Die Vielfalt der Ransomware-Familien, der Eindringungsmethoden oder der betroffenen Ziele macht die Sicherung von Systemen immer komplexer. Rückblick auf die Lehren für das Jahr 2021.
Dem Geschäft mit Ransomware ging es (leider) noch nie so gut. Auf der FIC 2021 berichtete Jean-Thierry Calvet, Leiter der Abteilung für Cyberverteidigungsoperationen bei der ANSSI, dass die Vorfälle, die auf diese Malware zurückzuführen sind, in Frankreich um 255 % gestiegen sind. Auf globaler Ebene haben sich die Ransomware-Angriffe bis 2021 verdoppelt, und 37 % der Organisationen die von der International Data Corporation befragt wurden, gaben an, im Laufe des Jahres Opfer eines solchen Angriffs geworden zu sein. Doch welche Realitäten und Trends umfasst das Phänomen der Ransomware heute? Sind alle Unternehmen angesichts der Bedrohung gleichgestellt?
Ransomware und das Spiel der 7 Familien
Ebenfalls während des FIC 2021 hatte Hauptmann Paul-Alexandre Gillot vom Pôle Judiciaire de la Gendarmerie Nationale eine kleine Buchhaltungsübung durchgeführt. Er berichtete von 28 aktiven Ransomware-Familien in Frankreich, während das FBI die Zahl der aktiven Ransomware-Familien auf über 100 in den USA schätzt.
Einige Ransomware-Familien haben sich in den letzten zwölf Monaten durch ihr wiederholtes Auftreten hervorgetan. Babuk zum Beispiel wurde von der gleichnamigen Gruppe von Cyberkriminellen dazu benutzt, 2021 mehrere große Unternehmen zu infiltrieren. Und das Durchsickern der von der Gruppe entwickelten Software trug ebenfalls zu ihrer Popularität bei, da andere, wenig erfahrene Cyberkriminelle die Ransomware für sich übernehmen konnten. Atom Silo oder BlackMatter sind weitere Beispiele. Die Betreiber dieser letzten Ransomware, die Ende Juli entdeckt wurde, waren etwa drei Monate lang aktiv und hatten Zeit, Unternehmen auf der ganzen Welt anzugreifen. Edouard Simpère, CTI-Manager bei Stormshield, hebt schließlich die starke Rückkehr von REvil (auch Sodinokibi genannt) und Ryuk in diesem Jahr 2021 hervor. Der erste, der seit 2019 aktiv ist, galt lange Zeit als einer der am schwersten zu entdeckenden und einer der profitabelsten für Cyberkriminelle. Sein Quellcode wird regelmäßig aktualisiert, um Cyber-Schutzmaßnahmen entgegenzuwirken. Glücklicherweise scheint die Zerschlagung der Gruppe durch die russischen Behörden ihr einen Strich durch die Rechnung gemacht zu haben.
Insgesamt stellt Edouard Simpère jedoch fest, dass die grundlegende Funktionsweise dieser Malware gleich bleibt. Denn die beiden klassischen Arten von Ransomware – Locker, die den Betrieb eines Computers blockieren, und Cryptos, bei denen Daten verschlüsselt werden und ein Entschlüsselungsschlüssel als Lösegeld gezahlt wird – haben sich nicht grundlegend verändert. Er fasst zusammen: „Man findet also Werkzeuge, die man schon vorher beobachtet hat. Dagegen können sich die Mittel zum Eindringen in Computerarbeitsplätze und Informationssysteme ändern.“ Doch wie haben sich diese Zugangswege, die den verschiedenen Ransomware-Familien gemeinsam sind, weiterentwickelt?
