![\"Bestandsaufnahme](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_668257165-1.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Seit Anfang des Jahres 2020 haben Ransomware-Angriffe vermehrt Schlagzeilen gemacht. Alle Berufsgruppen in gro\u00dfen wie kleinen Unternehmen scheinen anf\u00e4llig f\u00fcr diese sich weiterentwickelnde Bedrohung zu sein. Und die Zahl der F\u00e4lle, in denen die Angreifer mehr oder weniger erfolgreich sind, ist inzwischen besorgniserregend. Werfen wir etwas Licht auf das bedeutendste Ph\u00e4nomen der Cyberkriminalit\u00e4t des Jahres 2020.<\/strong><\/p>\n \u201eDas organisierte Verbrechen nutzt Cyber-Tools, um seine Opfer zu erpressen\u201c<\/em>, so die Feststellung von Guillaume Poupard<\/strong>, gesch\u00e4ftsf\u00fchrender Direktor der ANSSI, gegen\u00fcber dem franz\u00f6sischen Senat im November<\/a>. In Frankreich, in Europa wie auf der ganzen Welt ist die Zahl von Ransomware-F\u00e4llen in der Tat nach wie vor hoch. Niemand scheint dagegen gefeit zu sein, von der Versicherungsgesellschaft SAOG des Sultanats Oman \u00fcber Bouygues Construction und den brasilianischen Gerichtshof bis zur Spirituosengruppe Campari. Dar\u00fcber hinaus geht der Trend hin zur Professionalisierung der Ransomware in Form eines richtigen Wirtschaftssystems, an dem die Ersteller und Nutzer von Malware beteiligt sind. Ein vollwertiges Gesch\u00e4ftsfeld mit Partnerschaften und Rabatten... Im Jahr 2020 hat sich die wachsende Bedrohung durch Ransomware best\u00e4tigt, wobei die Angriffe immer besser vorbereitet und organisiert sind und immer ausgefeiltere technische Mittel eingesetzt werden. Dieser grundlegende Trend veranlasst Unternehmen dazu, ihre Abwehrma\u00dfnahmen zu \u00fcberdenken und ihre F\u00e4higkeit zum Gegenangriff zu st\u00e4rken.<\/p>\n <\/p>\n Seit es Ransomware gibt, wird unver\u00e4ndert das gleiche Ziel verfolgt: Erpressung. Dieselbe Feststellung trifft aus technischer Sicht zu, da sich auch hier nur wenig ge\u00e4ndert hat. Die Vorgehensweise ist im Grunde dieselbe geblieben: Durchsuchen eines Datentr\u00e4gers, Suche nach Dateien entsprechend ihrer Erweiterungen und Verschl\u00fcsselung der Dateien, die sich am st\u00e4rksten auf die Aktivit\u00e4t des Ziels auswirken k\u00f6nnen. Die verschl\u00fcsselten Anteile sind abh\u00e4ngig von der Strategie der Cyberkriminellen. Zwar auf den Rechner, aber nicht auf die Dateien zugreifen zu k\u00f6nnen, kann manchmal schlimmer sein als ein Rechner, der nicht mehr startet. Aus diesem Grund achten Cyberkriminelle darauf, nur bestimmte Erweiterungen zu verschl\u00fcsseln. Andererseits ist klar, dass sich die Ransomware in den Punkten Verbreitung und Befall weiterentwickelt.<\/p>\n Ransomware nutzende Angreifer halten sich \u00fcber die neuesten Schwachstellen von Rechnersystemen auf dem Laufenden, um die Schutzfunktionen zu umgehen.<\/em><\/p>\n Auch die Erpressung als solche hat sich seit den Anf\u00e4ngen wesentlich ver\u00e4ndert. L\u00f6segeldforderungen per PayPal sind bei Angreifern nicht mehr beliebt, da sie zu einfach r\u00fcckverfolgbar sind, und die meisten Cyberkriminellen verlangen inzwischen die Zahlung von L\u00f6segeld in Form von Bitcoin. Dieses Zahlungsmittel scheint f\u00fcr Ransomware nutzende Angreifer verl\u00e4sslicher zu sein. Dar\u00fcber hinaus ist es aufw\u00e4ndiger, das L\u00f6segeld \u00fcber Mixer-Plattformen (Smartmixer, BitcoinMix...) zur\u00fcckzuverfolgen. Anfang 2020 gab das FBI an, dass sich die Erpressungsf\u00e4lle im Zusammenhang mit Ransomware in den Vereinigten Staaten von 2013 bis 2019 auf mindestens 144,35 Millionen Dollar in Bitcoin beliefen.