Online-Veröffentlichung vertraulicher Informationen statt Datenverschlüsselung Die Generation 2.0 von Ransomware tritt an
18. November 2020Aktuelle Ransomware-Angriffe zeigen, dass Cyber-Kriminelle ihre Strategie ändern: Sie gehen weg von einer reinen Verschlüsselung hin zu zielgerichteten Attacken mit der Drohung, vertrauliche Daten zu veröffentlichen, sollte das geforderte Lösegeld nicht gezahlt werden. Zu diesem Schluss kommen die Experten von Kaspersky durch die Analyse der beiden Ransomware-Familien Ragnar Locker und Egregor.
Kompromittierungen mit Lösegeldforderungen, so genannte Ransomware-Angriffe, gehören landläufig zu den ernstzunehmenden Angriffsszenarien. Sie können nicht nur kritische Geschäftsabläufe stören, sondern auch zu massiven finanziellen Verlusten, in einigen Fällen sogar zum Bankrott der betroffenen Organisation durch Strafzahlungen und rechtliche Klagen führen.
So haben Angriffe wie beispielsweise die durch WannaCry schätzungsweise mehr als 4 Milliarden Dollar an finanziellen Verlusten verursacht. Neuere Ransomware-Kampagnen ändern jedoch ihren Modus Operandi: Sie drohen damit, gestohlene Firmeninformationen an die Öffentlichkeit zu bringen. Zwei bekannte Vertreter dieser neuen Art von Ransomware: Ragnar Locker und Egregor
Vorgehensweise von Ragnar Locker und Egregor
Ragnar Locker wurde im Jahr 2019 entdeckt, erreichte aber erst in der ersten Hälfte des Jahres 2020 Bekanntheit, als große Unternehmen angegriffen wurden. Die Attacken sind sehr zielgerichtet, wobei jede schädliche Aktivität auf das beabsichtigte Opfer zugeschnitten ist. Dabei werden vertrauliche Informationen der Unternehmen, die sich weigern zu zahlen, auf der „Wall of Shame“-Seite der Cyberkriminellen veröffentlicht.
Wenn das Opfer mit den Angreifern kommuniziert und sich dann weigert zu zahlen, wird dieser Chat ebenfalls veröffentlicht. Die Hauptziele sind Unternehmen in den USA aus verschiedenen Branchen. Im vergangenen Juli gab Ragnar Locker bekannt, dem Maze-Ransomware-Kartell beigetreten zu sein. Dies bedeutet, dass es seitdem zu einem Austausch gestohlener Informationen und einer konkreten Zusammenarbeit zwischen beiden gekommen ist. Maze hat sich 2020 zu einer der bekanntesten Ransomware-Familien entwickelt.
Egregor wurde erstmals im vergangenen September entdeckt. Die Malware verwendet viele identische Taktiken und teilt zudem Code-Ähnlichkeiten mit Maze. Sie wird in der Regel durch einen Einbruch in das Netzwerk implementiert; sobald die Daten des Zielunternehmens herausgefiltert wurden, bekommt das Opfer 72 Stunden Zeit, um das Lösegeld zu zahlen, bevor die gestohlenen Informationen veröffentlicht werden. Wenn die betroffene Organisation die Zahlung verweigert, veröffentlichen die Angreifer den Namen und Links zum Download der vertraulichen Unternehmensdaten auf ihrer Leak-Seite.
Der Angriffsradius von Egregor ist dabei wesentlich größer als von Ragnar Locker. Die hinter dieser Ransomware stehenden Cyber-Kriminellen haben Opfer in ganz Nordamerika, Europa und Teilen der APAC-Region ins Visier genommen.
Folgende Tipps helfen beim Schutz vor Ransomware-Angriffen:
- Fernzugriffs-Tools/Remotedesktop-Dienste wie RDP sollten nicht in öffentlichen Netzwerken verwendet werden.
- Für jedes Konto beziehungsweise jeden Dienst ein einzigartiges starkes Passwort verwenden. Ein sicheres Passwort besteht aus mindestens 16 Zeichen sowie einer Kombination aus Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen.
- Software auf verwendeten Geräten regelmäßig aktualisieren, um so Sicherheitslücken zu schließen. Spezielle Patch-Management-Lösungen erkennen automatisch Sicherheitslücken, downloaden Patches und installieren sie. Dies gilt auch für kommerzielle VPN-Lösungen, die Remote-Mitarbeitern Zugriff gewähren und als Gateways im Netzwerk fungieren.
- E-Mail-Anhänge oder Nachrichten von unbekannten Personen sollten stets mit Vorsicht behandelt werden; im Zweifelsfall diese nicht öffnen.
Dedizierte Sicherheitslösungen wie Kaspersky Endpoint Detection and Response und Kaspersky Managed Detection and Response verwenden, um Angriffe frühzeitig zu identifizieren und zu stoppen. - Die Verteidigungsstrategie sollte darauf ausgelegt sein, seitliche Bewegungen und Datenexfiltration ins Internet zu erkennen. Hierbei besonders auf den ausgehenden Verkehr achten, um cyberkriminelle Aktivitäten zu erkennen.
- Regelmäßig Back-ups aller Daten erstellen.
- Mitarbeiter sollten in IT-Sicherheit geschult werden. Spezielle Schulungskurse wie Kaspersky Automated Security Awareness Platform helfen dabei, Mitarbeiter für aktuelle Cyberbedrohungen zu sensibilisieren. Eine kostenfreie Probelektion steht zur Verfügung.
Für persönliche Geräte sollte eine zuverlässige Sicherheitslösung wie Kaspersky Security Cloud verwendet werden, die vor Malware schützt, die Dateien verschlüsselt, und die von böswilligen Anwendungen vorgenommene Änderungen rückgängig macht. - Unternehmen können Ihren Schutz mit dem kostenlosen Anti-Ransomware-Tool für Unternehmen von Kaspersky optimieren. Die aktualisierte Version enthält eine Funktion zur Exploit-Verhinderung, um zu verhindern, dass Ransomware und andere Bedrohungen Schwachstellen in Software und Anwendungen ausnutzen. Dies ist auch für Kunden hilfreich, die Windows 7 verwenden: Mit dem Ende der Unterstützung für Windows 7 werden neue Schwachstellen in diesem System vom Entwickler nicht behoben.
- Für einen übergeordneten Schutz eine Endpunktsicherheitslösung wie Integrated Endpoint Security verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Remediation-Engine basiert. Sie ist in der Lage, bösartige Aktionen rückgängig zu machen. (rhh)
Hier gibt es weitere Informationen zu Ransomware 2.0