Das Internet Crime Complaint Center des FBI meldete kürzlich einen Anstieg der Ransomware-Angriffe um 62 % im Vergleich zum Vorjahr. Diese Art von Angriffen sorgen immer wieder für neue Schlagzeilen in der Presse, auch wenn sie nichts Neues in der Cyberkriminalität sind.
Heutzutage wird eine Vielzahl von öffentlichen und privaten Einrichtungen ins Visier genommen und fast jede Organisation kann von Ransomware betroffen werden. Zum Ziel werden besonders Unternehmen mit schlechter IT-Hygiene in erfolgreichen Sektoren gemacht oder solche, deren Aktivitäten mit kritischen Themen verbunden sind. Es kommt nicht selten vor, dass staatliche Organisation kein Budget für Cyber-Verteidigung haben, wo der Schutz aufgrund der Sensibilität der Daten besonders notwendig ist. Daher sind sie besonders von Ransomware betroffen.
Wenn die Sensibilität bestimmter Einstiegspunkte unterschätzt wird, wie dies häufig bei mobilen Endgeräten der Fall ist, wird der Hackerzugriff erleichtert.
Entwicklung von Ransomwares
In den letzten Monaten sind zwei neue Trends aufgetaucht. Einerseits wurde beobachtet, dass der Einsatz von Ransomware häufig Teil groß angelegter Angriffe ist, die manchmal Monate im Voraus vorbereitet wurden und auf genau ausgewählte Unternehmen oder öffentliche Institutionen abzielen (kritischer Sektor, hoher Mehrwert ...). Diese als Großwildjagd qualifizierten Offensiven werden am häufigsten von Hackerteams durchgeführt, die über mehr finanzielle und / oder personelle Ressourcen als der Durchschnitt verfügen.
Der zweite Trend ist das Gegenteil des ersten. Es handelt sich um die Demokratisierung von Ransomware-as-a-Service-Angeboten zum Verkauf im dunklen Internet, die sich an Personen mit geringen Computerkenntnissen richten und nach einer einfachen und schnellen Möglichkeit suchen, Angriffe zu starten. Die Jigsaw-Ransomware wird beispielsweise in Cyberkriminellenforen für etwa 3.000 US-Dollar verkauft. RaaS ist auf Abonnementbasis verfügbar und bietet manchmal eine Verwaltungsplattform wie jede SaaS-Lösung zur Überwachung des Angriffs. RaaS ist viel weniger leistungsfähig als die Großwildjagd und wird allgemeiner verwendet, um Einzelpersonen oder kleine Unternehmen auf zufällige Weise zu treffen.
Wie kann eine Ransomware Ihr System infiltrieren?
Infektionsmethodik
Um Ransomware auf dem Informationssystem eines Unternehmens bereitzustellen, verwenden Cyberkriminelle Flotten von Computern, Smartphones oder Tablets. Meistens verwenden sie Phishing und unsichere Software.
Phishing-E-Mail
E-Mails können in großem Umfang und zu geringen Kosten betrieben werden und sind ein bevorzugtes Mittel zur Verbreitung von Ransomware. Eine kürzlich von Pradeo durchgeführte Studie zeigt, dass 34% der Mitarbeiter auf den Link klicken, der bei Phishing-Versuchen per SMS (E-Mail, SMS oder über Messaging-Anwendungen) angezeigt wird.
Schädliche oder betrügerische Webseite
Einige Websites ahmen bekannte Unternehmensseiten nach oder zeigen ein falsches Fenster an, um Internetbenutzer zum Herunterladen eines Programms zu verleiten. Dies erfolgt, indem eine Sicherheitslücke im Betriebssystem oder ein Update geltend gemacht wird, um den Zugriff auf einen Dienst zu bekommen. Das Programm ist eigentlich eine Malware.
