![\"Ransomware-Angriffe](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-642396640-2-1024x576.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Die Vielfalt der Ransomware-Familien, der Eindringungsmethoden oder der betroffenen Ziele macht die Sicherung von Systemen immer komplexer. R\u00fcckblick auf die Lehren f\u00fcr das Jahr 2021.<\/strong><\/p>\n Dem Gesch\u00e4ft mit Ransomware ging es (leider) noch nie so gut. Auf der FIC 2021 berichtete Jean-Thierry Calvet<\/strong>, Leiter der Abteilung f\u00fcr Cyberverteidigungsoperationen bei der ANSSI, dass die Vorf\u00e4lle, die auf diese Malware zur\u00fcckzuf\u00fchren sind, in Frankreich um 255\u00a0% gestiegen sind. Auf globaler Ebene haben sich die Ransomware-Angriffe bis 2021 verdoppelt, und 37\u00a0% der Organisationen die von der International Data Corporation befragt wurden, gaben an, im Laufe des Jahres Opfer eines solchen Angriffs geworden zu sein. Doch welche Realit\u00e4ten und Trends umfasst das Ph\u00e4nomen der Ransomware heute? Sind alle Unternehmen angesichts der Bedrohung gleichgestellt?<\/p>\n <\/p>\n Ebenfalls w\u00e4hrend des FIC 2021 hatte Hauptmann Paul-Alexandre Gillot<\/strong> vom P\u00f4le Judiciaire de la Gendarmerie Nationale eine kleine Buchhaltungs\u00fcbung durchgef\u00fchrt. Er berichtete von 28 aktiven Ransomware-Familien in Frankreich, w\u00e4hrend das FBI die Zahl der aktiven Ransomware-Familien<\/strong> auf \u00fcber 100 in den USA<\/a> sch\u00e4tzt.<\/p>\n Einige Ransomware-Familien haben sich in den letzten zw\u00f6lf Monaten durch ihr wiederholtes Auftreten hervorgetan. Babuk zum Beispiel wurde von der gleichnamigen Gruppe von Cyberkriminellen dazu benutzt, 2021 mehrere gro\u00dfe Unternehmen zu infiltrieren. Und das Durchsickern der von der Gruppe entwickelten Software trug ebenfalls zu ihrer Popularit\u00e4t bei, da andere, wenig erfahrene Cyberkriminelle die Ransomware f\u00fcr sich \u00fcbernehmen konnten. Atom Silo oder BlackMatter sind weitere Beispiele. Die Betreiber dieser letzten Ransomware, die Ende Juli entdeckt wurde, waren etwa drei Monate lang aktiv und hatten Zeit, Unternehmen auf der ganzen Welt anzugreifen. Edouard Simp\u00e8re<\/strong>, CTI-Manager bei Stormshield, hebt schlie\u00dflich die starke R\u00fcckkehr von REvil (auch Sodinokibi genannt) und Ryuk in diesem Jahr 2021 hervor. Der erste, der seit 2019 aktiv ist, galt lange Zeit als einer der am schwersten zu entdeckenden und einer der profitabelsten<\/a> f\u00fcr Cyberkriminelle. Sein Quellcode wird regelm\u00e4\u00dfig aktualisiert, um Cyber-Schutzma\u00dfnahmen entgegenzuwirken. Gl\u00fccklicherweise scheint die Zerschlagung der Gruppe durch die russischen Beh\u00f6rden ihr einen Strich durch die Rechnung gemacht zu haben.<\/p>\n Insgesamt stellt Edouard Simp\u00e8re jedoch fest, dass die grundlegende Funktionsweise dieser Malware gleich bleibt<\/strong>. Denn die beiden klassischen Arten von Ransomware \u2013 Locker, die den Betrieb eines Computers blockieren, und Cryptos, bei denen Daten verschl\u00fcsselt werden und ein Entschl\u00fcsselungsschl\u00fcssel als L\u00f6segeld gezahlt wird \u2013 haben sich nicht grundlegend ver\u00e4ndert. Er fasst zusammen: \u201eMan findet also Werkzeuge, die man schon vorher beobachtet<\/em> hat. Dagegen k\u00f6nnen sich die Mittel zum Eindringen in Computerarbeitspl\u00e4tze und Informationssysteme \u00e4ndern<\/em>.