Jüngste Untersuchungen von Proofpoint haben gezeigt, dass 67 Prozent der Unternehmen in Deutschland im Jahr 2020 von Ransomware betroffen waren; angesichts der potenziellen Folgen ist das ein erschreckend hoher Prozentsatz. Von diesen Unternehmen entschieden sich 36 Prozent (international 34 Prozent), das Lösegeld zu zahlen, um ihren Betrieb wieder aufnehmen zu können.
Interessanterweise waren weltweit 92 Prozent der Unternehmen, die auf die Lösegeldforderungen eingegangen sind, in der Lage, ihre Daten auch wiederherzustellen. Der Wert lag im Vorjahr bei lediglich 71 Prozent und könnte auf eine wachsende Professionalität der Angreifer hindeuten. Der Verdacht liegt nahe, dass die Täter offenbar erkannt haben, dass sich die Zahlungsbereitschaft der Opfer erhöht, wenn diese darauf vertrauen können, dass ihre Zahlung auch tatsächlich zu einer Datenwiederherstellung führt.
Ein weiteres Beispiel dieser gesteigerten Professionalität wurde bei einem kürzlich erfolgten Angriff auf eine Modemarke deutlich. In diesem speziellen Fall durchsuchten die Angreifer die gestohlenen Daten zuerst, um nähre Details zur Cyberversicherung des Unternehmens in Erfahrung zu bringen, bevor sie sodann die Höhe der Lösegeldforderung auf ebenjenen spezifischen Betrag festlegten. Ausgestattet mit diesem Wissen verhandelten die Täter in der Folge mit dem Opfer, bis schließlich eine Zahlung erfolgte.
Das Maß an Professionalität reicht zuweilen sogar bis hin zu einer Art „Kundenservice“, den die Cyberkriminellen leisten. Relativ häufig lässt sich bei Ransomware-Angriffen beobachten, dass Cyberkriminelle ihre Opfer nach erfolgter Zahlung mittels eines anonymen Instant Messaging-Dienstes anleiten, sodass diese ihre Systeme schnell wieder zum Laufen bringen.
Was den jüngsten Angriff auf die Modemarke jedoch besonders interessant machte, war, dass die Angreifer dem Unternehmen nach der Verhandlung umfassende Ratschläge gaben, wie eine erneute Ransomware-Attacke verhindert werden könne. Diese Ratschläge geben in der Tat einen hervorragenden Überblick darüber, was jeder Sicherheitsverantwortliche tun kann, um sein Unternehmen besser vor derlei schmerzhaften und kostspieligen Angriffen durch Cyberkriminelle zu schützen. Hierzu gehören:
- Implementierung von E-Mail-Filtern
Die höchste Priorität in diesem Zusammenhang muss der Implementierung von E-Mail-Filtern gelten. Statistiken zeigen, dass etwa 94 Prozent aller Cyberangriffe mit einer E-Mail beginnen. Daher bedarf dieser Kommunikationskanal der größtmöglichen Aufmerksamkeit, wenn es um den Schutz einer Organisation geht. Obwohl Ransomware-Angriffe anfangs noch über Ports für das Remote Desktop Protocol (RDP) und weitere technische Schwachstellen erfolgten, haben Untersuchungen von Proofpoint gezeigt, dass mittlerweile E-Mail-basierte Phishing-Kampagnen zunehmend Ransomware im Gepäck haben. Dies steht im Kontrast zu vorangegangenen Jahren, in denen Hacker vor allem Downloader als primäre Payload ihrer Angriffe nutzten.
- Phishing- und Penetrationstests
Von den Attacken, die in einer E-Mail ihren Ursprung haben, erfordern mehr als 99 Prozent eine Aktion des Benutzers, um aus Sicht der Angreifer erfolgreich zu sein – sei es das Aktivieren eines Makros, die Herausgabe von Anmeldedaten oder schlicht die Bezahlung einer gefälschten Rechnung. Mitarbeiter sind die primäre Angriffsfläche eines jeden Unternehmens. Daher ist es wichtig, dass sie entsprechend geschult werden, wie man Bedrohungen erkennt und ihnen begegnet.
Dieser Ansatz sollte auch um regelmäßige Penetrationstests ergänzt werden, um auf diese Weise sicherzustellen, dass jegliche Fehlkonfigurationen oder ungepatchte Geräte innerhalb des Perimeters erkannt und behoben werden, bevor diese Schwachstellen ausgenutzt werden können.
