.
liefert ein zusätzliches Druckmittel, da Unternehmen sich zusätzlich der Gefahr ausgesetzt sehen, dass sensible Unternehmensdaten vom Angreifer weiterverkauft oder veröffentlicht werden. Diese Vorgehensweise ist seit 2020 Standard. Nach einer möglichen Inkubationszeit von teilweise mehreren Tagen beginnt die Ransomware mit der Verschlüsselung von Daten und Datenbanken. Kurz vor der Datenverschlüsselung werden noch Schutzmaßnahmen wie regelmäßige Schattenkopien (Volume Shadow Copy Service), Backups und andere Sicherungs-Dienste gelöscht bzw.deaktiviert.
Summe kombinierter Abwehrmaßnahmen kann schützen
Ransomware-Erpresser haben eigentlich kein Interesse an Ihren Daten. Es geht ihnen einzig und allein um den Erhalt von Lösegeld. In der nicht virtuellen Welt kann die Anzahl der installierten Bewegungsmelder, Zusatzschlösser, Gitter und Alarmanlagen dazu führen, dass Einbrecher sich einfachere Ziele suchen. Virtuelle Angreifer ticken genauso! Ziele gibt es ausreichend und wenn Ihre IT besser geschützt ist, als die Ihrer Mitbewerber, mag das schon einen gewissen Schutz darstellen. Aber es gibt auch noch jene Angreifer, die ohne technische Kenntnisse «Ransomware-as-a-Service» für Malware-Attacken nutzen. Vorgegangen wird dabei dann eher nach dem Trial-and-Error Prinzip.
Hinter Ransomware-Angriffen stecken zwielichtige Organisationen wie REvil, Conti und BlackByte. Wo viel Geld zu verdienen ist, findet man auch Experten, die Technologien ständig verfeinern und neue Sicherheitslücken in kürzester Zeit ausnutzen. Technische Maßnahmen wie Antivirensoftware, Log-Management & SIEM, Firewalls, Patch-Management, Endpoint Detection & Response (EDR), Network Detection & Response (NDR) sind hilfreich. Aber wirklich schützen werden sie Sie nur, wenn Daten aus unterschiedlichen Quellen korreliert werden. Dazu benötigen Sie ein konfiguriertes SOC (Security Operations Center) oder ISMS (Information Security Management System) in denen die Informationen aus unterschiedlichen Quellen erfasst werden. Ransomware-Angriffe schlummern oft über mehrere Tage in Ihrem Netzwerk und die Angriffstechniken verändern sich ständig. Das macht die Erkennung mit rein technischen Maßnahmen komplex. Zusätzliche organisatorische Maßnahmen wie Sicherheitsschulungen und Verhaltensregeln für Mitarbeiter sind hier mehr als wünschenswert, weil eine gewisse Skepsis auch gegen Zero-Day Malware wirkungsvoll sein kann.
Viel hilft viel: Miteinander kombinierte technische Sicherheitsmaßnahmen und eine Portion gesunder Menschenverstand bieten bereits einen guten Schutz vor Angriffen mit Ransomware. Dennoch: durch neue Angriffstechniken können die Abwehrmaßnahmen oder der Mensch vor dem PC rasch versagen. Das schwächste Glied Ihre Abwehrkette kann Ihre IT rasch zu Fall bringen, sofern nicht alle möglichen Gegenmaßnahmen ausgeschöpft werden. Dieses Risiko ist bei der steigenden Anzahl von Ransomware-Angriffen und den möglichen Kosten nicht ausreichend abgesichert!
Lesen Sie dazu auch unseren Blogbeitrag Cybersecurity & Schwachstelle Mensch.
Neun Tipps zur Verhinderung von Ransomware-Angriffen
Ransomware vermeiden
Es gibt auch eine gute Nachricht: Bei den heutigen ausgeklügelten, mehrstufigen Ransomware-Angriffen haben potenzielle Opfer/Organisationen mehrere Möglichkeiten, einen Ransomware-Angriff zu stoppen, bevor Daten gestohlen oder Computer/Dateien gesperrt werden. Selbstverständlich wäre es optimal, einen Angreifer zu stoppen, bevor er mit seiner Mission überhaupt Fuß fassen kann. Aber selbst wenn er doch eindringt, ist es von entscheidender Bedeutung, frühe Phasen wie die Netzwerkentdeckung, Befehls- und Kontrollkommunikation, seitliche Bewegungen, Datensammlung und -bereitstellung, Exfiltration und Verschlüsselung zu erkennen. Im Folgenden finden Sie Tipps zum Schutz vor Ransomware und wie Sie am besten auf einen Ransomware-Angriff reagieren.