\u201c Doch wie haben sich diese Zugangswege, die den verschiedenen Ransomware-Familien gemeinsam sind, weiterentwickelt?<\/p>\n <\/p>\n Die Einfallstore, durch die Ransomware eindringen kann, sind (leider) vielf\u00e4ltig, wie dieses Schema<\/a> von der neuseel\u00e4ndischen Regierung verdeutlicht. Keine \u00dcberraschung: Phishing ist eines der Haupteinfallstore<\/strong>. Durch das direkte Abrufen von Anmeldedaten \u00fcbernehmen Cyberkriminelle auf diese Weise die Kontrolle \u00fcber einen VPN-Zugang oder eine E-Mail. Und es gen\u00fcgt, dass ein einziger Mitarbeiter in eine solche Falle tappt, um das gesamte Informationssystem des Unternehmens in Mitleidenschaft zu ziehen. Denn Cyberkriminelle bewegen sich schnell seitw\u00e4rts, bis sie die wertvollen Administratorrechte des Domainverzeichnisses in die H\u00e4nde bekommen. Und hinter den offensichtlichen Profilen der F\u00fchrungskr\u00e4fte sind alle Mitarbeiter eines Unternehmens in Wirklichkeit potenzielle Ziele<\/a> von Cyberkriminellen.<\/p>\n Manchmal sind die Einfallstore jedoch auch raffinierter, etwa durch Social Engineering<\/em>, oder direkter, etwa durch die Ausnutzung ungepatchter Software-Schwachstellen oder durch E-Mail-Bomben. Um diesen E-Mail-Vektor herum vermischen sich dann die Einfallstore der Ransomware mit ihren Verbreitungsmethoden. Wie in Ryuks Beispiel, wo ein einfacher Klick in einer E-Mail ein erstes Element, den Injektor, ausl\u00f6st, der den Download der eigentlichen Malware startet. Ein Beispiel unter vielen, denn \u201ediese Einfallstore beruhen auf der Ausnutzung von Schwachstellen, die unterschiedlich genutzt werden k\u00f6nnen<\/em>\u201c, sagt Edouard Simp\u00e8re. Eine Gleichung mit zwei Unbekannten, mit X Schwachstellen und Y M\u00f6glichkeiten, diese auszunutzen. Und in den letzten Jahren haben sich die Methoden zur Verbreitung von Ransomware diversifiziert<\/strong>. Auf der einen Seite sind die \u201eklassischen\u201c ungezielten Angriffe, spray and pray<\/em>, im CESIN-Barometer 2021 immer noch der wichtigste Angriffsvektor. Aber sie entwickeln sich weiter: Zwar werden sie immer noch in Form von gro\u00dfen, weltweiten E-Mail-Kampagnen durchgef\u00fchrt, die auf einen statistischen Ansatz setzen, aber sie sind heute viel besser ausgearbeitet als noch vor einigen Jahren. \u201eWir sind weit entfernt von der Amazon-Mail mit Fehlern fast in jedem Wort<\/em>\u201c, sagt \u00c9douard Simpere. Die Qualit\u00e4t ist h\u00f6her: Man findet z. B. <\/em>realistische Rechnungen mit einer Kontextualisierung<\/em><\/a> Es gibt zum Beispiel Rechnungen, die an Buchhalter adressiert sind, als ob es sich um die E-Mail eines Kunden<\/em> handeln w\u00fcrde. Seit 2021 nutzen Cyberkriminelle sogar gestohlene E-Mail-Verl\u00e4ufe wieder, indem sie Konversationen mit Themen und Inhalten aus fr\u00fcheren Gespr\u00e4chen neu starten. Nat\u00fcrlich nicht zu vergessen, dass sie eine infizierte Datei hinzuf\u00fcgen. Und auf der anderen Seite entscheiden sich einige Cyberkriminelle f\u00fcr eine viel gezieltere Strategie. So wurde im M\u00e4rz 2022 von einer anderen Cybersicherheitsfirma eine Kampagne entdeckt, die sich gegen bestimmte Unternehmen richtete, und von L'Expansion<\/em> als \u201echirurgischer Cyberangriff\u201c bezeichnet wird.