Mit dem Aufkommen des Trends des „Big Game Hunting“ bei Ransomware (ein vom FBI geprägter Begriff für folgenschwere Ransomware-Angriffe) werden die Kriminellen kreativer bei der Auswahl der Opfer, der Maximierung der Störung und darin, ihre Opfer zur Zahlung von Lösegeld zu bewegen. Bei dieser Taktik geht es darum, wertvolle, hochrangige Ziele zu finden und die Angriffe so zu planen, dass sie einen großen Schaden anrichten.
Opfer sind meist Organisationen, die Ausfälle besonders hart treffen. Das können Anbieter im Bildungs- und Gesundheitswesen oder Behörden sein.
Die Art und Weise, wie Ransomware-Kriminelle Unternehmen erpressen, hat sich seit 2019 dramatisch weiterentwickelt. Neben steigenden Lösegeldforderungen setzen Kriminelle auf zunehmend intensive, kreative und öffentliche Methoden, um Druck auszuüben. Um auf diese neuen Herausforderungen zu reagieren, ist ein umfassender Zero-Trust-Ansatz erforderlich. Dieser soll Angreifern die Möglichkeit nehmen, Angriffsvektoren auszunutzen und sich lateral zu bewegen.
Die Strategien hinter Ransomware-Angriffen ändern sich ständig. Die Angriffe der Kriminellen in den letzten zwei Jahren haben jedoch eines gemeinsam: Ihre Erpressungstaktiken sind folgenreicher und sichtbarer. Es steht immer mehr auf dem Spiel. Es geht nicht mehr nur darum, Dateien zu verschlüsseln. Die Angreifer wollen so schwerwiegende Folgen für das Opfer hervorrufen, dass die Lösegeldzahlung als einzige Option erscheint. So wollen die Angreifer ihren Erfolg erhöhen. Hier sind sieben Taktiken, die Angreifer in letzter Zeit verwendet haben:
Vor 2019 war es selten, dass Kriminelle Daten mit der Absicht stahlen, diese auch weiterzugeben. Doch im dritten Quartal 2021 umfassten bereits 83,3 % aller Angriffe die Androhung von Datenexfiltration, wie eine Analyse belegt. Verschiedene Ransomware-Kartelle haben ihre eigenen Vorstellungen davon, wie sie Verhandlungen führen und ihre Opfer zur Zahlung ermuntern. Einige, wie die Clop-Ransomware-Gruppe, verlangen zwei separate Lösegeldzahlungen: Eine, um den kryptografischen Schlüssel zu erhalten, und eine, um zu verhindern, dass Dateien geleakt werden. Somit muss ein Unternehmen, selbst wenn es über Backups verfügt und seine Daten daher wiederherstellen kann, unter Umständen zahlen, um Rufschädigung oder Geldstrafen wegen Datenschutzverstößen zu vermeiden. Angreifer können auch als Zeichen des guten Willens den Zugriff auf einige Originaldateien wieder erlauben. Das kann als Ransomware-Äquivalent einer kostenlosen Testversion verstanden werden. Oder sie veröffentlichen einen Teil des erbeuteten Materials sofort und den Rest in zeitlichen Abstufungen.
Bei der dreifachen Erpressung nehmen die Angreifer Kontakt zu Kunden, Geschäftspartnern und anderen Dritten auf, die mit dem Opferunternehmen in Verbindung stehen. In einigen Fällen geht es darum, eine Zahlung der Dritten zu verlangen. So geschehen bei einem Angriff auf eine Klinik für Psychotherapie. Die Patienten wurden aufgefordert, zu zahlen, wenn sie nicht möchten, dass die Notizen ihrer Sitzungen online gestellt werden. In anderen Fällen weisen die Kriminellen die Empfänger an, sich mit der Opferorganisation in Verbindung zu setzen und auf die Zahlung des Lösegelds zu drängen. So verlagern sie einen Teil der Bemühungen, ihre Opfer zu nötigen und zur Zahlung zu bewegen.
