Welche Ransomware-Trends die größten Gefahren mit sich bringen

Ransomware wird immer ausgefeilter - 5 Trends, die uns noch lange beschäftigen werden

Malware- und Ransomware-as-a-Service: Damit braucht es keine genialen Hackerkollektive mehr, um Cyberangriffe erfolgreich durchzuführen. Jeder kann alles mieten, was er zu einem Angriff braucht. Und das ist noch nicht alles, was sich im Geschäftsfeld Ransomware zuletzt getan hat.

Eine Ransomware-Attacke auf den Fahrradbauer Prophete Ende November 2022 sorgte für einen mehrwöchigen Betriebsstillstand. Hohe Verluste waren die Folge, der ohnehin angeschlagene Konzern musste Insolvenz anmelden. Dieses aktuelle Beispiel zeigt, wie ernst die Auswirkungen von Ransomware-Angriffen sein können. Die Masche ist nicht neu: Seit 2005 versenden Cyberkriminelle Verschlüsselungs-Trojaner über das Internet – man sollte meinen, dass die Unternehmens-IT und die IT-Security-Industrie das Problem in der Zwischenzeit in den Griff bekommen haben. Weit gefehlt: In der IDC-Studie „Cybersecurity in Deutschland 2022“ gaben 70 Prozent der insgesamt 206 befragten deutschen Unternehmen mit mehr als 100 Mitarbeitern an, von Ransomware betroffen gewesen zu sein. Etwa die Hälfte konnte die Angriffe erfolgreich abwehren beziehungsweise isolieren, bevor größerer Schaden entstand.

Dass es immer mehr Unternehmen so geht wie Prophete, liegt nicht nur an der steigenden Zahl der Angriffe: Die Erpresser werden auch immer besser darin, die in Unternehmen ja vorhandenen Sicherheitsmaßnahmen auszuhebeln. Die hohe Zahl an Angriffen und die hohe Erfolgsrate der Cyberkriminellen lässt sich auch auf das Ransomware-as-a-Service-Geschäftsmodell zurückführen, das Angriffe auch ohne großes technisches Know-how ermöglicht.

Nach Meinung von Experten haben sich in den letzten Jahren 5 Trends herauskristallisiert:

1. Diversifizierung des Geschäftsmodells Ransomware

Neben den klassischen auf Ransomware spezialisierte Hackergruppierungen, über die man in den Medien liest, haben sich zwei weitere Gruppen auf die Erpressung von Unternehmen und Organisationen verlegt. So greifen zunehmend hoch professionelle kriminelle Organisationen gezielt große Unternehmen im produzierenden oder Dienstleistungsgewerbe an, bringen die Geschäftsaktivitäten zum Erliegen und fordern Lösegelder in Millionenhöhe. Hinzu kommen staatlich unterstützte Akteure, die – nicht zuletzt im Rahmen des Ukrainekriegs – Infrastruktur und Behörden gegnerischer Länder oder auch zur Finanzierung des eigenen Staates attackieren und den Betrieb stören. Am anderen Ende des Spektrums agieren Einzelne, die sich Ransomware-Tools und ganze Angriffsinfrastrukturen mieten und insbesondere kleine und mittelständische Unternehmen erpressen.

2. Doppelte Erpressung

Cyberkriminelle, die sich der Daten von Unternehmen bemächtigen, sind inzwischen dazu übergegangen, ihre Opfer gleich auf zwei Weisen zu erpressen. Zum einen fordern sie Lösegeld für die Entschlüsselung der Daten, zum anderen drohen sie damit, sensible Daten zu veröffentlichen oder der Konkurrenz zuzuspielen, wenn ihre Forderungen nicht erfüllt werden.

3. Angriffe an mehreren Fronten

Firmennetzwerke sind tagtäglich einer Flut an Malware ausgesetzt, die oft „nur“ zur Vorbereitung von Ransomware-Angriffen dienen. Sie laden weitere Malware nach, führen Zugangsdaten ab und öffnen ausgefeilten Angriffen von Ransomware-Varianten wie Ryuk oder Netwalker die Türen. Entdeckt die IT-Abteilung eine Malware-Infektion und beseitigt sie, heißt das noch lange nicht, dass die Gefahr gebannt ist – Zugangsdaten können schon längst abgeflossen sein, und die durch die Malware geöffneten Hintertüren warten nur darauf, dass die nächste Angriffswelle rollt.

