Was haben die jüngsten hochkarätigen Cyberangriffe gemeinsam? Ransomware.
Mehr als ein Dutzend Cyberangriffe im Jahr 2021 beinhalteten den Einsatz von Malware, die den Zugriff auf Dateien verschlüsselte oder sperrte und die Zahlung eines Lösegelds verlangte. Das Kolonialer Pipeline-Angriff die zu einer Unterbrechung der Ölversorgung in vielen Teilen der Vereinigten Staaten führte, wurde durch Ransomware verursacht. In ähnlicher Weise beinhaltete der viel diskutierte Angriff auf JBS Foods die Verweigerung des Zugangs zu Dateien und die Forderung nach Lösegeld.
Auch der Chemie-Distributor Brenntag, der Computerhersteller Acer, die Versicherungsriesen AXA und CNA, der große Apple-Geschäftspartner Quanta sowie der Automobilhersteller Kia Motors hatten 2021 mit Ransomware zu kämpfen Houston Rockets meldete einen Angriff einer Ransomware-Gruppe.
Das laufende Jahr sieht ein Anstieg der Cyberangriffe und es scheint, dass sie nur noch schlimmer werden. Cyberkriminelle Gruppen wie Darkside, REvil und Evil Corp übernehmen kühn die Verantwortung für die Sicherheitsverletzungen, während Unternehmen anscheinend wenig tun, um ihre Verteidigung zu stärken. Der berüchtigte SolarWinds-Angriff hätte genug Lektionen liefern sollen, hätte genug Warnung sein sollen, aber viele haben es immer noch nicht geschafft, ihre jeweiligen Sicherheitspositionen zu überdenken.
Warum ist Ransomware heutzutage der neue beliebteste Angriffsvektor? Hier ist ein Überblick über die wichtigsten Gründe.
Abgeschirmte Sicherheitskontrollen
Die meisten Cybersicherheitslösungen verhindern die Installation von Ransomware, indem sie Dateien und Links scannen und auf eine Datenbank mit Ransomware-Fingerabdrücken verweisen. Sie scannen E-Mail-Anhänge, Dateis, P2P-Dateiübertragungen und andere in ein System eingeführte Dateien, um festzustellen, ob sie sicher oder schädlich sind. Dieser Ansatz wird jedoch leicht ineffektiv, wenn die menschliche Cybersicherheitsschwäche ausgenutzt wird.
Durch Phishing und andere Formen von Social Engineering werden Computernutzer davon überzeugt, unwissentlich Ransomware-verseuchte Programme herunterzuladen und zu installieren. Mitarbeiter, die von jemandem, der vorgibt, ein Vorgesetzter im Unternehmen zu sein, ausgetrickst werden, um Malware zu installieren, haben keine Ahnung, dass sie bereits ihre eigenen Sicherheitskontrollen umgehen. Jemand, der sich auf eine Raubkopie einer beliebten Fernsehsendung oder eines beliebten Films freut, wird versuchen, einige Sicherheitskontrollen zu deaktivieren, wenn er von einer Website dazu aufgefordert wird, damit er die gewünschte Videodatei herunterladen und anzeigen kann.
Leider verwenden die meisten Organisationen immer noch unterschiedliche Systeme zum Scannen von Dateien oder Links und zum Auslösen von Warnungen bei unsicherem Verhalten, wie dem Herunterladen und Installieren von Dateien von unbekannten oder verdächtigen Websites. Daher gibt es bei der Installation von Ransomware auf Computern keine allzu großen Hürden. Um diese Sicherheitslücke zu schließen, ist es ratsam, eine umfassende Cyber-Sicherheitsplattform zu nutzen, um Sicherheitskontrollen zu vereinheitlichen und die Erfassung und Analyse von Cyber-Bedrohungen zu zentralisieren. Dieser Aufbau schafft eine mehrschichtige Cyber-Abwehr, um sicherzustellen, dass Cyber-Angriffe unter Kontrolle gehalten werden.