<\/p>\n Wir sind weit entfernt von der Amazon-Mail mit Fehlern fast in jedem Wort<\/em>. Die Qualit\u00e4t ist h\u00f6her: Man findet z. B. realistische Rechnungen mit Kontext, die an Buchhalter adressiert sind, als w\u00e4re es die E-Mail eines Kunden.<\/em><\/p>\n Parallel dazu werden kleine und mittlere Unternehmen von Cyberkriminellen doppelt unter die Lupe genommen. Auf der einen Seite sind sie eigenst\u00e4ndige Ziele, da sie besonders empfindlich auf Unterbrechungen des Gesch\u00e4ftsbetriebs reagieren. Und andererseits dienen sie auch heute noch als Relaisstation, um ihre gr\u00f6\u00dferen Handelspartner anzugreifen. Denn vor Ransomware ist niemand sicher<\/strong>. Und um ein infiziertes Unternehmen davon zu \u00fcberzeugen, das L\u00f6segeld zu zahlen, ist jedes Mittel recht\u00a0...<\/p>\n <\/p>\n Denn w\u00e4hrend die offizielle Doktrin lautet, kein L\u00f6segeld zu zahlen, sind Cyberkriminelle nat\u00fcrlich nicht dieser Meinung. Und um die Waage auf ihre Seite zu bringen, denken sie sich zus\u00e4tzliche Druckmittel aus und setzen diese ein. Im Jahr 2018 wurden Patientendaten von rund 20 finnischen Psychotherapiezentren entwendet. Da sich die Opferfirma jedoch weigerte, das L\u00f6segeld f\u00fcr die Wiederherstellung der Daten zu zahlen, wandten sich die Cyberkriminellen an ... die Patienten selbst und drohten ihnen, die Daten zu ver\u00f6ffentlichen. Dies ist der Beginn des Trends der Bedrohung durch Datenoffenlegung<\/strong>. Ein zus\u00e4tzliches Druckmittel zur Verschl\u00fcsselung, siehe Alternative nun, um Unternehmen (und Einzelpersonen) zur Zahlung von L\u00f6segeld zu zwingen. \u201eCyberkriminelle haben festgestellt, dass einige Ziele sehr resistent gegen Ransomware sind<\/em>\u201c, sagt Renaud Feil<\/strong>, CEO und Mitbegr\u00fcnder von Synacktiv<\/a>, einem Unternehmen, das auf Sicherheitspr\u00fcfungen spezialisiert ist. Sie haben effektive Backups eingerichtet. Es musste also etwas anderes gefunden werden.<\/em>\u201c Konkret bedeutet dies, dass Unternehmen, bei denen der Ruf und die Vertraulichkeit auf dem Spiel stehen, wie z. B. Anwaltskanzleien oder Wirtschaftspr\u00fcfungsgesellschaften, gezielt angesprochen werden. Und die Bedrohung kann auch zu einer Bedrohung durch Verschl\u00fcsselung werden<\/strong>. Ein neues, innovatives Verfahren, bei dem Cyberkriminelle ein L\u00f6segeld verlangen, damit sie die Daten nicht verschl\u00fcsseln. Hier ist es die Belohnung ohne Anstrengung, die Cyberkriminelle suchen, indem sie sich allein auf die Angst st\u00fctzen, die sie ihren Zielen einfl\u00f6\u00dfen. Es ist nicht sicher, ob sie in der Lage sein werden, ihre Drohung wahr zu machen, aber w\u00fcrden Sie das Risiko eingehen?<\/p>\nRansomware und das Spiel der 7 Familien<\/h2>\n
Einfallstore, Verbreitung, Ziele: Anatomie der Ransomware<\/h2>\n
Edouard Simp\u00e8re<\/strong>, CTI-Manager Stormshield<\/pre>\n<\/blockquote>\n
DDoS und Datenoffenlegung als zus\u00e4tzliche Druckmittel zu Ransomware<\/h2>\n