Lehren sich aus den jüngsten Ransomware-Angriffen ziehenVerbrechen als Geschäftsmodell
9. Februar 2024Zwei von drei Unternehmen waren im letzten Jahr von einem Ransomware-Vorfall betroffen. Der Branchenverband Bitkom ließ bereits im Herbst 2023 verlauten, dass jedes zweite deutsche Unternehmen es im laufenden Jahr mit Ransomware zu tun bekommen hatte (rund 52 Prozent). 4 von 10 Ransomware-Opfern (44 Prozent) berichten, dass ihr Geschäftsbetrieb durch die lahmgelegten Computer und verlorenen Daten beeinträchtigt wurde. Die Prognosen für 2024 verheißen keine Entwarnung, eher im Gegenteil.
Organisierte Verbrecherbanden sind in der Vergangenheit zunehmend professioneller vorgegangen und haben Ransomware-Angriffe von Anfang bis Ende durchgezogen – von der initialen Kompromittierung über die Etablierung eines „Brückenkopfs“ im Unternehmen und die Verbreitung der Malware auf den Geräten der Benutzer. Dazu kommt die Abwicklung der eigentlichen Lösegeldforderung(en) und des Verhandlungsprozesses, komplett mit ausgeklügelten Dashboards. Hier finden sich neben dem Umfang der gestohlenen Daten, die Telefonnummern der Kontaktpersonen und nicht zuletzt die Zahlungsmodalitäten.
Das klingt auf den ersten Blick nach einem konsistenten Prozess mit hoher Erfolgsgarantie. Cyber-Kriminelle mussten dennoch feststellen, dass dieses Vorgehen nur bis zu einem gewissen Punkt erfolgreich war. Spielen nicht kalkulierbare externe Faktoren eine Rolle oder stören sie an irgendeinem Punkt die Angriffskette, kann die gesamte Operation aus den Fugen geraten.
Inzwischen haben diverse Ransomware Gangs ihre Strategien deshalb modifiziert – im Übrigen ein weiteres Indiz für ein hoch professionelles Vorgehen. Diese Gruppen sind als Teil der organisierten Kriminalität unter anderem dazu übergegangen, sich in spezialisierte Ransomware-as-a-Service-„Marken“ aufzusplitten.
Das soll sicherstellen, dass keine einzelne Gruppierung allein für einen Angriff verantwortlich gemacht werden kann. Für die einzelnen Beteiligten besteht so die Möglichkeit der sogenannten „glaubhaften Abstreitbarkeit“ (plausible deniability). Das macht es den ohnehin schon unterbesetzten Behörden extrem schwer, die Schuldigen zu ermitteln und dingfest zu machen.
Und natürlich senkt RaaS die Einstiegshürden. „Kleinkriminelle“ in diesem Bereich müssen keine Computerexperten mehr sein. Sie greifen einfach auf eine verfügbare Software zurück, wenn Sie einen Angriff lancieren oder Lücken mithilfe spezialisierter Service-Angebote schließen wollen. Alles auf dem freien (Ransomware-)Markt verfügbar.
Zudem existieren spezialisierte Lieferketten. Viele Ransomware-Gruppen lagern beispielsweise die Datenerfassung an Spezialisten aus. Diese verfügen über fortschrittliche Tools, die Schwachstellen in großem Maßstab aufdecken, sie ermitteln anfällige Unternehmen, und nicht gepatchte Mailserver, erheben Daten dazu, welche Links die Benutzer am häufigsten klicken usw.
Sicherheitsverletzungen bei großen Unternehmen mögen schlagzeilenträchtiger sein, dennoch kommen Angriffe auf kleine und mittlere Firmen mindestens ebenso häufig vor. Ein Trend, der sich zuletzt deutlich abgezeichnet hatte: kleinere Firmen innerhalb der Lieferkette zu attackieren und sich auf diese Weise Zutritt zu größeren zu verschaffen.