<\/p>\n Was die Verbreitung angeht, \u201ehalten sich Ransomware nutzende Angreifer \u00fcber die neuesten Schwachstellen von Rechnersystemen auf dem Laufenden, um die Schutzfunktionen zu umgehen\u201c<\/em>, erl\u00e4utert Thomas Gendron<\/strong>, Malware Research Engineer bei Vade Secure. Seit Mitte 2019 wiesen zahlreiche VPN mehrere gro\u00dfe Schwachstellen auf<\/a>, die von verschiedenen Gruppen von Cyberkriminellen dazu genutzt wurde, um Ransomware-Wellen zu starten.<\/p>\n W\u00e4hrend E-Mails mit infizierten Dateianh\u00e4ngen nach wie vor beliebt sind, wurden in den letzten Monaten auch andere Formen des Befalls festgestellt<\/strong>. Offenlegung von in VPN genutzten Kennw\u00f6rtern, Schwachstellen von VPN, Verbreitung \u00fcber Botnet... Ransomware nutzende Angreifer scheinen heute \u00fcber ein betr\u00e4chtliches Arsenal zu verf\u00fcgen, um ihre Ransomware zu verbreiten.\u00a0 Nach einem erfolgreichen Befall versuchen die Cyberkriminellen, ihren Angriff m\u00f6glichst umfangreich zu gestalten und die Ransomware auf eine maximale Anzahl von Arbeitspl\u00e4tzen oder Rechnern zu verteilen. J\u00fcngstes Beispiel ist die Schwachstelle Zerologon<\/a>, die von die Ransomware Ryuk nutzenden Angreifern im gro\u00dfen Stil ausgenutzt wird. Aufgrund dieser Schwachstelle kann der Angreifer schnell als Administrator auf das Active Directory zugreifen, um seinen Angriff innerhalb des Rechnerbestands zu lateralisieren und den Zugriff auf privilegierte Konten wiederherzustellen. Befall, Lateralisierung, Wiederherstellung von Nutzerrechten: Anschlie\u00dfend muss der Cyberkriminelle nur noch seine \u201eaction on objective<\/em>\u201c ausf\u00fchren.<\/p>\n <\/p>\n Der erste bedeutende Trend, den es sich in Bezug auf Ransomware in Erinnerung zu rufen gilt, ist zwangsl\u00e4ufig der au\u00dfergew\u00f6hnliche Kontext. W\u00e4hrend Phishing-Kampagnen in der Regel nicht sehr ausgekl\u00fcgelt sind, haben Experten festgestellt, dass Cyberkriminelle inzwischen einen aufw\u00e4ndigeren Social-Engineering-Ansatz verfolgen. Im Zusammenhang mit aktuellen gesundheitlichen und wirtschaftlichen \u00c4ngsten finden sich dabei gef\u00e4lschte Maskenbestellungen oder K\u00fcndigungsschreiben... \u201eUnternehmen haben stark in den Schutz ihrer Perimeter investiert, mit Tools zum Schutz der Arbeitspl\u00e4tze, IT-Sicherheitskonfigurationen usw.<\/em>\u201c, erl\u00e4utert Adrien Gendre<\/strong>, Chief Solution Architect bei Vade Secure. Ransomware nutzende Angreifer suchen deshalb nach M\u00f6glichkeiten, diesen Schutz zu umgehen und in das Unternehmen hineinzugelangen. Phishing ist eine M\u00f6glichkeit, um Posteing\u00e4nge zu kompromittieren und damit die Ransomware oder sogar Spear-Phishing aus dem Unternehmen selbst heraus zu versenden\u201c<\/em>.<\/p>\n Und die Methoden, um Menschen zur Zahlung von L\u00f6segeld zu bewegen, sind inzwischen ebenfalls vielf\u00e4ltig. Im Oktober 2020 ver\u00f6ffentlichte eine Gruppe von Cyberkriminellen Gesundheitsdaten im Dark Web, die sie bereits im Jahr 2018 einem finnischen Betreiber von Zentren f\u00fcr Psychotherapie entwendet hatten! Da sich das Unternehmen weigerte, das L\u00f6segeld zu zahlen, wandten sich die Cyberkriminellen an die Familien der Patienten, bevor sie sich entschieden, die wertvollen Daten an den Meistbietenden weiterzuverkaufen... Ein weiteres Beispiel aus j\u00fcngster Zeit betrifft Angreifer, die in das soziale Netzwerk Facebook investiert hatten<\/a>, um b\u00f6swillige gef\u00e4lschte Werbung zu schalten, mit der eine italienische Spirituosenfirma zur Zahlung von L\u00f6segeld gezwungen werden sollte.