Ransomware: Wachsende Bedrohung durch Professionalisierung
Das Geschäftsmodell der Erpresser entwickelt sich weiter, warnen Sicherheitsbehörden. Um "Ransomware-as-a-Service" entwickelt sich ein Dienstleistungssektor.
Sicherheitsbehörden warnen vor einer zunehmenden Professionalisierung der Ransomware-Szene und erwarten weiterhin schwerwiegende Angriffe. Im vergangenen Jahr sei eine wachsende Arbeitsteilung bei Cyberkriminellen und der Ausbau des Geschäftsfelds "Ransomware-as-a-Service" zu beobachten gewesen, heißt es in einem Sicherheitshinweis, den die US-Behörden Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) und National Security Agency (NSA) gemeinsam mit dem Australian Cyber Security Centre (ACSC) und dem britischen National Cyber Security Centre (NCSC-UK) herausgeben haben.
Dem Warnhinweis AA22-040A zufolge bleiben Phishing, das Remote Desktop Protocol (RDP) und Exploits von bekannten Sicherheitslücken die am häufigsten genutzten Angriffsvektoren für Ransomware-Gruppen. Die Sicherheitsbehörden rechnen mit weiter steigenden Fallzahlen. Der in der Pandemie anhaltende Trend zu Homeoffice und Tele-Unterricht habe die Angriffsfläche für Cyberkriminelle vergrößert, während die Administratoren mit den nötigen Patches kaum noch nachkämen, erklären die Behörden.
Ransomware-as-a-Service
Zudem habe sich das Ransomware-"Geschäft" im vergangenen Jahr weiter professionalisiert, warnen die Behörden. Ransomware werde zunehmend als Dienstleistung (Ramsomware-as-a-Service, RaaS) angeboten. Zugleich hat sich laut Beobachtungen der Behörden ein Ökosystem an verwandten Dienstleistungen etabliert, die sich etwa um Verhandlungen über Lösegelder und deren Zahlungen kümmern. Einige Erpresser bieten ihren Opfern inzwischen einen durchgehend erreichbaren "Support", um Zahlungen zu beschleunigen.
Die Sicherheitsbehörden beobachten darüber hinaus die wachsende Zusammenarbeit der bekannten kriminellen Gruppen.
"Ransomware-Gruppen aus dem eurasischen Raum tauschen Informationen über ihre Opfer aus und vergrößern damit die Bedrohung für die ins Visier genommenen Organisationen", warnen die Behörden.
So habe die BlackMatter-Gruppe ihre Opfer an Lockbit 2.0 übergeben, als sie sich aus dem Geschäft zurückgezogen hat. Die Conti-Gang habe im Oktober 2021 begonnen, Zugänge zu den Netzen ihrer Opfer zu verkaufen.
Laut den Beobachtungen der US-Behörden ist bei den in den USA aktiven Gruppen eine Abkehr vom "Big Game Hunting" festzustellen. Bei der "Großwildjagd" haben Ransomware-Angreifer bisher sehr große und damit lukrative Ziele ins Visier genommen. Im vergangenen Jahr hatten erfolgreiche Angriffe auf Infrastrukturbetreiber wie Colonial Pipelines und den weltgrößten Fleischproduzenten JBS Foods für Schlagzeilen gesorgt. Danach hatten Behörden und Politik den Druck auf die Szene erhöht, weshalb die Täter auf weniger prominente Ziele ausgewichen seien.
Attacken via Cloud und Managed Services
Dennoch bleiben auch kritische Infrastrukturen und die Industrie ein hochgefährdetes Ziel, warnen die Behörden. Darüber hinaus greifen die Akteure inzwischen auch Cloud-Provider und andere Infrastrukturdienstleister an. So seien zuletzt Managed Service Provider (MSP) ins Visier der Ransomware-Gangs geraten, weil sie bei ihren Kunden hohes Vertrauen genießen. Über einen kompromittierten MSP ließen sich so mehrere Ziele angreifen. Die Sicherheitsbehörden rechnen mit einer Zunahme solcher Angriffe über einen MSP.
Grundsätzlich warnen die Behörden davor, das geforderte Lösegeld zu bezahlen.
"Solange das kriminelle Geschäftsmodell eine Rendite für die Ransomware-Akteure abwirft, werden die Vorfälle weiter zunehmen", betonen ACSC, CISA, FBI, NCSC-UK und NSA. "Jedes Lösegeld, das gezahlt wird, bestätigt die Rentabilität und finanzielle Attraktivität des kriminellen Ransomware-Geschäftsmodells."
In den USA ist die Zahlung von Lösegeldern anzeigepflichtig und wird streng sanktioniert.
Die Behörden verweisen auf zahlreiche Maßnahmen, die zur Prävention von Ransomware-Attacken ergriffen werden sollten. In erste Linie sollten sämtliche Systeme stets auf dem aktuellen Stand sein und Patches für Sicherheitslücken schnell eingespielt werden. Insbesondere in Cloud-Umgebungen sei darauf zu achten, dass virtuelle Maschinen und Anwendungen auf dem neuesten Stand sind. Die Behörden empfehlen auch die durchgehende Verschlüsselung des Netzwerkverkehrs. Weil sich Angreifer nach dem Einbruch durch die Unternehmensnetze hangeln, empfehle sich die Segmentierung des Netzes und der weitgehende Verzicht auf das SMB-Protokoll. Potenziell gefährliche Dienste wie RDP sollten eng überwacht werden. Und immer wieder: Anwender über aktuelle Phishing-Methoden informieren und sie sensibilisieren.
Checkliste für den Ernstfall
Für den Fall eines Angriffs verweisen die Behörden auf eine Checkliste im Ransomware Guide der CISA. Eventuell vorhandene Backups sollten vor dem Einspielen auf möglichen Befall überprüft werden. Der Vorfall sollte den zuständigen Behörden gemeldet werden.
"Verantwortliche in den Unternehmen aller Branchen und im öffentlichen Sektor sollten sofort Maßnahmen ergreifen, um ihre Systeme zu sichern, und mit den Ermittlungsbehörden zusammenarbeiten, um dieser Bedrohung Herr zu werden", sagte Bryan Vorndran von der Cybercrime-Abteilung des FBI.
Heise Medien GmbH & Co. KG
Volker Briegleb
Karl-Wiechert-Allee 10
30625 Hannover
(Bild: vectorfusionart/Shutterstock.com)