Risiken senken
Um die Risiken von Cyber-Angriffen zu senken, kommt man um eine ganzheitliche Strategie und deren konsequente Umsetzung nicht herum. Die meisten Unternehmen verfügen über Cyber-Sicherheitsrichtlinien und -programme. Zumal die Einhaltung der bestehenden Regularien immer strenger überwacht wird. Allerdings werden solche Richtlinien längst nicht immer angemessen durchgesetzt.
Auf die Benutzer zugeschnittene Schulungen gehören weiterhin ganz oben auf die Prioritätenliste. Spezialisierte Datensammler analysieren kontinuierlich das Benutzerverhalten, um neue Techniken zur Verbreitung von Phishing- und Malware-Kampagnen zu entwickeln. Die Benutzer sollten zuverlässig in der Lage sein, Anzeichen für verdächtige Aktivitäten zu erkennen, sei es in Form von zweifelhaften E-Mails, bösartig manipulierten QR-Codes und Links, gestohlenen Passwörtern usw.
Gleichzeitig bleiben Bedrohung durch Insider eine real existierende Gefahr. Von außen betrachtet mag es surreal klingen, aber kriminelle Banden setzen aktiv Personen über Drittorganisationen ein, um Ransomware zu implantieren und zu verbreiten. Bösartiger Code bleibt dann vielleicht monatelang inaktiv und im Verborgenen, bevor die betreffenden Cyber-Kriminellen den eigentlichen Angriff starten – lange nachdem der Täter das Unternehmen verlassen und seine Spuren systematisch verwischt hat.
Software zeitnah zu patchen, sollte eine Selbstverständlichkeit sein. Heutzutage existiert fortschrittliche Software, um Schwachstellen zu bewerten und den Prozess zu automatisieren. Dabei wird alles erfasst, was sich innerhalb der Netzwerkreichweite des Unternehmens befindet, inklusive der Geräte. Einmal richtig konfiguriert, identifiziert die Software mit einem Mausklick die Software und Geräte, die gepatcht werden müssen. Und zwar in der Reihenfolge ihrer Kritikalität.
Die Daten sollten in einem verschlüsselten Ring-Fencing-System archiviert und gesichert werden. Im Falle eines Angriffs sind Unternehmen dann eher in der Lage, mit der Situation umzugehen und können möglicherweise auf die Zahlung des geforderten Lösegelds verzichten.
Parallel dazu sollten Firmen ihre Zugriffskontrollen überwachen und hinsichtlich ihres Geltungsbereichs überprüfen, um geschäftskritische Informationen zu schützen. Das gilt gleichermaßen für jede Art von Remote-Verbindung. Zudem sollte man hier Dienste sperren können, ohne die Benutzer in ihrem Arbeitsalltag zu behindern. Dazu kommen weitere Standard- und Routinemaßnahmen wie Penetrationstests, Phishing-Simulationen, die richtige Konfiguration und Überwachung von E-Mail-Gateways und Firewalls.
Wirtschaftsdienstleistungen der anderen Art
Verbrecherbanden im Bereich der organisierten Cyber-Kriminalität operieren heute wie Wirtschaftsdienstleister. Mit dem kleinen Unterschied, dass es sich um Kriminelle handelt, die beruflich in Unternehmen eindringen, gewerbsmäßig Daten stehlen und verkaufen. Dazu verfügen sie über hochmoderne, professionelle und zuweilen unkonventionelle Fähigkeiten – die sie auch in den Dienst anderer stellen.
Nicht selten sind sie Unternehmen einen Schritt voraus, wenn es darum geht, in die neuesten Tools und Techniken für Cyber-Sicherheit zu investieren. Jüngstes Beispiel: die Nutzung von Large Language Models und Generativer KI.
Unternehmen haben angesichts dessen keinen Spielraum für Nachlässigkeit. Es gilt, die eingesetzten Technologien in vollem Umfang zu optimieren, um im Fall einer Sicherheitsverletzung wenigstens die Auswirkungen zu minimieren. Geldbußen mögen berechenbar sein, das Ausmaß einer Rufschädigung – auch über die Zeit gesehen – kaum.
Jörn Koch, VIPRE Security Group