Fehlende Notfallwiederherstellungs- und Geschäftskontinuitätspläne
Ein weiterer Grund für die Zunahme von Ransomware-Angriffen ist der offensichtliche Mangel an Bereitschaft der Unternehmen. Sie neigen dazu, den Forderungen der Attentäter zu erliegen, weil sie nicht bereit sind, mit den Folgen umzugehen. Aus diesem Grund kann die Bedeutung von Disaster Recovery und Business Continuity Planning (B) nicht hoch genug eingeschätzt werden. Es ist nicht nur eine Wahl, sondern ein Muss für Unternehmen jeder Größe und Art. Es garantiert nicht die schnellste Wiederherstellung nach einem Angriff, aber zumindest ermöglicht es es Unternehmen, über die bestmöglichen Vorgehensweisen zu entscheiden, anstatt einfach das Lösegeld zu zahlen, um den Betrieb so schnell wie möglich wiederherzustellen.
Das hat eine AT&T-Studie ergeben 1 von 5 Unternehmen hat keinen Kontinuitätsplan. Das mag niedrig klingen, ist aber hoch genug, um einfach zu implementierende Ransomware-Angriffe lohnenswert zu machen. Wenn Unternehmen keine Ahnung haben, wie sie mit einem Cyberangriff umgehen sollen, der ihnen den Zugriff auf wichtige Dateien oder Netzwerkressourcen verwehrt, werden sie sich eher den Wünschen des Angreifers unterwerfen.
Einfach auszuführen
Ransomware-Angriffe sind einfach auszuführen. Cyberkriminelle können sie nach dem Zufallsprinzip einsetzen und sehen, ob etwas hängen bleibt. Als ein Häufig gestellte Fragen zum Informationssicherheitsbüro der Universität Berkeleyley erklärt, gibt es zwei Hauptwege, wie Ransomware in die Computer der Opfer gelangt. Eine davon sind bösartige Dateianhänge (über E-Mail oder Messenger), die Benutzer dazu verleiten sollen, die bösartige Software unwissentlich zu installieren. Der andere sind „Drive-by“-Angriffe, bei denen ausgeklügelte Malware eingeführt wird, die sich durch Ausnutzung von Webbrowser-Schwachstellen verbreiten und installieren kann.
Sobald die Ransomware installiert ist, kann sie Dateien im infizierten System diskret verschlüsseln, sodass der Besitzer auf die Dateien nicht zugreifen kann. Der Verschlüsselungsprozess kann schrittweise über einen langen Zeitraum erfolgen, um die Wahrscheinlichkeit zu verringern, dass die anomale Aktivität erkannt wird. Der Angreifer wird dann Lösegeld verlangen, um die verschlüsselten Dateien zu entschlüsseln.
Wenn sich das Opfer weigert, das Lösegeld zu zahlen, sind die verschlüsselten Dateien für immer unzugänglich, es sei denn, ein außergewöhnlich talentierter IT-Mitarbeiter findet den Entschlüsselungscode und entsperrt die Dateien. Manchmal drohen Angreifer ihren Opfern mit einer Frist für die Zahlung des Lösegelds und sagen, dass sie den Entschlüsselungsschlüssel nach Ablauf des angegebenen Datums oder der angegebenen Zeit löschen werden.
Profitable Angriffe
„Angriffe ieren aus einem Grund und nur aus einem Grund – sie sind profitabel“, sagte der Cyber-Bedrohungsanalyst Brett Callow in einer Interview mit NPR. Im Vergleich zum Diebstahl von Geldern durch Angriffe auf Bankkonten und Online-Wallets von Unternehmen sind Ransomware-Angriffe deutlich profitabler und noch einfacher durchzuführen.
Obwohl nicht jeder Ransomware-Angriff 1 Million US-Dollar für den Täter einbringt, sind die gezahlten Lösegeldbeträge im Laufe der Jahre gestiegen. Laut der Palo Alto Networks 2021 Unit 42 Ransomware-Bedrohungsbericht, stieg das durchschnittliche Lösegeld, das von Opfern im Jahr 2020 gezahlt wurde, um 171 Prozent von 115,123 US-Dollar im Jahr 2019 auf 312,493 US-Dollar im vergangenen Jahr.