9 Tips To Reduce Ransomware Risk
1. Klicken Sie niemals auf ungeprüfte Links
Sie sollten einen Link in einer Spam-E-Mail oder auf einer fremden Website ignorieren. Hacker verbreiten Ransomware häufig über einen schädlichen Link, der einen Malware-Download auslöst. Sobald die Malware auf Ihrem Computer installiert ist, kann sie Ihre Daten verschlüsseln und diese unter Verschluss halten, wodurch nur jemand mit einer Entschlüsselung auf sie zugreifen kann. Allerdings muss die Malware erst auf Ihren Computer gelangen, wobei die gängigste Methode zur Verbreitung von Ransomware über einen schädlichen Link erfolgt. Ungeprüfte Links sollten besser nicht verwendet werden.
2. E-Mails auf Malware scannen
Um Ransomware-Viren oder andere Malware zu stoppen, muss zunächst die E-Mail-Kommunikation überprüft werden. Tools zum Scannen von E-Mails können oft schädliche Software erkennen. Nachdem der Scanner Malware erkannt hat, kann die E-Mail gelöscht werden, wodurch sie nicht einmal Ihren Posteingang erreicht. Typischerweise ist die Malware in der E-Mail in einem Anhang oder in einer Datei im Text der E-Mail eingebettet. Es ist bekannt, dass Hacker Bilder einfügen, die harmlos erscheinen, aber wenn Sie auf das Bild klicken, wird Ransomware auf Ihrem Computer installiert. Das Scannen von E-Mails mit dieser Art von Dateien kann verhindern, dass Ihr Gerät (oder andere Geräte in Ihrem Netzwerk) infiziert werden.
3. Verwenden von Firewalls und Endgeräteschutz
Firewalls können eine gute Lösung sein, wenn Sie herausfinden wollen, wie Sie Ransomware-Angriffe stoppen können. Firewalls scannen den von beiden Seiten eingehenden Datenverkehr und untersuchen ihn auf Malware und andere Bedrohungen. Auf diese Weise kann eine Firewall feststellen, woher eine Datei stammt, wohin sie unterwegs ist, und andere Informationen über ihren Übertragungsweg nutzen, um zu erkennen, ob sie möglicherweise Ransomware enthält. Darüber hinaus kann eine Next-Generation Firewall (NGFW) mithilfe von Deep Packet Inspection (DPI) den Inhalt der Daten selbst untersuchen, um nach Ransomware zu suchen und dann jede Datei zu löschen, die diese enthält. Mit dem Endgeräteschutz werden einzelne Endgeräte gegen Bedrohungen abgeschirmt. Es gibt bestimmte Arten von Datenverkehr, die anfälliger für Bedrohungen sind, und der Endgeräteschutz kann Ihr Gerät vor dem Kontakt mit dieser Art von Daten schützen. Außerdem können Hacker schädliche Anwendungen nutzen, um Ihre Endgeräte mit Ransomware zu infizieren. Der Endgeräteschutz verhindert, dass bestimmte Endgeräte diese Art von Anwendungen ausführen.
4. Downloads nur von vertrauenswürdigen Seiten
Hacker platzieren Malware häufig auf einer Website und nutzen dann Inhalte oder Social Engineering, um einen Benutzer dazu zu bringen, innerhalb der Website zu klicken. Beim Social Engineering wird Druck auf den Benutzer aufgebaut, in der Regel in Form einer Verängstigung, um ihn zu einer gewünschten Handlung zu bewegen – in diesem Fall zum Klicken auf einen schädlichen Link. In vielen Fällen mag der Link selbst harmlos aussehen. Wenn Sie mit der Website nicht vertraut sind oder wenn der Uniform Resource Locator (URL) verdächtig aussieht, obwohl es sich um eine vertrauenswürdige Website zu handeln scheint, sollten Sie die Finger davon lassen. Cyber-Kriminelle erstellen häufig gefälschte Websites, die wie vertrauenswürdige Websites aussehen. Überprüfen Sie die URL einer Website immer zweimal, bevor Sie etwas von dieser herunterladen.