Einfallstore, Verbreitung, Ziele: Anatomie der Ransomware
Die Einfallstore, durch die Ransomware eindringen kann, sind (leider) vielfältig, wie dieses Schema von der neuseeländischen Regierung verdeutlicht. Keine Überraschung: Phishing ist eines der Haupteinfallstore. Durch das direkte Abrufen von Anmeldedaten übernehmen Cyberkriminelle auf diese Weise die Kontrolle über einen VPN-Zugang oder eine E-Mail. Und es genügt, dass ein einziger Mitarbeiter in eine solche Falle tappt, um das gesamte Informationssystem des Unternehmens in Mitleidenschaft zu ziehen. Denn Cyberkriminelle bewegen sich schnell seitwärts, bis sie die wertvollen Administratorrechte des Domainverzeichnisses in die Hände bekommen. Und hinter den offensichtlichen Profilen der Führungskräfte sind alle Mitarbeiter eines Unternehmens in Wirklichkeit potenzielle Ziele von Cyberkriminellen.
Manchmal sind die Einfallstore jedoch auch raffinierter, etwa durch Social Engineering, oder direkter, etwa durch die Ausnutzung ungepatchter Software-Schwachstellen oder durch E-Mail-Bomben. Um diesen E-Mail-Vektor herum vermischen sich dann die Einfallstore der Ransomware mit ihren Verbreitungsmethoden. Wie in Ryuks Beispiel, wo ein einfacher Klick in einer E-Mail ein erstes Element, den Injektor, auslöst, der den Download der eigentlichen Malware startet. Ein Beispiel unter vielen, denn „diese Einfallstore beruhen auf der Ausnutzung von Schwachstellen, die unterschiedlich genutzt werden können“, sagt Edouard Simpère. Eine Gleichung mit zwei Unbekannten, mit X Schwachstellen und Y Möglichkeiten, diese auszunutzen. Und in den letzten Jahren haben sich die Methoden zur Verbreitung von Ransomware diversifiziert. Auf der einen Seite sind die „klassischen“ ungezielten Angriffe, spray and pray, im CESIN-Barometer 2021 immer noch der wichtigste Angriffsvektor. Aber sie entwickeln sich weiter: Zwar werden sie immer noch in Form von großen, weltweiten E-Mail-Kampagnen durchgeführt, die auf einen statistischen Ansatz setzen, aber sie sind heute viel besser ausgearbeitet als noch vor einigen Jahren. „Wir sind weit entfernt von der Amazon-Mail mit Fehlern fast in jedem Wort“, sagt Édouard Simpere. Die Qualität ist höher: Man findet z. B. realistische Rechnungen mit einer Kontextualisierung Es gibt zum Beispiel Rechnungen, die an Buchhalter adressiert sind, als ob es sich um die E-Mail eines Kunden handeln würde. Seit 2021 nutzen Cyberkriminelle sogar gestohlene E-Mail-Verläufe wieder, indem sie Konversationen mit Themen und Inhalten aus früheren Gesprächen neu starten. Natürlich nicht zu vergessen, dass sie eine infizierte Datei hinzufügen. Und auf der anderen Seite entscheiden sich einige Cyberkriminelle für eine viel gezieltere Strategie. So wurde im März 2022 von einer anderen Cybersicherheitsfirma eine Kampagne entdeckt, die sich gegen bestimmte Unternehmen richtete, und von L'Expansion als „chirurgischer Cyberangriff“ bezeichnet wird.
Wir sind weit entfernt von der Amazon-Mail mit Fehlern fast in jedem Wort. Die Qualität ist höher: Man findet z. B. realistische Rechnungen mit Kontext, die an Buchhalter adressiert sind, als wäre es die E-Mail eines Kunden.
Edouard Simpère, CTI-Manager Stormshield
Parallel dazu werden kleine und mittlere Unternehmen von Cyberkriminellen doppelt unter die Lupe genommen. Auf der einen Seite sind sie eigenständige Ziele, da sie besonders empfindlich auf Unterbrechungen des Geschäftsbetriebs reagieren. Und andererseits dienen sie auch heute noch als Relaisstation, um ihre größeren Handelspartner anzugreifen. Denn vor Ransomware ist niemand sicher. Und um ein infiziertes Unternehmen davon zu überzeugen, das Lösegeld zu zahlen, ist jedes Mittel recht ...
