Kaspersky Lab identifiziert acht auf Ransomware spezialisierte Gruppen

Immer mehr Cyberkriminelle richten ihre Erpresser-Angriffe nicht mehr gegen Heimanwender, sondern bedrohen gezielt einzelne Unternehmen, wie die Experten von Kaspersky Lab in einem Blogeintrag mitteilen. Kaspersky Lab konnte acht verschiedene Gruppen ausmachen, die weltweit vor allem Finanzinstitutionen mit Krypto-Ransomware (Verschlüsselungssoftware) angreifen. Dabei kommt es in Einzelfällen zu Lösegeldforderungen in Höhe von mehr als einer halben Million US-Dollar.

Zu den acht identifizierten Gruppen gehören den Sicherheitsexperten zufolge die Autoren der PetrWrap-Malware, die sich weltweit gegen Finanzinstitute richtet, die berüchtigte Mamba-Gruppe sowie sechs weitere namenlose Gruppen. Die auf Ransomware spezialisierten Akteure haben es verstärkt auf Unternehmen abgesehen, nachdem sie zuvor Heimanwender attackiert und dabei auch Affiliate-Programme genutzt hatten. Die Neuausrichtung hat laut Kaspersky Lab einen einfachen Grund. Die zu erwartende Schadenshöhe für den laufenden Geschäftsbetrieb nach einem Ransomware-Angriff erhöhe die Bereitschaft von Unternehmen, das geforderte Lösegeld zu bezahlen. Für Cyberkriminelle seien derartige Angriffe lukrativer als Massenangriffe auf Heimanwender.

Wie die Spezialisten von Kaspersky erklären, gehen alle Gruppen bei ihren Angriffen ähnlich vor. Über Server-Schwachstellen oder Spear-Phishing-E-Mails wird die Malware in die Unternehmensnetzwerke eingeschleust. Sie versucht sich dort dauerhaft festzusetzen und sucht nach geschäftsrelevanten Datenressourcen, die dann verschlüsselt werden. Für die Entschlüsselung wird Lösegeld verlangt.

Die Mamba-Gruppe nutzt eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software DiskCryptor. (Bild: Kaspersky)

Manche Gruppen zeichnen sich auch durch eigene Vorgehensweisen aus. So nutzt etwa die Mamba-Gruppe eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software DiskCryptor. Die Entschlüsselungssoftware wird mit Hilfe eines legitimen Programms für Windows Remote Control installiert. Dieses Vorgehen ist für die Sicherheitsfachleute der Unternehmen nur schwer zu erkennen. In manchen Fällen beträgt die Lösegeld-Forderung pro Endgerät ein Bitcoin, was etwa der Summe von knapp 1.000 Euro entspricht (Stand Ende März 2017).

Auch PetrWrap nutzt eigene Tools und setzt sich bis zu sechs Monate lang im Netzwerk fest. Diese Ramsomware-Angriffe richten sich vorwiegend gegen Großunternehmen mit vielen Netzknoten. (Bild: Kaspersky)

Auch PetrWrap nutzt eigene Tools und setzt sich laut Kaspersky Lab bis zu sechs Monate lang im Netzwerk fest. Diese Ramsomware-Angriffe richten sich vorwiegend gegen Großunternehmen mit vielen Netzknoten.

„Wir müssen darauf gefasst sein, dass gezielte Ransomware-Attacken auf Unternehmen weiter zunehmen und zu nennenswerten Schäden führen werden“, prognostiziert Anton Ivanov, Senior Security Researcher, Anti-Ransom, bei Kaspersky Lab. „Dieser Trend ist alarmierend, weil die Akteure ihren Kreuzzug gegen neue und finanzkräftige Opfer gerade erst begonnen haben. Es gibt da draußen noch sehr viel mehr potenzielle Opfer, für die Angriffe mit Ransomware noch verheerendere Folgen haben könnten.“

Die Experten von Kaspersky Lab empfehlen Unternehmen, Daten mit regelmäßigen Backups sichern, so dass sich Dateien im Notfall wiederherstellen lassen. Sie sollten eine Sicherheitslösung, wie beispielsweise das Kaspersky Anti-Ransomware Tool for Business, einsetzen, die mit verhaltensbasierter Erkennung arbeitet. Malware, inklusive Ransomware, kann dann rechtzeitig durch ihr Verhalten als solche erkannt werden. So sollen sich auch noch unbekannte Samples identifizieren lassen.

Jede installierte Software auf Endpoints, aber auch auf Netzknoten und Servern, sollte geprüft werden und immer auf dem neuesten Stand sein. Security-Assessments (zum Beispiel Sicherheits-Audits, Penetrationstests oder Gap-Analysen) können Schwachstellen identifizieren und schließen. Haben externe Lieferanten und Dritte Zugriff auf das Unternehmensnetzwerk, sollten deren Sicherheitsrichtlinien ebenfalls überprüft werden.

Das Fachwissen beziehungsweise die Intelligence externer Sicherheitsanbieter unterstützten Organisationen bei der Prognose zukünftiger Angriffe. Speziell die Mitarbeiter im operativen Bereich und alle Ingenieure im Unternehmen sollten sensibilisiert werden und über aktuelle Ransomware-Gefahren Bescheid wissen, so Kaspersky Lab. Bevor Malware kritische Firmenressourcen überhaupt erreichen kann, sollte eine wirksame Sicherheitsstrategie Angriffe abwehren können.

Opfer von Ransomware können sich an NoMoreRansom.org wenden. Hier erhalten Betroffene Hilfe, Daten auch ohne Lösegeldzahlung zurückzubekommen. Zudem hat Kaspersky Lab Tools für die Opfer von Ransomware unter
NoRansom.kaspersky.com bereitgestellt.