Die kostenintensive globale Bedrohung durch Ransomware hat sich in den letzten zwei Jahrzehnten parallel zum technologischen Wandel entwickelt. So wie Bedrohungsforscher und -ingenieure ihre Lösungen überdenken, wenn sich die Gegebenheiten im Bereich der Cybersicherheit ändern, folgen auch ihre Gegner stets den neuesten Trends, um ihre Opfer erfolgreich anzugreifen.
Neue Entwicklungen wie das erfolgreiche Vorgehen der Strafverfolgungsbehörden gegen Ransomware, sich ändernde Regierungsvorschriften, internationale Sanktionen und die sich abzeichnende Regulierung von Kryptowährungen zwingen die Angreifer dazu, sich anzupassen - sowohl um neue Herausforderungen zu bewältigen als auch um neue Chancen zu nutzen. Für Cybersicherheitsverantwortliche wird es entscheidend sein, diesen Veränderungen immer einen Schritt voraus zu sein, um sich gegen neue Exploits und Angriffsvektoren zu verteidigen. Die zehn wichtigsten Entwicklungen im Bereich Ransomware können Sie im Bericht „Trends bei Ransomware-Geschäftsmodellen“ nachlesen.
1. Konzentrieren auf Erpressung
Ransomware-Gruppen zielen traditionell auf Unternehmen in Branchen ab, in denen die Betriebszeit von entscheidender Bedeutung ist und selbst eine Stunde, die durch einen Payload verloren geht, der Dateien verschlüsselt oder die Produktion lahmlegt, sehr teuer werden kann. Einige Angreifergruppen haben jedoch Erfolg, ohne jemals eine Payload zu installieren.
LAPSU$, eine Gruppe, die es mutmaßlich auf Schwergewichte wie Microsoft, Nvidia, Uber und Rockstar Games abgesehen hat, erlangte Aufmerksamkeit, indem sie ihre Opfer erpresste und die gestohlenen Daten online stellte, wenn diese die Forderungen der Gruppe nicht erfüllten. Da die Angreifer immer mehr Möglichkeiten finden, von ihren Zielen zu profitieren, müssen die Verantwortlichen für Cybersicherheit sorgfältig prüfen, wo die Schwachstellen ihres Unternehmens liegen.
2. Profit aus Datenmonetarisierung
Heutzutage ist der Diebstahl oder die Verschlüsselung von Daten zur Erpressung der Opfer die Norm für Ransomware-Gruppen. Gestohlene Daten sind jedoch nicht nur für ihre rechtmäßigen Besitzer wertvoll. Ein kompromittierter Computer kann den Angreifern eine Fülle von Unternehmensgeheimnissen und sensiblen Dokumenten liefern, die sie an den Meistbietenden verkaufen können.
3. Anvisieren von Endpoints in der Cloud
Mit zunehmender Beliebtheit der Cloud wechselt auch die Landschaft der Endpunkt-Schwachstellen dahin. Fehlkonfigurationen und ungepatchte Schwachstellen sind nach wie vor Hauptziele für Ransomware-Gruppen.
Die diffuse Natur der Cloud-Ressourcen stellt zwar eine Herausforderung für die Angreifer dar, doch sie entwickeln neue Strategien, um ungenutzte Ressourcen zu nutzen. Eine Studie des Cybersecurity Action Teams von Google ergab, dass 86 % der kompromittierten Cloud-Instanzen zum Mining von Kryptowährungen verwendet werden. Angreifer, die bereits mit Cryptojacking beschäftigt sind, können auf den kompromittierten Systemen problemlos Ransomware installieren oder den Zugang an etablierte Ransomware-Gruppen verkaufen.
Wie die Krypto-Mining-Gruppe TeamTNT bewiesen hat, kann ein einziger kompromittierter Endpunkt den Angreifern Zugang zu sensiblen Daten in der Cloud für alle möglichen kriminellen Zwecke bieten.