<\/p>\n Allerdings sehen diese Angriffe eher wie opportunistische Angriffe aus. Dabei darf der Haupttrend des Jahres 2020 nicht vergessen werden: die Professionalisierung rund um Ransomware.<\/p>\n <\/p>\n Der seit 2016 bestehende Trend zur Ransomware-as-a-Service<\/em>, oder RaaS, hat sich 2020 fortgesetzt. \u201eEs ist jetzt m\u00f6glich, f\u00fcr Ransomware sowie f\u00fcr Tutorials dar\u00fcber, wie man sie einsetzt, zu bezahlen\u201c<\/em>, berichtet Edouard Simp\u00e8re<\/strong>, Technical Leader bei Stormshield. \u201eAll dies wird als Dienstleistung verkauft, dem Beispiel des Verkaufs von Malware als fertige Tools folgend, die schon seit langem im Dark Web verf\u00fcgbar sind\u201c<\/em>. Erpresserische Software wird \u00fcber das Dark Web bzw. Deep Web verkauft und wird zu einem eigenst\u00e4ndigen Produkt, auf das die Regeln des Marktes (Wettbewerb usw.) zutreffen. Beispielsweise haben sich einige Akteure der Cyberkriminalit\u00e4t positioniert, indem sie sich jeweils auf eine bestimmte Aufgabe spezialisiert haben. Aber das ist noch nicht alles: \u201eIndem sie professioneller geworden sind, haben die verschiedenen Angreifer ihr jeweiliges Fachgebiet entwickelt: Ransomware-Entwickler, Phishing-Spezialist, f\u00fcr die \u00dcbermittlung an das Ziel zust\u00e4ndiger Spezialist\u2026\u201c<\/em>, pr\u00e4zisiert Thomas Gendron.\u00a0 Da diese Cyberkriminellen ein komplexes, dynamischeres und leistungsf\u00e4higeres System bilden, vermeiden sie im Fall der Festnahme eines Gliedes in der Kette auch Unterbrechungen ihrer wichtigen Operationen.<\/p>\n Es ist jetzt m\u00f6glich, f\u00fcr Ransomware zu bezahlen, sie mithilfe von Tutorials einzusetzen, sie \u00fcber eine Schnittstelle zu starten usw. All dies wird als Dienstleistung verkauft.<\/em><\/p>\n Diese Professionalisierung der Angreifer erg\u00e4nzt die Zunahme gezielter Angriffe, die sich gegen gro\u00dfe Unternehmen oder Organisationen richten. \u201eDer aktuelle Trend bei Ransomware-Angriffen zeigt eine Verbesserung der bei einem Befall eingesetzten Mittel. Der Einsatz von Tools, um die Ransomware zum gew\u00fcnschten Ziel zu bringen, kommt der technischen Ausgereiftheit einiger APT- oder FIN-Konzerne sehr nahe und ist ein Beleg f\u00fcr eine h\u00f6here operative Intelligenz im Vergleich zu fr\u00fcher\u201c<\/em>, erl\u00e4utert Gr\u00e9gory Baudeau<\/strong>, Technical Leader Cyber Threat Intelligence bei Airbus CyberSecurity. Zusammen mit dem wissenschaftlichen Mitarbeiter Fr\u00e9d\u00e9ric Boissel<\/strong> und dem Analysten Quentin Michaud<\/strong> hat Gr\u00e9gory Baudeau k\u00fcrzlich einen Vorgang modelliert, bei dem eine bei der Reaktion auf einen Vorfall vorgefundene Ransomware namens Sodinokibi (auch REvil oder Sodin genannt) \u00fcbermittelt wurde. Diese seit April 2019 verf\u00fcgbare RaaS zielt auf eine Vielzahl von Brachen wie Energie, Finanzen, Bauwesen, Biomedizin, Luftfahrt sowie Telekommunikation ab. Eine der Besonderheiten dieser Ransomware besteht darin, die extrahierten Daten in Foren des Dark Web zu ver\u00f6ffentlichen oder sogar zu versteigern. So geschehen im vergangenen Juni in den Vereinigten Staaten: Die Gruppe hinter Sodinokibi soll 50\u00a0GB bzw. 1,2\u00a0TB an Daten versteigert haben, die zwei amerikanischen Anwaltskanzleien geh\u00f6rten. \u00dcber Datendiebstahl und Erpressung hinaus finden Cyberkriminelle also neue Wege, um von ihren Angriffen zu profitieren.