Nach Angaben des FBI werden einige Unternehmen aufgrund von bevorstehenden Ereignissen wie Fusionen, Übernahmen und Produktankündigungen ins Visier genommen. Die Risiken eines Imageschadens und eines Einbruchs des Aktienwerts machen eine Lösegeldforderung noch verlockender. Das FBI berichtet, dass dies auch bei Fusionen im Rahmen privater Verhandlungen geschieht. Bei der Infiltrierung von Netzwerken versuchen Kriminelle, nichtöffentliche Daten ausfindig zu machen, um Ziele zu identifizieren und Anreize zur Zahlung zu schaffen. Ein Datenleck kann für ein Unternehmen besonders verhängnisvoll sein, wenn es sich um die Veröffentlichung eines Produktentwurfs oder einer Roadmap handelt, da es den Wettbewerbsvorteil zunichte macht. Das FBI stellt fest, dass Angreifer häufig an Feiertagen und Wochenenden zuschlagen, wenn es einfacher ist, Störungen zu verursachen.
Kriminelle überwältigen und belästigen ihre Opfer über mehrere Kanäle. Einige Gruppen nutzen die Informationen, die sie bei der Infiltration eines Netzwerks erhalten haben, um Mitarbeiter anzurufen und per E-Mail zu kontaktieren. So haben Kriminelle, die die Ransomware Egregor einsetzen, aus der Ferne Lösegeldforderungen auf den Druckern der Unternehmen ausgedruckt. Einige verwenden Countdown-Timer, um hervorzuheben, wann ein Lösegeldangebot abläuft oder wann der geforderte Betrag erhöht wird.
In den letzten zwei Jahren sind Dutzende von Websites zur Veröffentlichung gestohlener Daten entstanden. Die Kriminellen stellen auf diesen Seiten Daten von nicht zahlenden Opfern ein oder lassen eine Datei nach der anderen durchsickern, um den Druck während der Verhandlungen zu erhöhen. Die Veröffentlichung personenbezogener Daten verpflichtet die betroffene Organisation, den Verstoß den Behörden zu melden, die möglicherweise Geldstrafen verhängen.
Es gibt sehr unterschiedliche Taktiken, um die Sichtbarkeit eines Angriffs zu erhöhen. So können Angreifer beispielsweise den Zahlungsdruck erhöhen – und ein Unternehmen einem Rechtsstreit um den Datenschutz aussetzen – indem sie Journalisten kontaktieren. Die Gruppe Ragnar Locker machte auf einen Angriff aufmerksam, indem sie mit gestohlenen Zugangsdaten Facebook Werbung kaufte. Einige Ransomware-Gruppen suchen weltweit nach Zahlungen, indem sie die Daten ihrer Opfer versteigern. Eine, die für viele Schlagzeilen sorgte, war die Versteigerung von Kundendaten einer Anwaltskanzlei von Celebrities und Prominenten durch die REvil-Gruppe.
Ein Unternehmen hat bereits mit der Kontaktaufnahme mit den Strafverfolgungsbehörden und betroffenen Kunden, dem Auffinden von Daten-Backups und der Minimierung lateraler Bewegungen mehr als alle Hände voll zu tun. Manche Angreifer setzen jedoch noch eines drauf und starten einen Distributed Denial-of-Service-Angriff oder drohen mit einem solchen. In hektischen Zeiten bedeutet ein überlastetes Netzwerk zusätzlichen Stress. Zusätzliche IT-Ressourcen werden gebunden.
Ransomware gibt es schon seit Jahrzehnten. Warum haben sich die Erpressungstaktiken so rasch verändert?
Kriminelle können nun stärker auf Lösegeldzahlungen drängen, da für die Opfer wesentlich mehr auf dem Spiel steht. Ausfallzeiten müssen unbedingt vermieden werden, da ein Großteil des Lebens online abläuft. Kriminelle wissen, wie störend es ist, wenn sie die Fernverbindungen von Mitarbeitern, den Unterricht von Schülern, Patiententermine, Kundenbestellungen oder andere Aspekte des Tagesgeschäfts beeinträchtigen. Selbst wenn ein Unternehmen über Backups verfügt, die es wiederherstellen kann, kann der Zeitaufwand dafür einen größeren finanziellen Schaden verursachen als die Zahlung des Lösegelds.
Weitere Faktoren für die Entwicklung der Angriffstaktiken in den letzten zwei Jahren sind:
Der Siegeszug von Ransomware-as-a-Service. So wie ein Unternehmen eine Firewall über einen cloudbasierten Dienst kaufen kann, kann jeder Ransomware mieten und einsetzen, unabhängig von seinen technischen Fähigkeiten. Dieses Modell umfasst Pauschalpreise oder die Zahlung eines Prozentsatzes des erhaltenen Lösegeldes. Gleichzeitig macht es die Durchführung eines Angriffes viel einfacher.