5. Erstellen Sie Sicherungskopien von wichtigen Daten
Ransomware-Angreifer missbrauchen gerne Benutzer, die für den Betrieb ihres Unternehmens auf bestimmte Daten angewiesen sind. Da die Daten für den täglichen Betrieb eine wichtige Rolle spielen, halten es die Opfer oft für sinnvoller, Lösegeld zu zahlen, damit sie wieder Zugang zu ihren Daten erhalten. Sie können dieser Versuchung entgehen, indem Sie regelmäßig Sicherungskopien Ihrer wichtigen Daten erstellen. Wenn Ihre Daten auf einem Gerät oder an einem Ort gesichert sind, auf den Sie mit Ihrem Computer nicht zugreifen müssen, können Sie die benötigten Daten im Falle eines erfolgreichen Angriffs einfach wiederherstellen. Es ist wichtig, dass Sie alle kritischen Daten regelmäßig sichern, da die vorhandenen Daten im Laufe der Zeit möglicherweise nicht mehr ausreichen, um einen kontinuierlichen Geschäftsbetrieb zu gewährleisten.
6. Verwenden Sie ein VPN bei der Nutzung von öffentlichem WLAN
Öffentliches WLAN ist praktisch, da der Zugang leicht und häufig ohne Passwort möglich ist. Leider ist es für Hacker genauso einfach, ein öffentliches WLAN zu nutzen, um Ransomware zu verbreiten. Wenn Sie sich in einem öffentlichen WLAN-Netzwerk befinden, sollten Sie ein Virtual Private Network (VPN) verwenden. Ein VPN verschlüsselt die Daten, die zu und von Ihrem Gerät fließen, während Sie mit dem Internet verbunden sind. Tatsächlich bildet das VPN einen „Tunnel“, durch den Ihre Daten laufen. Um den Tunnel betreten zu können, muss ein Benutzer einen Codierungsschlüssel besitzen. Außerdem müsste ein Hacker die Daten, die durch den Tunnel laufen, zuerst entschlüsseln, um diese lesen zu können. Um Ransomware zu blockieren, hält ein VPN Außenstehende davon ab, sich in Ihre Verbindung einzuschleichen und Malware in Ihrem Pfad oder auf Ihrem Computer zu platzieren.
7. Verwenden Sie Sicherheitssoftware
Sicherheitssoftware kann ein wirksames Mittel zum Schutz vor Ransomware sein. Daher wird sie häufig als eine der besten Methoden zum Schutz vor Ransomware genannt. Sicherheitssoftware überprüft die Dateien, die aus dem Internet auf Ihren Computer übertragen werden. Sobald eine schädliche Datei erkannt wurde, verhindert die Software, dass sie auf Ihren Computer gelangt. Die Sicherheitssoftware verwendet die Profile bekannter Bedrohungen und schädlicher Dateitypen, um herauszufinden, welche davon für Ihren Computer gefährlich sein könnten. Um auf dem neuesten Stand zu bleiben, wird Sicherheitssoftware häufig mit regelmäßigen kostenlosen Updates geliefert. Diese können vom Anbieter automatisch installiert werden. Sobald der Anbieter von neuen Bedrohungen erfährt, werden deren Profile in das Update aufgenommen. Solange Sie sicherstellen, dass Ihre Software regelmäßig aktualisiert wird, haben Sie den besten Schutz, den die Software bieten kann.
8. Verwenden Sie keine unbekannten USB-Geräte
Auf einem USB-Gerät (Universal Serial Bus) kann eine schädliche Datei gespeichert sein, die Ransomware enthalten könnte. Unabhängig davon, ob sich auf dem USB-Gerät eine ausführbare Datei befindet, die Ihren Computer infizieren kann, oder ob die Datei automatisch gestartet wird: Sobald Sie das USB-Gerät einstecken, kann ein scheinbar harmloses USB-Gerät in kürzester Zeit Ihren Computer übernehmen. Cyber-Kriminelle können ein USB-Gerät einfach herumliegen lassen, weil sie wissen, dass jemand in Versuchung gerät, es in die Hand zu nehmen und mit seinem Computer zu verbinden. Der Kriminelle kann sogar ein scheinbar harmloses Etikett auf das Gerät drucken und es so aussehen lassen, als sei es ein Werbegeschenk von einem seriösen Unternehmen. Wenn Sie jemals ein USB-Gerät finden, schließen Sie es nicht an Ihren Computer an. Am sichersten sind USB-Geräte, die in einem Geschäft gekauft wurden und in einer intakten Verpackung versiegelt sind.