4. Anvisieren von ungewöhnlichen Plattformen
Die Verantwortlichen für Cybersicherheit wissen, dass kein Angriffsvektor klein genug ist, um von ihnen übersehen zu werden, wenn ein Verstoß verheerende Folgen haben könnte. Ungewöhnliche Plattformen stellen möglicherweise sogar das größte Risiko für ein Unternehmen dar, da Erpresserbanden den Wert von geschäftskritischen Geräten ohne fertige Backups zu schätzen wissen.
Angreifer halten sich auch nicht nur an bewährte Exploits. Forscher des Georgia Institute of Technology haben 2017 einen Konzeptnachweis für die Implementierung von Ransomware auf einer speicherprogrammierbaren Steuerung (SPS) geliefert. Die Wiederherstellung oder der Ersatz eines solchen Geräts könnte unverhältnismäßig teuer sein, was genau das ist, was Ransomware-Gruppen bei ihren Zielen suchen.
Solche verheerende Schwachstellen sind häufiger, als man denkt. 2017 fanden Trend Micro-Forscher heraus, dass ältere Mainframes von Angreifern gekapert werden können, wenn sie mit dem Internet verbunden sind. Zu den bösartigen Aktionen, die Ransomware-Gruppen zur Verfügung stehen, gehören das Ändern von Administrationspasswörtern und das Erschweren des Neustarts des Netzwerks oder der Geräte.
5. Aufstocken durch Automatisierung
Angreifer machen sich die zeit- und kostensparende Automatisierung zunutze. Genau wie professionelle Unternehmen versuchen auch Erpresser, ihre Einnahmen zu maximieren, indem sie Aufgaben automatisieren.
Das Eindringen in ein System, die zeit- und arbeitsaufwändigste Phase eines Ransomware-Angriffs, kann jetzt rationalisiert werden, was es den Angreifern ermöglicht, mit weniger Mitgliedern oder Ressourcen zu arbeiten. Für die Sicherheitsverantwortlichen bedeutet dies, dass mehr Angriffe abgewehrt werden müssen, während die Angreifer sich bereits lateral durch die betroffenen Umgebungen bewegen, was für die Abwehr von Bedrohungen am kostspieligsten ist.
Ransomware-Akteure, die eine große Anzahl von Einbrüchen begehen, wie etwa Cerber, nutzen bereits die Blockchain-Technologie, um ihre Angriffe effizienter auszuführen. Erfolgreiche Teams werden Feuer mit Feuer bekämpfen, indem sie sich Lösungen zunutze machen, die KI und maschinelles Lernen nutzen, um Angriffe schneller zu erkennen und darauf zu reagieren.
6. Ausnutzen von Zero Day-Lücken
Gerissenen Angreifern mangelt es nicht an Möglichkeiten, in Zielnetzwerke einzudringen. Benutzeranmeldeinformationen - gestohlen, geleakt oder auf Online-Märkten gekauft - sind der direkteste Weg, und auch Software ist anfällig für Angriffe. Aber für die sich entwickelnde, professionelle Ransomware-Gruppe ist die Ausnutzung von Zero-Day-Schwachstellen ebenfalls eine Option.
Mit einem Exploit-Entwickler, der Schwachstellen für sie findet, könnten die Gruppen denselben unbekannten Schwachpunkt mehrmals ausnutzen, bevor sie entdeckt und gepatcht wird. Bislang wurden keine Gruppen identifiziert, die diesen Ansatz verfolgen, aber es ist nicht ausgeschlossen, wenn man bedenkt, wie wertvoll ein solcher Exploit für ein Team von böswilligen Akteuren sein könnte. Die Ransomware-Gruppe LockBit hat sogar eine Belohnung in Höhe von 50.000 $ für Schwachstellen ausgeschrieben.
Fazit
Ob unabhängige Akteure oder Nationalstaaten hinter den Angriffen stecken, Ransomware bleibt eine Bedrohung, die nicht leicht zu meistern sein wird. Eine Plattform wie Trend Micro One, die auf branchenführender globaler Bedrohungsforschung basiert, beschleunigt die Erkennung und Reaktion, um sich gegen die sich weiterentwickelnden Bedrohungen zu schützen.