<\/p>\n Schlie\u00dflich m\u00fcssen wir in einer Zeit, in der vernetzte Gegenst\u00e4nde Teil unseres Alltags und des Alltags von Unternehmen geworden sind, die Angriffsfl\u00e4che dieser Gegenst\u00e4nde hinterfragen. Ob es sich nun um nachweisliche Angriffe auf Supermarktkassen oder Drucker handelt oder um gegen intelligente Kaffeemaschinen gerichtete Proofs of Concept, vergr\u00f6\u00dfert sich diese Angriffsfl\u00e4che durch Elemente mit niedrigem Sicherheitsniveau. \u201eDiese Angriffsfl\u00e4che l\u00e4sst Einfallstore offen, die Angreifer machen ihre Erkundungen und warten auf den richtigen Zeitpunkt, das richtige Ziel und den richtigen Ort, um ihre Ransomware einzusetzen. Das ist nur der Anfang einer langen Reihe von Vorf\u00e4llen\u201c<\/em>, analysiert Edouard Simpere.<\/p>\n Das Ransomware-Milieu wird immer professioneller und die Angriffe werden immer raffinierter und pr\u00e4ziser.<\/strong> Somit wird ihre Erkennung f\u00fcr die Unternehmen, die sich gegen diesen Trend der Cyberkriminalit\u00e4t wappnen m\u00fcssen, immer komplexer.<\/p>\n <\/p>\n Ist es akzeptabel geworden, auf die Forderungen von Ransomware einzugehen? Dies ist eindeutig zu verneinen. Die Frage der Bezahlung stellt sich jedoch nach wie vor, insbesondere bei Infrastrukturen wie beispielsweise Krankenh\u00e4usern. Diese kritischen Infrastrukturen sind, sobald sie Opfer von Ransomware geworden sind, nicht mehr in der Lage, ihre lebenswichtigen Aufgaben zu erf\u00fcllen. Denn aus operativer Sicht ist der Versuch einer Umgehung von Ransomware komplex und zeitaufwendig und stellt einen Luxus dar, den sich die meisten Strukturen nicht leisten k\u00f6nnen. Au\u00dferdem darf aus moralischer Sicht nicht vergessen werden, dass Ransomware eine Erpressung darstellt. Die Zahlung von L\u00f6segeld w\u00fcrde auf eine Schw\u00e4che hindeuten, die in den Medien und ethisch schwierig, wenn nicht gar unm\u00f6glich zu verteidigen w\u00e4re. Schlie\u00dflich gibt es aus strategischer Sicht keine Garantie f\u00fcr eine R\u00fcckkehr zur Normalit\u00e4t nach einer Zahlung, weder was die Datenwiederherstellung noch was m\u00f6gliche vom Angreifer hinterlassene Hintert\u00fcren angeht. \u201eL\u00f6segeld f\u00fcr Ransomware zu zahlen bedeutet ein kriminelles Gesch\u00e4ft zu unterst\u00fctzen, und das darf grunds\u00e4tzlich niemals akzeptabel sein. Daher gilt es Alternativen zu schaffen, um nicht in diese Situation zu geraten\u201c<\/em>, warnt Adrien Gendre. Das US-Finanzministerium versucht beispielsweise, die Zahlung von L\u00f6segeldern durch Unternehmen zu unterbinden, indem es zivilrechtliche Sanktionen gegen Drittunternehmen (wie Cyberversicherungen, Cybersicherheitsunternehmen usw.) verh\u00e4ngt, die Zielstrukturen bei der Zahlung von L\u00f6segeldern unterst\u00fctzen. Das Ziel f\u00fcr Organisationen muss sein, sich in eine Position zu bringen, in der sie niemals eine Entscheidung dar\u00fcber treffen m\u00fcssen, ob ein L\u00f6segeld gezahlt werden soll oder nicht.<\/p>\n Gleichzeitig positionieren sich auch Verlage und IT-Akteure angesichts der zunehmenden Angriffsfl\u00e4che und der Verbreitung von Ransomware, indem Sie angepasste IT-L\u00f6sungen entwickeln, die mit den Strukturen einhergehen. Das Bewusstsein, sich besser gegen diese Art von Malware zu sch\u00fctzen, scheint also zu wachsen.