9. Vermeiden Sie die Weitergabe persönlicher Daten
Mit den richtigen persönlichen Daten können Cyber-Kriminelle eine Vielzahl von Fallen stellen, um Ransomware auf Ihrem Computer einzuschleusen oder Sie dazu zu bewegen, diese selbst auf Ihrem Gerät zu installieren. Viele Menschen verwenden für ihre Computer die gleichen Passwörter wie für Websites und Konten. Ein Cyber-Krimineller kann Ihre persönlichen Daten verwenden, um Zugang zu einem Konto zu erhalten, und dann dieses Passwort verwenden, um in Ihren Computer einzudringen und Ransomware zu installieren. Wenn Sie es vermeiden, persönliche Daten preiszugeben, erschweren Sie es einem Angreifer, diese Art von Angriffen durchzuführen. Dies gilt insbesondere dann, wenn er einen anderen Weg finden müsste, um Ihre Passwörter oder andere Kontoinformationen herauszufinden. Persönliche Daten umfassen auch die Namen von Personen, Haustieren oder Orten, die Sie als Antworten auf Sicherheitsfragen für Ihre Konten verwenden.
Wie man sich gegen die wachsende Bedrohung durch Ransomware-as-a-Service verteidigt
Da Cyberkriminelle ihre Methoden verfeinern und ihre Angriffsmöglichkeiten ausweiten, wenden sich viele an Ransomware-as-a-Service (RaaS). RaaS-Gruppen waren für 60 % der Ransomware-Angriffe in den letzten 18 Monaten verantwortlich. Mit der wachsenden Beliebtheit von RaaS stellen diese kriminellen Gruppen eine erhebliche Bedrohung für Unternehmen in allen Branchen dar. Um ihre Mitarbeiter und Prozesse vor dieser wachsenden Bedrohung zu schützen, müssen Unternehmen zunächst verstehen, wie diese Gruppen vorgehen.
Das Ransomware-As-A-Service-Modell
Ransomware-as-a-Service ist ein Modell, bei dem Angreifer oder ihre Partner einen Dienstleister für den Zugang zu Ransomware-Tools bezahlen. In gewissem Sinne ähnelt das Modell dem Paradigma Software-as-a-Service (SaaS). Wie bei SaaS bezahlt ein RaaS-Kunde für einen Technologiedienst, den er auslagern möchte. Die Dienstleister stellen dann die benötigte Software zur Verfügung, damit die angeschlossenen Unternehmen ihre eigenen Angriffe starten können.
Die Anbieter sind für die Entwicklung eines RaaS-Kits und dessen Lizenzierung an ein Ransomware-Partnerunternehmen verantwortlich. Sobald sie ein leistungsfähiges Malware-System entwickelt haben, suchen sie nach Partnern, die an der Nutzung der Technologie interessiert sind. Die Partner können sich in der Zwischenzeit auf Aufgaben wie die Kompromittierung von Zielen oder die Verbreitung der Ransomware konzentrieren, ohne sich um die Malware-Entwicklung kümmern zu müssen.
Einige Partner zahlen für den Dienst auf monatlicher Basis. Andere geben dem RaaS-Anbieter einfach eine Provision von ihren Gewinnen, und die Prozentsätze werden in der Regel beim Kauf der Lizenz im Voraus festgelegt. Sobald das Geschäft abgeschlossen ist, erhält der Partner alle Einführungsinformationen, die er benötigt, um die Malware gegen seine Opfer einzusetzen.
Wichtigste RaaS-Organisationen
In den letzten Jahren hat sich eine Reihe krimineller Gruppen als wichtige RaaS-Anbieter etabliert. Durch die Entwicklung von Schadsoftware und deren Verkauf an Partner haben diese Gruppen erhebliche Gewinne erzielt.
Zu den prominenten Gruppen gehören:
DarkSide/SchwarzKatze/ALPHV
REvil/Sodinokibi
Conti
LockBit
Maze/Egregor
Mit ihren unterschiedlichen Programmen und Praktiken stellt jede Gruppe eine einzigartige Bedrohung für ein Unternehmen dar. Indem sie erfahren, wie diese kriminellen Unternehmen operieren, können Unternehmen ihre Sicherheitslage verbessern und sich gegen RaaS-basierte Angriffe schützen.