- Überprüfung der Passwortrichtlinie für das Active Directory
Der dritte Ratschlag, den die Cyberkriminellen bei ihrer „Kundenbetreuung“ gaben, bestand darin, dass eine umfassende Passwortrichtlinie vor einem erneuten Ransomware-Angriff schützen könne. Hier gilt es die Multi-Faktor-Authentifizierung (MFA) für den externen Zugriff, auch auf die interne Passwortrichtlinie auszuweiten. Denn die Angreifer sind stets bestrebt, die ihnen durch ihre Attacke zur Verfügung stehenden Privilegien zu erweitern, um so auf große Mengen kritischer Daten zugreifen und diese vor der erzwungenen Verschlüsselung zusätzlich stehlen können. Dies gelingt ihnen nicht selten, indem schwache interne Passwörter identifiziert werden oder sie sich beispielsweise schlicht einer Excel-Datei bedienen, in der unter Umständen Datenbankadministratoren alle wichtigen Passwörter innerhalb ihrer Domäne aufgelistet haben.
- Investition in verbesserte Endpoint Detection and Response (EDR)
Cyberkriminelle werden bei ihren Angriffen immer kreativer. Ein aktueller Trend besteht darin, dass sie legitim installierte Tools wie PowerShell nutzen, um ihre Ziele zu erreichen. Bei einem Ransomware-Angriff verwendeten die Hacker zum Beispiel BitLocker, um die Geräte zu verschlüsseln. Die Lehre daraus muss lauten, dass eine signaturbasierte Malware-Erkennung nicht mehr ausreicht. Ein intelligenter Endgeräteschutz mit der Fähigkeit, kontinuierlich auf verdächtiges Verhalten zu achten und eine Wiederherstellung zu ermöglichen, wird somit unerlässlich.
- Besserer Schutz des internen Netzwerks und Isolierung kritischer Systeme
Große, flache Netzwerke sind zwar einfacher zu verwalten, erleichtern es dem Angreifer jedoch gleichzeitig, seine Attacke umzusetzen. Zusätzliche Schichten im Rahmen der Netzwerksegmentierung und -kontrolle, die kritischen Systemen und Daten vorbehalten sind, führen dazu, dass eine Malware-Infektion mit einer geringeren Wahrscheinlichkeit Auswirkungen auf kritische Dienste nach sich zieht. Einige IT-Systeme von Unternehmen sind in der Regel am stärksten gefährdet, besonders, wenn sie ständig E-Mails senden und empfangen. Es gilt daher, diese von den „Kronjuwelen“ der Infrastruktur und den Daten eines Unternehmens zu separieren.
- Nutzung von Offline-Speicher und bandbasierter Backups
Das Thema Backups wurde in den letzten Jahren etwas stiefmütterlich behandelt – und das ist in der Tat keine gute Nachricht. Denn die heute häufig eingesetzten automatischen Online-Backups lassen sich zwar nahtlos implementieren sowie automatisieren und sind aus Sicht der IT-Teams eine bequeme Möglichkeit, Datensicherungen zu erstellen. Allerdings ist diese Art von Backups leider auch anfällig für Angriffe. Sobald ein Cyberkrimineller Admin-Anmeldedaten habhaft wird, kann er das gesamte Backup löschen oder beschädigen und so die betroffene Organisation ohne Wiederherstellungsmöglichkeit zurücklassen. Die Tage von Bändern, die abtransportiert werden, sind vielleicht vorbei. Dennoch ist es von großer Bedeutung, dass ein umfassender Ansatz existiert, um Backups in einen tatsächlichen Offline-Speicher zu verschieben. Nur so lässt sich sicherstellen, dass sie dem Zugriff von böswilligen Hackern vorenthalten werden können.
Die hier genannten, grundlegenden Empfehlungen stammen direkt aus der Feder einer millionenschweren Ransomware-Bande. Diese Ratschläge zu beachten, kann einen wichtigen Beitrag dazu leisten, die Wahrscheinlichkeit erfolgreicher Ransomware-Infektion erheblich zu verringern. Es gilt in diesem Zusammenhang sich zu vergegenwärtigen, dass viele dieser Angriffe opportunistischer Natur sind. Daher ist es nicht nötig, über eine „perfekte“ Sicherheit zu verfügen. Diese muss nur robust genug ausgestaltet sein, um einem potenziellen Angreifer vor Augen zu führen, dass die für einen erfolgreichen Angriff nötigen Anstrengungen an anderer Stelle gewinnbringender wären.
Neueste Kommentare
Noch keine Kommentare zu Zwei Drittel der deutschen Unternehmen erleiden Ransomware-Attacken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.