<\/p>\n Zur Bek\u00e4mpfung von Angriffen durch Ransomware sind verschiedene Ma\u00dfnahmen m\u00f6glich, wie die Schulung der Mitarbeiter in digitaler Hygiene<\/strong>, die Einrichtung einer guten Patch-Managementpolitik, die Einf\u00fchrung einer strengen Politik der Rechte- und Berechtigungsverwaltung (verpflichtende \u00c4nderung von Kennw\u00f6rtern alle 90\u00a0Tage bei privilegierten Konten, Zwei-Faktor-Authentisierung usw.). \u201eEine M\u00f6glichkeit, sich heutzutage vor Ransomware zu sch\u00fctzen, ist ein Schutz- und Hygieneniveau, das hoch genug ist, um Schadsoftware nutzende Angreifer abzuschrecken\u201c<\/em>, erg\u00e4nzt Gr\u00e9gory Baudeau. \u201eEs ist wichtig, dass die Mitarbeiter ausreichend \u00fcber Phishing, die \u00dcberwachung von Sicherheitsereignissen auf VPN, DBA und Ger\u00e4ten geschult werden, bei denen sich in den letzten sechs bis neun Monaten kritische Schwachstellen gezeigt haben, durch die ein Zugriff auf Netzwerke oder Zentralrechner von Unternehmen m\u00f6glich wurde. Ebenso wichtig ist es, dass die Sicherheitsteams sich weiterbilden, um verd\u00e4chtige Verhaltensweisen erkennen zu k\u00f6nnen. Alle Unternehmen bzw. Organisationen sollten \u00fcber Vorfallsreaktionsteams verf\u00fcgen. Dar\u00fcber hinaus sollte die M\u00f6glichkeit bestehen, Dienste abzuschalten und wiederherzustellen, um schnell auf unbefugtes Eindringen reagieren zu k\u00f6nnen und zu verhindern, dass Ransomware ihr Ziel erreicht, damit die Dienste schnellstm\u00f6glich wiederhergestellt werden k\u00f6nnen\u00a0\u201c<\/em>.<\/p>\n Neben diesen verf\u00fcgbaren Mitteln gibt es eine weitere Voraussetzung f\u00fcr die wirksame Verteidigung gegen Ransomware: die Datensicherung. In allen Strukturen und Unternehmen \u2013 auch den kleinsten \u2013 sollte eine Datensicherungspolitik etabliert werden und alle Systeme der Organisationen sollten \u00fcber L\u00f6sungen dieser Art verf\u00fcgen. Datensicherung ist der Eckpfeiler eines wirksamen Schutzes vor Ransomware, und dazu geh\u00f6rt die Einrichtung von nicht vernetzten Datensicherungssystemen, die nicht bei Bedarf verschl\u00fcsselt werden k\u00f6nnen, oder auch von Verfahren zur regelm\u00e4\u00dfigen Kontrolle der Datensicherungen. Im April 2019 wurde die Firma Fleury Michon Opfer einer Ransomware, wodurch die Produktion f\u00fcr drei Tage zum Erliegen kam. Dank seiner Datensicherungssysteme, die es dem Unternehmen erm\u00f6glichten, die f\u00fcr die Wiederaufnahme des Betriebs erforderlichen Daten wiederherzustellen, konnte es seine T\u00e4tigkeit relativ schnell fortsetzen und so die Zahlung des geforderten L\u00f6segelds vermeiden. Dar\u00fcber hinaus hat Fleury Michon zu dem dieses Jahr von der ANSSI ver\u00f6ffentlichten Leitfaden Attaques par ran\u00e7ongiciels, tous concern\u00e9s<\/em><\/a> [Ransomware-Angriffe gehen uns alle an] beigetragen, der Gebietsk\u00f6rperschaften und Unternehmen helfen soll, die mit Ransomware verbundenen Probleme und die zum Schutz davor zu ergreifenden Ma\u00dfnahmen zu verstehen.<\/p>\n <\/p>\nMittel zur Verschl\u00fcsselung, Verbreitung... Welche Entwicklungen gibt es bei Ransomware?<\/h2>\n
Thomas Gendron<\/strong>, Malware Research Engineer Vade Secure<\/pre>\n<\/blockquote>\n
Unterscheidung zwischen opportunistischen und gezielten Angriffen<\/h2>\n
Ransomware wird professioneller<\/h2>\n
Edouard Simp\u00e8re<\/strong>, Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
Zahlung von L\u00f6segeld, Datensicherung... Wie ist mit Ransomware umzugehen?<\/h2>\n