Erstaunlich hohe Gewinnmargen. Eine Schätzung beziffert die Gewinnmarge von Ransomware auf 98 %. Im Vergleich zu anderen illegalen Geschäften ist das Risiko, verhaftet oder getötet zu werden, bei einem Ransomware-Angriff wesentlich geringer. Dies ist ein weiterer Grund, weil mehr Angreifer in dieses Geschäft einsteigen.
Verpflichtungen zum Schutz privater Daten. Nach dem Erlass und der Durchsetzung von Datenschutzbestimmungen wie der DSGVO können Datenlecks erhebliche Geldstrafen für die betroffenen Unternehmen nach sich ziehen. Außerdem drohen Klagen von Personen, deren Daten offengelegt wurden. Dies wirkt sich darauf aus, wie Kriminelle ihre Ziele auswählen und Lösegelder kalkulieren. Sie wissen, dass Unternehmen bei der Vorfallsreaktion Kosten-Nutzen-Analysen durchführen werden.
Unternehmen benötigen eine umfassende und vielschichtige Strategie, um Ransomware zu verhindern und einzudämmen. Dies gilt umso mehr, als diese neuen Erpressungstaktiken die möglichen Folgen eines Angriffs verschlimmern.
Eine Ransomware-Kampagne besteht aus mehreren Phasen. Daher gibt es zahlreiche Möglichkeiten, sie zu stoppen. Die Einführung eines Zero Trust-Sicherheitsmodells ist eine Möglichkeit, die Grenzen eines Netzwerks zu verstärken und laterale Bewegungen einzuschränken. Mit diesem Ansatz werden strenge Zugriffskontrollen eingeführt. Keinem Benutzer oder System wird standardmäßig vertraut. Dies verringert die Chancen eines Kriminellen, seine Privilegien zu erweitern und ein zusätzliches Druckmittel zur Intensivierung von Verhandlungen zu finden.
Zu den Aspekten von Zero Trust, die helfen, Ransomware-Angriffe zu verhindern und abzuwehren, gehören:
Prinzip der geringsten Berechtigungen: Indem jedem Benutzer nur Zugriff auf die Teile des Netzwerks gewährt wird, die er benötigt, wird die Gefährdung und das Potenzial für laterale Bewegungen im Falle eines Angriffs minimiert.
Multifaktor-Authentifizierung: Wenn mehr als ein Identitätsnachweis erforderlich ist, wird es für einen Angreifer schwieriger, sich als Benutzer auszugeben.
Browserisolierung: Durch die Beschränkung der Browsing-Aktivitäten auf eine cloudbasierte, abgeschirmte Umgebung können Unternehmen ihre Netzwerke vor bösartigen Websites und Anwendungen schützen.
DNS-Filterung: Indem Sie verhindern, dass Benutzer und Endgeräte bösartige Websites laden, halten Sie Ransomware von Benutzergeräten und dem gesamten Netzwerk fern.
Überprüfung von Benutzer- und Gerätestatus: Der kontinuierliche Abgleich mit Anbietern von Endpunktsicherheit und Identitätsanbietern gewährleistet, dass nur sichere Benutzer und Geräte eine Verbindung zum Netzwerk herstellen können.
Cloudflare One, eine Zero Trust-NasS (Network-as-a-Service)-Plattform, kombiniert Sicherheits- und Netzwerkdienste, um Remote-Nutzer, Büros und Rechenzentren sicher zu verbinden. Sie hilft, Ransomware zu verhindern, indem sie risikobehaftetes Surfen isoliert, den Zugriff auf bösartige URLs blockiert und offene Serverports vor externem Eindringen schützt.
Dieser Beitrag ist Teil einer Seriezu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Folgende Informationen werden in diesem Artikel vermittelt:
Neue und aggressive Methoden der Ransomware-Erpressung
Die für diese Veränderungen verantwortlichen Faktoren
Wie Angreifer mit den bei der Netzwerkinfiltration erbeuteten Daten Verhandlungen erzwingen
Warum Zero Trust-Prinzipien bei der Abwehr von Ransomware-Angriffen so wichtig sind
Lesen Sie in unserem Leitfaden, welche Rolle Zero Trust bei der Einführung von SASE innehat.