DDoS und Datenoffenlegung als zusätzliche Druckmittel zu Ransomware
Denn während die offizielle Doktrin lautet, kein Lösegeld zu zahlen, sind Cyberkriminelle natürlich nicht dieser Meinung. Und um die Waage auf ihre Seite zu bringen, denken sie sich zusätzliche Druckmittel aus und setzen diese ein. Im Jahr 2018 wurden Patientendaten von rund 20 finnischen Psychotherapiezentren entwendet. Da sich die Opferfirma jedoch weigerte, das Lösegeld für die Wiederherstellung der Daten zu zahlen, wandten sich die Cyberkriminellen an ... die Patienten selbst und drohten ihnen, die Daten zu veröffentlichen. Dies ist der Beginn des Trends der Bedrohung durch Datenoffenlegung. Ein zusätzliches Druckmittel zur Verschlüsselung, siehe Alternative nun, um Unternehmen (und Einzelpersonen) zur Zahlung von Lösegeld zu zwingen. „Cyberkriminelle haben festgestellt, dass einige Ziele sehr resistent gegen Ransomware sind“, sagt Renaud Feil, CEO und Mitbegründer von Synacktiv, einem Unternehmen, das auf Sicherheitsprüfungen spezialisiert ist. Sie haben effektive Backups eingerichtet. Es musste also etwas anderes gefunden werden.“ Konkret bedeutet dies, dass Unternehmen, bei denen der Ruf und die Vertraulichkeit auf dem Spiel stehen, wie z. B. Anwaltskanzleien oder Wirtschaftsprüfungsgesellschaften, gezielt angesprochen werden. Und die Bedrohung kann auch zu einer Bedrohung durch Verschlüsselung werden. Ein neues, innovatives Verfahren, bei dem Cyberkriminelle ein Lösegeld verlangen, damit sie die Daten nicht verschlüsseln. Hier ist es die Belohnung ohne Anstrengung, die Cyberkriminelle suchen, indem sie sich allein auf die Angst stützen, die sie ihren Zielen einflößen. Es ist nicht sicher, ob sie in der Lage sein werden, ihre Drohung wahr zu machen, aber würden Sie das Risiko eingehen?
Parallel dazu haben sich, wie Edouard Simpère 2021 feststellt, die Gruppen der Cyberkriminellen weiter professionalisiert, auch in Bezug auf die verwendeten Druckmittel: „Ihre finanziellen Mittel sind heute so hoch, dass sie sich die Entwicklung neuer Methoden leisten können. Wir sprechen von mehreren zehn oder sogar hunderten Millionen Euro Feuerkraft für bestimmte Gruppen.“ Dies führt zu einem weiteren Trend: die Möglichkeit, zwei Arten von Angriffen gleichzeitig durchzuführen, nämlich Ransomware gefolgt von einem DDoS-Angriff. Indem sie Websites nicht verfügbar machen, erhöhen Cyberkriminelle den Druck, um Unternehmen zur Zahlung zu bewegen. Dieses Prinzip der doppelten Erpressung hätte den Gruppen von Cyberkriminellen im Jahr 2021 somit mehr als 45 Millionen Dollar eingebracht, wobei Conti an der Spitze stand, gefolgt von REvil und DarkSide.
Das Zeitalter der Ransomware ist also noch lange nicht vorbei. Und sie verschont niemanden. Vom Kleinstunternehmen bis zum internationalen Großkonzern kann das gesamte globale Wirtschaftsgefüge angesprochen werden. Laut des spezialisierten Versicherers Cybercover sind es dennoch die kleinen und mittleren Unternehmen, die das größte Risiko tragen: Fast 60 % der Opfer von Cyberangriffen sind kleine und mittlere Unternehmen. Um sich zu schützen, gibt es glücklicherweise Lösungen. Und auch das Ökosystem der Cybersicherheit organisiert sich. Es gibt viele Unternehmen, bei denen es trotz aller Versuche nicht zu einem größeren Zwischenfall gekommen ist“, sagt Renaud Feil. Ein Unternehmen, das systematisch und rigoros Sicherheitsmaßnahmen ergreift, schreckt Angreifer ab, die sich dann auf andere Ziele verlegen ... Es geht also darum, sein System zu stärken, unabhängig von der Größe des Unternehmens.“