Ransomware
2H 2023 Ransomware: Hauptbetroffene und Maßnahmen
Die Ransomware-Landschaft war in der zweiten Hälfte 2023 noch bedrohlicher dar als vorher. Doch sind Unternehmen diesen Angriffen nicht schutzlos ausgeliefert. Strategien mit Best Practices und Detection and Response-Lösungen minimieren das Risiko.
Wir haben die Lage und Trends der Ransomware-Landschaft in der zweiten Hälfte 2023 gründlich durchleuchtet. Es stellt sich heraus, dass die Gruppen LockBit, BlackCat und Clop für die meisten Angriffe mit der höchsten Anzahl an Opferunternehmen verantwortlich waren. Auch hat sich herauskristallisiert, dass die meisten Opfer-Unternehmen in Großbritannien und Nordamerika zu finden waren.
Wie schon in der ersten Jahreshälfte waren Organisationen in den USA, Großbritannien und Kanada auch im dritten und vierten Quartal 2023 die Länder mit den meisten Ransomware-Angriffen. Die Zahl der Opfer stieg in allen drei Ländern an: Die Zahl der Opfer in den USA lag mit 1.188 um 20 % höher lag als in den ersten beiden Quartalen und die in Großbritannien um 23,5 %. Kanada verbuchte einen Anstieg um 27,3 %.
LockBit-Akteure konzentrierten sich mit 45 % ihrer Angriffe am stärksten auf Nordamerika. Europa und der asiatisch-pazifische Raum belegten mit 26,8 % bzw. 12,4 % den zweiten und dritten Platz. Von den BlackCat-Ransomware-Angriffen entfielen ebenfalls 58 % auf Nordamerika, gefolgt von Europa und der asiatisch-pazifische Raum mit 17,1 % bzw. 14,1 %. Clop schließlich verübte sogar 69,4 % der Angriffe in Nordamerika; tatsächlich fanden alle Ransomware-Angriffe von Clop während des gesamten vierten Quartals in dieser Region statt. Europa lag mit 23 % weit dahinter an zweiter Stelle. Weitere Einzelheiten finden Interessierte im Originalbeitrag.
Risikoverringerung für Ransomware-Angriffe mit Best Practices
Unternehmen auf der ganzen Welt werden sich weiterhin mit den Gefahren auseinandersetzen müssen, die von Ransomware-Angriffen ausgehen, die sich zu einer immer raffinierteren und hartnäckigeren Bedrohung entwickelt haben. Für eine wirksame Bekämpfung von Ransomware-Infektionen müssen Verantwortlichen in den Unternehmen wachsam bleiben. Unterstützung bieten auch die folgenden empfohlenen Cybersicherheitspraktiken:
- Aktivieren Sie die mehrstufige Authentifizierung (MFA). Unternehmen sollten Richtlinien einführen, die von Mitarbeitern, die auf Unternehmensdaten zugreifen oder diese auf ihren Geräten speichern, die Aktivierung von MFA als zusätzlichen Schutz verlangen, um den unbefugten Zugriff auf sensible Informationen zu verhindern.
- Sichern Sie Ihre Daten. Organisationen sollten die „3-2-1-Regel“ befolgen, um ihre wichtigen Dateien zu sichern: Diese besagt, mindestens drei Sicherungskopien in zwei verschiedenen Dateiformaten zu erstellen, wobei eine Kopie außerhalb des Unternehmens gelagert werden sollte.
- Halten Sie Ihre Systeme auf dem neuesten Stand. Unternehmen sollten alle ihre Anwendungen, Betriebssysteme und andere Softwaretypen aktualisieren, sobald Hersteller und Entwickler Patches veröffentlichen. Dadurch werden die Möglichkeiten Schwachstellen auszunutzen, die Systemverletzungen ermöglichen, minimiert.
- Überprüfen Sie E-Mails, bevor Sie sie öffnen. Böswillige Akteure greifen auf bewährte Methoden zurück, um Systeme zu kompromittieren, etwa in E-Mails an Mitarbeiter eingebettete Links oder ausführbare Downloads, um Malware zu installieren. Unternehmen sollten daher ihre Mitarbeiter schulen, damit sie sich solcher Methoden bewusst sind und sie vermeiden.
- Befolgen Sie etablierte Sicherheits-Frameworks. Unternehmen können Cybersicherheitsstrategien auf der Grundlage der vom Center of Internet Security (CIS) und dem National Institute of Standards and Technology (NIST) erstellten Sicherheits-Frameworks entwickeln. Die dort beschriebenen Sicherheitsmaßnahmen und Best Practices können Sicherheitsteams bei der Entwicklung ihrer eigenen Pläne zur Abwehr von Bedrohungen anleiten.
Zudem lässt sich die eigene Cybersicherheitsinfrastruktur durch mehrschichtige Erkennungs- und Reaktionslösungen (Detection and Response) stärken, die Ransomware-Bewegungen vorhersehen und darauf reagieren können, bevor die Betreiber einen Angriff starten können.
Unternehmen können auch die Vorteile von Lösungen mit NDR-Funktionen (Network Detection and Response) nutzen, die ihnen einen umfassenderen Einblick in ihren Netzwerkverkehr ermöglichen.
Das ergänzende Datenblatt zu diesem Bericht, das Daten aus den Leak-Sites von RaaS- und Erpressergruppen, Trends OSINT-Forschung und Trend Threat Intelligence enthält, kann hier heruntergeladen werden.