1. DarkSide Umbenennung in BlackCat/ALPHV
DarkSide war jahrelang ein bedeutender RaaS-Anbieter mit einer langen Liste von Opfern in aller Welt. Die Gruppe war dafür bekannt, Phishing-E-Mails mit eingebetteten Links und bösartigen Anhängen als Angriffsvektor zu nutzen. Sobald die DarkSide-Malware Zugang zu einer Zielumgebung erlangt hatte, konnte sie wichtige Anmeldeinformationen sammeln und sensible und wertvolle Daten aus dem Unternehmen exfiltrieren.
Nach dem berüchtigten Angriff auf die Colonial Pipeline, eine große US-amerikanische Treibstoffpipeline, glaubte man, DarkSide sei verschwunden, nachdem seine Server beschlagnahmt und seine Kryptowährungsfonds abgezogen worden waren. Viele der Entwickler tauchten später als BlackCat/ALPHV wieder auf. Die neue Gruppe entwickelte ihre Malware in der Programmiersprache Rust. Der neueste Ansatz der Cyberkriminellen umfasst eine Vielzahl neuer, ausgefeilter Funktionen, wie die Möglichkeit, verschiedene Verschlüsselungsroutinen zu verwenden, sich zwischen Computern zu verbreiten, virtuelle Maschinen und ESXi-VMs zu zerstören und ESXi-Snapshots automatisch zu löschen, um eine Wiederherstellung zu verhindern.
Anfang 2022 wurde mit den Methoden der ALPVH ein Angriff auf Swissport gestartet, ein Luftfahrtunternehmen, das Flughäfen in über 50 Ländern logistisch unterstützt. Die Angreifer erbeuteten beträchtliche Mengen an sensiblen Daten und drohten, die Informationen freizugeben, wenn kein Lösegeld gezahlt würde. Sie kündigten außerdem an, dass sie bereit sind, die gesamten 1,6 TB an Daten an einen potenziellen Käufer zu verkaufen.
2. REvil/Sodinokibi
In vielerlei Hinsicht ähnelt die REvil-Malware den meisten anderen RaaS-Programmen. Sobald sie erfolgreich in das Netzwerk eines Unternehmens eingedrungen ist, meist durch Phishing, Brute-Force-Angriffe und Server-Exploits, erfasst und verschlüsselt sie wichtige Daten. REvil ahmt auch andere RaaS-Gruppen nach, indem es eine Leak-Site betreibt, auf der sensible Daten veröffentlicht werden können, um den Druck auf das Opfer zu erhöhen und die sofortige Zahlung eines Lösegelds zu erzwingen. Allein in den ersten sechs Monaten des Jahres 2021 lag die durchschnittliche Zahlungsforderung bei etwa 2,25 Millionen US-Dollar.
REvil zeichnet sich durch eine Reihe spezieller Funktionen aus, die darauf abzielen, die Privilegien zu erweitern und mehr Daten zu extrahieren. Die Malware meldet sich häufig mit einer Administrator-Anmeldeaufforderung oder startet Windows im abgesicherten Modus neu, um Dateien zu verschlüsseln.
In der Vergangenheit nutzten die REvil-Partner Spam-Kampagnen, um bösartige Dokumente und Exploit-Kits zu verbreiten, die auf bekannte Schwachstellen auf ungepatchten Rechnern abzielten. In den letzten Monaten haben einige bösartige Akteure begonnen, Spam-Kampagnen zu nutzen, um den Qakbot-Wurm zu verbreiten.
3. Conti
Conti trat erstmals Anfang 2020 in Erscheinung und hat seitdem seinen Mitgliedern geholfen, mehrere Millionen Dollar von über 400 Organisationen zu erpressen. Zu den häufigsten Angriffsvektoren gehören gestohlene oder geknackte RDP-Anmeldedaten, Phishing-E-Mails mit bösartigen Links oder Anhängen sowie die Ausnutzung von Software-Schwachstellen.
Seine Entwickler, von denen man annimmt, dass sie in den vergangenen Jahren mit Ryuk-Malware gearbeitet haben, haben ein Schadprogramm entwickelt, das ebenso schnell wie umfassend ist. Die Malware verschlüsselt die Daten der Opfer mit dem AES-256-Verschlüsselungsschlüssel und verwendet außerdem einen Multithreading-Ansatz, um die Ausführung viel schneller als bei anderen Malware-Familien zu machen.
Die Geschwindigkeit des Conti RaaS-Programms hat es bei Cyberkriminellen besonders beliebt gemacht. Sobald die erste Infiltration stattgefunden hat, kann sich die Verschlüsselung von einem Gerät zum anderen ausbreiten, bevor Cybersecurity-Experten Zeit haben zu reagieren.
