Ransomware: Wachsende Bedrohung durch Professionalisierung

Das Geschäftsmodell der Erpresser entwickelt sich weiter, warnen Sicherheitsbehörden. Um "Ransomware-as-a-Service" entwickelt sich ein Dienstleistungssektor.

Sicherheitsbehörden warnen vor einer zunehmenden Professionalisierung der Ransomware-Szene und erwarten weiterhin schwerwiegende Angriffe. Im vergangenen Jahr sei eine wachsende Arbeitsteilung bei Cyberkriminellen und der Ausbau des Geschäftsfelds "Ransomware-as-a-Service" zu beobachten gewesen, heißt es in einem Sicherheitshinweis, den die US-Behörden Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) und National Security Agency (NSA) gemeinsam mit dem Australian Cyber Security Centre (ACSC) und dem britischen National Cyber Security Centre (NCSC-UK) herausgeben haben.

Dem Warnhinweis AA22-040A zufolge bleiben Phishing, das Remote Desktop Protocol (RDP) und Exploits von bekannten Sicherheitslücken die am häufigsten genutzten Angriffsvektoren für Ransomware-Gruppen. Die Sicherheitsbehörden rechnen mit weiter steigenden Fallzahlen. Der in der Pandemie anhaltende Trend zu Homeoffice und Tele-Unterricht habe die Angriffsfläche für Cyberkriminelle vergrößert, während die Administratoren mit den nötigen Patches kaum noch nachkämen, erklären die Behörden.

Ransomware-as-a-Service

Zudem habe sich das Ransomware-"Geschäft" im vergangenen Jahr weiter professionalisiert, warnen die Behörden. Ransomware werde zunehmend als Dienstleistung (Ramsomware-as-a-Service, RaaS) angeboten. Zugleich hat sich laut Beobachtungen der Behörden ein Ökosystem an verwandten Dienstleistungen etabliert, die sich etwa um Verhandlungen über Lösegelder und deren Zahlungen kümmern. Einige Erpresser bieten ihren Opfern inzwischen einen durchgehend erreichbaren "Support", um Zahlungen zu beschleunigen.

Die Sicherheitsbehörden beobachten darüber hinaus die wachsende Zusammenarbeit der bekannten kriminellen Gruppen. 

"Ransomware-Gruppen aus dem eurasischen Raum tauschen Informationen über ihre Opfer aus und vergrößern damit die Bedrohung für die ins Visier genommenen Organisationen", warnen die Behörden. 

So habe die BlackMatter-Gruppe ihre Opfer an Lockbit 2.0 übergeben, als sie sich aus dem Geschäft zurückgezogen hat. Die Conti-Gang habe im Oktober 2021 begonnen, Zugänge zu den Netzen ihrer Opfer zu verkaufen.

Laut den Beobachtungen der US-Behörden ist bei den in den USA aktiven Gruppen eine Abkehr vom "Big Game Hunting" festzustellen. Bei der "Großwildjagd" haben Ransomware-Angreifer bisher sehr große und damit lukrative Ziele ins Visier genommen. Im vergangenen Jahr hatten erfolgreiche Angriffe auf Infrastrukturbetreiber wie Colonial Pipelines und den weltgrößten Fleischproduzenten JBS Foods für Schlagzeilen gesorgt. Danach hatten Behörden und Politik den Druck auf die Szene erhöht, weshalb die Täter auf weniger prominente Ziele ausgewichen seien.

Attacken via Cloud und Managed Services

Dennoch bleiben auch kritische Infrastrukturen und die Industrie ein hochgefährdetes Ziel, warnen die Behörden. Darüber hinaus greifen die Akteure inzwischen auch Cloud-Provider und andere Infrastrukturdienstleister an. So seien zuletzt Managed Service Provider (MSP) ins Visier der Ransomware-Gangs geraten, weil sie bei ihren Kunden hohes Vertrauen genießen. Über einen kompromittierten MSP ließen sich so mehrere Ziele angreifen. Die Sicherheitsbehörden rechnen mit einer Zunahme solcher Angriffe über einen MSP.

Grundsätzlich warnen die Behörden davor, das geforderte Lösegeld zu bezahlen.

 "Solange das kriminelle Geschäftsmodell eine Rendite für die Ransomware-Akteure abwirft, werden die Vorfälle weiter zunehmen", betonen ACSC, CISA, FBI, NCSC-UK und NSA. "Jedes Lösegeld, das gezahlt wird, bestätigt die Rentabilität und finanzielle Attraktivität des kriminellen Ransomware-Geschäftsmodells."

In den USA ist die Zahlung von Lösegeldern anzeigepflichtig und wird streng sanktioniert.

Die Behörden verweisen auf zahlreiche Maßnahmen, die zur Prävention von Ransomware-Attacken ergriffen werden sollten. In erste Linie sollten sämtliche Systeme stets auf dem aktuellen Stand sein und Patches für Sicherheitslücken schnell eingespielt werden. Insbesondere in Cloud-Umgebungen sei darauf zu achten, dass virtuelle Maschinen und Anwendungen auf dem neuesten Stand sind. Die Behörden empfehlen auch die durchgehende Verschlüsselung des Netzwerkverkehrs. Weil sich Angreifer nach dem Einbruch durch die Unternehmensnetze hangeln, empfehle sich die Segmentierung des Netzes und der weitgehende Verzicht auf das SMB-Protokoll. Potenziell gefährliche Dienste wie RDP sollten eng überwacht werden. Und immer wieder: Anwender über aktuelle Phishing-Methoden informieren und sie sensibilisieren.

Checkliste für den Ernstfall

Für den Fall eines Angriffs verweisen die Behörden auf eine Checkliste im Ransomware Guide der CISA. Eventuell vorhandene Backups sollten vor dem Einspielen auf möglichen Befall überprüft werden. Der Vorfall sollte den zuständigen Behörden gemeldet werden. 

"Verantwortliche in den Unternehmen aller Branchen und im öffentlichen Sektor sollten sofort Maßnahmen ergreifen, um ihre Systeme zu sichern, und mit den Ermittlungsbehörden zusammenarbeiten, um dieser Bedrohung Herr zu werden", sagte Bryan Vorndran von der Cybercrime-Abteilung des FBI.

Verwandte Artikel

Cybersicherheit: Bedrohungslage bleibt angespannt, aber Resilienz gegen Angriffe steigt

Cybersicherheit: Bedrohungslage bleibt angespannt, aber Resilienz gegen Angriffe steigt

Die Sicherheitslage im Cyberraum ist weiterhin angespannt. Zugleich stellen sich Staat, Wirtschaft und Gesellschaft stärker als bisher auf die Bedrohungen ein und haben ihre Resilienz erhöht.

Cyber Resilience Act verabschiedet

Cyber Resilience Act verabschiedet

Der nun verabschiedete Cyber Resilience Act (CRA) ist aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ein wichtiger Schritt, um die Cybersicherheit dieser Produkte und Anwendungen signifikant zu erhöhen.

Cybersicherheit industrieller Anlagen: Australische Partnerbehörde veröffentlicht Grundsatzpapier zur OT-Cybersicherheit

Cybersicherheit industrieller Anlagen: Australische Partnerbehörde veröffentlicht Grundsatzpapier zur OT-Cybersicherheit

Der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology, OT) stellt Organisationen vor große Herausforderungen hinsichtlich der Cybersicherheit.

:

Photo

Ein Netz für alle (Not-)Fälle

In Katastrophen und anderen Notsituationen kann die zügige und zuverlässige Warnung und die Einsatz-Koordination über Leben und Tod entscheiden. Dies setzt eine stabile Kommunikation voraus.