Schwachstellen ausnutzen
- Server: Einige Netzwerkschwachstellen können ausgenutzt werden, um Malware zu verbreiten. Im Jahr 2020 ermöglichte eine Sicherheitsanfälligkeit in Citrix-Produkten böswilligen Personen, Code remote auszuführen.
- Software: Sicherheitslücken in der Software können den Zugriff auf Unternehmensdaten erleichtern. Zum Beispiel macht die Demokratisierung von VPN-Diensten sie zu einem Ziel der Wahl, und einige sind das Ziel von Brute-Force-Angriffen, um die Anmeldeinformationen von Administratoren zu erhalten.
Verschlüsselung und Lösegeld verlangen
Bei der Installation auf einem Terminal, das mit einem Informationssystem verbunden ist, werden Sicherheits- und Remoteverwaltungsprogramme von Ransomwares unter Quarantäne gestellt und anschließend lokale und Remote-Dateien, sowie mit dem Netzwerk verbundene Festplatten usw. verschlüsselt. Nach Abschluss dieses Schritts wird ein Lösegeld angefordert.
In den meisten Fällen bitten Hacker die angegriffene Entität, sich innerhalb eines bestimmten Zeitraums mit ihnen in Verbindung zu setzen. Über diesen Zeitraum hinaus werden die verschlüsselten Informationen gelöscht, weiterverkauft oder verteilt.
Selbst wenn die Zahlung erfolgt (häufig in verschlüsselter Form, daher nicht nachvollziehbar), ist die Organisation nicht sicher, alle Daten wiederherzustellen. Um eine Größenordnung zu haben, reicht die Höhe eines Lösegelds von einigen tausend Euro für eine Person und variiert zwischen 200.000 und 10 Millionen Dollar für die Ransomware DarkSide und WastedLocker.
Schwere Folgen
Finanzielle Verluste
Ransomwares wurden zum Geld erpressen ausgedacht. Wenn sie erstmal Ihre Opfer gefunden haben, stehen Organisationen vor einem Dilemma: Sollte das Lösegeld gezahlt werden? Was auch immer die Antwort sein mag, sie müssen auf jeden Fall mit finanzielle Verluste rechnen wie etwa mit einer vorzeitigen Einstellung ihrer Aktivitäten, einer vollständigen Bereinigung ihres Informationssystems, Untersuchungen zur Ermittlung der Angriffsquelle, einem Ticket der Datenschutzbehörden, usw...
Datenlecks
Während eines Cyberangriffs auf Ransomware und unabhängig von der Reaktion der Zielstruktur ist ein Datenverlust unvermeidlich. Selbst wenn das Lösegeld bezahlt wird und die Daten wiederhergestellt werden, landen die gestohlenen Informationen üblicherweise auf dem Schwarzmarkt.
Zwangsstillstand
Ein Cyber-Angriff, der häufig einen Teil oder das gesamte Computersystem funktionsunfähig macht, kann die Aktivität der betroffenen Entität verlangsamen oder sogar lähmen. In einigen Sektoren führt dies zu erheblichen finanziellen Verlusten, in anderen, beispielsweise im Gesundheitswesen und insbesondere in Krankenhäusern, ist die Patientensicherheit unmittelbar gefährdet.
Rufschaden
Wenn eine Organisation Opfer von Ransomware oder anderen Angriffen wird, die zu Datenlecks führen, ist es schwierig, sie ruhig zu halten. Darüber hinaus schreibt die Gesetzgebung (in den meisten Ländern) vor, dass der Vorfall der für den Datenschutz zuständigen Regierungsbehörde gemeldet wird. Die Berichterstattung in den Medien über eine Sicherheitsverletzung hat schwerwiegende Auswirkungen auf das Markenimage der Struktur, wodurch das Vertrauen der Stakeholder verloren geht: Kunden, Partner, Investoren usw.
Verhindern Sie, dass Ransomware Ihre mobile Flotte ausnutzt, um Ihr Informationssystem zu infizieren, und schützen Sie Ihre mobilen Geräte mit Pradeo Security.