4. LockBit
LockBit 2.0, die neueste Version des berüchtigten RaaS-Anbieters, ist dafür bekannt, dass er erfolgreich doppelte Erpressungstechniken einsetzt. Die Malware kann Geräte in Windows-Domänen schnell verschlüsseln, indem sie die Gruppenrichtlinien von Active Directory (AD) missbraucht, so dass die Angreifer hohe Lösegelder fordern können. Die Cyberkriminellen unterhalten auch eine Darkweb-Site, auf der sie die letzten Opfer auflisten und angeben, wie viel Zeit noch bleibt, bis ihre Daten freigegeben werden. Wenn der Countdown abgelaufen ist, werden die gestohlenen Daten zum Download bereitgestellt.
In einem prominenten Fall forderten die Angreifer 50 Millionen Dollar von der globalen Beratungsfirma Accenture. Zu den Ländern, die am häufigsten von LockBit-Angriffen betroffen sind, gehören Italien, Taiwan, Chile und das Vereinigte Königreich.
5. Maze/Egregor
Jahrelang stand die Maze-Gruppe an der Spitze der neuen Entwicklungen in der Welt der RaaS. Sie waren die ersten Bedrohungsakteure, die eine spezielle Leak-Site einrichteten und eine doppelte Erpressungstaktik anwandten - eine Praxis, die inzwischen für RaaS-Organisationen üblich geworden ist. Die Partner der Gruppe verbreiteten die Malware meist über Phishing-Kampagnen mit Downloadern, die Cobalt Strike Beacon installierten.
Nach der Ankündigung, den Betrieb im September 2020 einzustellen, hat sich die Maze-Gruppe in Egregor umbenannt. Mit einer Technologie, die den Ansatz von Conti widerspiegelt, hat Egregor eine äußerst erfolgreiche kriminelle Operation geschaffen. Wie Conti nutzen auch die Partner E-Mail-Phishing-Kampagnen mit bösartigen Dokumenten, um den Qakbot-Wurm zu verbreiten, und ergänzen diesen Ansatz häufig mit externen Exploits gegen RDP.
Wie man RaaS-Angriffe verhindert
Die Verhinderung von RaaS-bezogenen Kompromittierungen erfordert einen proaktiven Ansatz für die Cybersicherheit. Zuallererst müssen Unternehmen erkennen, dass die meisten Vorfälle mit einer bösartigen E-Mail beginnen. Malware kann nur dann Schaden anrichten, wenn es ihr gelingt, in das Netzwerk eines Unternehmens einzudringen, und E-Mail ist ein Hauptangriffsvektor. Um dieses Risiko zu mindern, sind sowohl menschliche als auch technologische Lösungen erforderlich. Indem sie ihre Mitarbeiter darin schulen, verdächtige Nachrichten zu erkennen, und ihre Abwehr mit Sicherheitsprogrammen mit maschinellem Lernen verstärken, können sich Unternehmen besser gegen RaaS-basierte Angriffe schützen.
Damit die Sensibilisierung der Mitarbeiter wirksam ist, muss sie kontinuierlich erfolgen. Bösewichte entwickeln ihre Methoden ständig weiter, und die Unternehmen müssen ihre Mitarbeiter über die neuesten Bedrohungen auf dem Laufenden halten. Unternehmen können auch überlegen, welche Mitarbeiter am ehesten von Phishing-Angriffen betroffen sind, und diese dann für zusätzliche Schulungen anmelden.
Um sicherzustellen, dass sie über den nötigen Schutz verfügen, sollten Unternehmen ihre Mitarbeiterschulungen durch maschinenintelligente E-Mail-Sicherheitsprogramme ergänzen. Solche Programme können Abweichungen von typischen Kommunikationsmustern innerhalb eines Unternehmens erkennen und so E-Mail-Bedrohungen identifizieren und stoppen, bevor sie die Posteingänge der Mitarbeiter erreichen. Mit einer kontinuierlichen Schulung des Sicherheitsbewusstseins der Mitarbeiter und dem Einsatz erstklassiger E-Mail-Sicherheitssysteme können Unternehmen potenzielle Ransomware-Angriffe abwehren.
Um zu erfahren, wie die maschinenintelligente Software von xorlab Ihr Unternehmen vor Ransomware-Angriffen schützen kann, fordern Sie noch heute eine Demo an.