4. Nicht nur Windows

Die überwiegende Mehrheit der Angriffswerkzeuge richtet sich gegen Windows-Systeme, schließlich ist es das mit Abstand am weitesten verbreitete Betriebssystem. Das Windows-Fernwartungstool RDP (Remote Desktop Protocol) hat sich zum wohl wichtigsten Angriffsvektor entwickelt. Nicht zuletzt, weil durch den Homeoffice-Boom der letzten Jahre die Notwendigkeit von Fernwartung zugenommen hat.

Zunehmend „unterstützen“ die Tools der Cyberkriminellen aber mehrere Plattformen und werden mit plattformübergreifenden Entwicklungswerkzeugen wie Go oder Python oder Frameworks wie Electron entwickelt. Durch die weite Verbreitung im Servermarkt ist Linux schon lange ins Visier von Angreifern geraten, die mithilfe von Malware Serverkapazitäten gerne für Cryptomining oder DDoS-Attacken einsetzen. Die Backdoors und Exploits werden aber selbstverständlich auch als Einfallstore für Ransomware-Angriffe genutzt.

Ein Großteil der Interaktion mit Internetanwendungen läuft über Smartphones und Tablets. Kein Wunder also, dass iOS-, aber insbesondere Android-Geräte ins Visier von Cyberkriminellen geraten sind. Für beide Plattformen werden immer mehr Fake-Apps entwickelt, die zum Abgreifen von Zugangsdaten (Nutzerkonten, Online-Banking und -Shopping) und zum Einschleusen von Malware oder Spyware dienen.

5. Sicherheits- und Analyse-Tools missbraucht als Angriffswaffen

Ein wichtiger Bestandteil von Sicherheitsmaßnahmen ist die Aufdeckung von Schwachstellen und Sicherheitslücken, etwa mithilfe von Penetrationstests. Wie sich in den letzten Jahren zeigt, setzen Cyberkriminelle zunehmend genau dafür gedachte Sicherheits-Tools ein, um ihrerseits Schwachstellen zu identifizieren und Login-Daten auszuspionieren. So wurde zum Beispiel das Open-Source-Tool Mimikatz zum Ausspähen von Login-Daten missbraucht. Auch Raubkopien kommerzieller Tools für Penetrationstests wie Cobalt Strike kursieren im digitalen Untergrund und werden für Ransomware-Angriffe eingesetzt. So kam Cobalt Strike bei 47 Prozent aller Angriffe zum Einsatz, bei denen das Sophos Rapid Response in den ersten drei Quartalen 2022 zu Hilfe gerufen wurde.

Fazit

Ransomware-as-a-Service und die Verfügbarkeit von ausgefeilten Angriffswerkzeugen senken die Einstiegshürden für Cyberangreifer. Malware, Hacking-Tools, aber auch Zugangsdaten zu Netzwerken, die potenzielle Angreifer mieten oder kaufen können, machen Ransomware-Attacken zu einem lukrativen Geschäftsmodell für Einzelne wie für das Organisierte Verbrechen. Die weite Verbreitung von Homeoffice-Arbeit und Cloud-Anwendungen vergrößern die Angriffsfläche. Koordinierte Angriffe über Botnetze und über Standardschnittstellen führen schnell zur Überforderung von IT-Abteilungen, die ohnehin schon unter Personalmangel leiden.

Passend zum Thema:

Zero Trust als Bollwerk gegen Cybercrime – Neuinterpretation von Security

Zero Trust-Konzept als Antwort auf Cyberbedrohungen: Merkmale, Vorteile, Nachteile. Mehr Sicherheit in der Hybrid-Cloud- und Hybrid-Work-Ära.

Cyberversicherungen: So gestalten und finden Sie das richtige Modell

Kriterien für die Fixierung und Auswahl der bestgeeigneten Cyberversicherung. Schritte und Etappen zum Erreichen des Cyber Insurance-Ziels.

Wie KRITIS-Betreiber die IT-Security rechtssicher umsetzen

Schutz von Kritischen Infrastrukturen (KRITIS) in turbulenten Cybercrime-Zeiten: die Auswirkungen neuer Gesetze wie IT-SiG 2.0, NIS 2 & CRA.