Aus demselben Bedrohungsbericht geht hervor, dass der höchste von einer Organisation gezahlte Betrag von 5 Millionen US-Dollar auf 10 Millionen US-Dollar oder 100 Prozent gestiegen ist. Cyberkriminelle sind gieriger denn je geworden. Die höchste Lösegeldforderung von 2015 bis 2019 wurde auf rund 15 Millionen US-Dollar geschätzt. Seitdem ist es radikal auf 30 Millionen US-Dollar gestiegen, wobei ein Ransomware-Täter gefordert hat
"Kooperative" Opfer
Laut einer Studie, entschieden sich mehr als 27 Prozent der Unternehmen, die im Jahr 2020 von Ransomware-Angriffen betroffen waren, das Lösegeld zu zahlen. Für sie ist dies die weniger schädliche Option im Vergleich zur Betriebsunterbrechung auf unbestimmte Zeit.
Regierungsbehörden fordern die Opfer von Cyberangriffen streng auf, nichts an Cyberkriminelle zu zahlen, aber viele Unternehmen sind davon überzeugt, dass es eine finanziell vernünftigere Entscheidung ist, sich dieser Anleitung zu widersetzen. Wie berichtet von Businesswireliegen die durchschnittlichen Ransomware-bedingten Ausfallkosten im Jahr 2020 bereits bei 141,000 US-Dollar, etwa dreimal so hoch wie im Vorjahr. Dieser Businesswire-Bericht zitiert eine Studie, die die durchschnittliche Lösegeldforderung auf 5,900 US-Dollar beziffert.
Zur Verdeutlichung weichen diese Zahlen von den durchschnittlich geforderten und gezahlten Lösegeldbeträgen ab, die zuvor zitiert wurden. Diese stammen aus einer anderen Studie und verdeutlichen die enorme Diskrepanz zwischen den durchschnittlichen Ausfallkosten im Zusammenhang mit Ransomware und dem durchschnittlichen Lösegeld, das von Angreifern verlangt wird.
Bequeme anonyme Geldüberweisungen
Neben der Rentabilität von Ransomware-Angriffen ist auch erwähnenswert, wie es jetzt einfacher geworden ist, Geld anonym zu senden und zu empfangen. Der Aufstieg von Bitcoin und anderen Kryptowährungen ist sicherlich für Cyberkriminelle, insbesondere Ransomware-Täter, von Vorteil.
Wie der nationale Sicherheitskorrespondent von NPR, Greg Myre, richtig vorgeschlagen hat:Bitcoin treibt Ransomware-Angriffe an.“ Die dezentrale und unregulierte Natur von Bitcoin-Transaktionen ermöglicht es Cyberkriminellen, Bitcoin- oder andere Krypto-Wallet-Adressen mutig bereitzustellen, wenn sie das Lösegeld verlangen. Sie wissen, dass es unwahrscheinlich ist, dass sie zurückverfolgt werden und dass die Überweisung rückgängig gemacht oder storniert wird.
Darüber hinaus können die Transaktionen Hunderttausende bis Millionen Dollar (in Bitcoin-Äquivalent) betragen. Wie bereits erwähnt, haben einige Opfer bis zu 10 Millionen US-Dollar an Ransomware-Täter gezahlt.
„Es ist wirklich ein sehr mächtiges Werkzeug in den Händen von Kriminellen, um Geldwäsche zu betreiben, Währungen auf eine Art und Weise von einem Staat in einen anderen zu verschieben, die in gewisser Weise unauffindbar und definitiv unkontrollierbar ist“, sagte der Cybersicherheitsexperte Yonatan Striem-Amit in einem Interview mit Myre.
Ein ernstes Anliegen
Die Häufigkeit und scheinbare Alltäglichkeit von Ransomware-Angriffen sollte allen Unternehmen als Warnung dienen, zumal die Angriffe noch nicht ihren Höhepunkt erreicht zu haben scheinen. Es wird erwartet, dass ihr Umfang und ihre Ausgereiftheit weiter voranschreiten und Prävention, Minderung und Sanierung erschweren.
Die beste Lösung ist immer noch die Prävention, bei der es um Schulungen oder eine Einweisung geht, wie Sie die Installation von Ransomware von vornherein verhindern. Unternehmen sollten außerdem Pläne für Disaster Recovery und Business Continuity erstellen und diese Pläne regelmäßig testen lassen. Es ist entscheidend, sich des Problems bewusst zu sein und bereit zu sein, mit seinen Folgen umzugehen.
