Ransomware 2020

2020 wird uns allen in Erinnerung bleiben; dazu trägt unter anderem der extreme Anstieg von Ransomware-Infektionen bei.

Ransomware hat seit ihrem ersten Bühnenauftritt eine wahrhaftige evolutionäre Reise durchlebt – von einem unsystematischen Tool, das von einzelnen Enthusiasten entwickelt wurde, hat sie sich zu einer mächtigen Untergrundindustrie entwickelt, die ihren Entwicklern enorm viel Geld in die Tasche spielt. Dazu gesellt sich die Tatsache, dass die Kosten und der Preis für den Eintritt in diese Schattenwelt immer geringer werden.

Denn im heutigen Zeitalter ist es nicht mehr notwendig, dass Möchtegern-Cyberkriminelle ihre eigene Malware entwickeln, geschweige denn diese im Dark Net kaufen. Sie benötigen lediglich Zugriff auf eine RaaS-Cloud-Plattform (Ransomware-as-a-Service). Einfach in der Bereitstellung und ohne die Notwendigkeit jeglicher Programmierkenntnisse, ermöglichen diese Plattformen es nahezu jedem, Ransomware-Tools nach Belieben einzusetzen. Die Folge? Die Anzahl der Ransomware-Cybervorfälle hat deutlich zugenommen.

Ein weiterer und dazu überaus beängstigender Trend ist momentan der Übergang von einem simplen Ransomware-Modell zu kombinierten Angriffen, bei denen Daten nicht nur verschlüsselt, sondern im Voraus entwendet werden. In diesen Fällen kann eine Nichtzahlung des geforderten Lösegelds also nicht nur zur vollständigen Vernichtung von Informationen, sondern auch zu deren Veröffentlichung in offenen Quellen oder zum Verkauf bei einer geschlossenen Auktion führen. Im Rahmen einer solchen Versteigerung im Sommer 2020, wurden Datenbanken von Agrarunternehmen, die unter Einsatz der Ransomware REvil entwendet wurden, mit einem Startpreis von 55.000 US-Dollar zum Verkauf angeboten.

Leider fühlen sich viele Ransomware-Opfer dazu verpflichtet, das geforderte Lösegeld zu zahlen, obwohl sie wissen, dass dies keine Garantie dafür ist, dass sie ihre Daten auch tatsächlich zurückerhalten. Das liegt meist daran, dass sich Hacker gerne Opfer suchen, die nur sehr geringe Leerlaufzeiten tolerieren können. So kann der durch einen Produktionsstillstand verursachte Schaden pro Tag beispielsweise in Millionenhöhe liegen, während sich eine Vorfalls-Analyse über Wochen ziehen kann und selbst dann keine 100%ige Erfolgsquote gewährleistet ist. Und wie sieht es mit medizinischen Unternehmen aus? In dringenden Situationen fühlen sich viele Geschäftsführer hilflos und haben das Gefühl, keine andere Wahl zu haben, als zu zahlen.

Im vergangenen Herbst nahm das FBI offiziell Stellung zum Thema Ransomware und sprach die eindeutige Empfehlung aus, dass niemand den Lösegeldforderungen von Hackern nachkommen sollte. (Die Lösegeldzahlung ist kontraproduktiv und fördert mehr Angriffe und garantiert in keinster Weise die Wiederherstellung verschlüsselter Daten.)

Diese Angriffe sorgten für Schlagzeilen

Im Anschluss haben wir einige Vorfälle aus der ersten Jahreshälfte für Sie zusammengefasst, die auf das wachsende Ausmaß des Problems hinweisen.

Im Februar 2020 fiel der dänische Dienstleistungskonzern ISS Ransomware zum Opfer. Cyberkriminelle verschlüsselten die gesamte Datenbank des Unternehmens, was dazu führte, dass Hunderttausende Mitarbeiter in 60 Ländern keinen Zugriff mehr auf jegliche Unternehmensdienste hatten. Das Unternehmen weigerte sich, die geforderte Summe zu zahlen. Die Wiederherstellung eines Großteils der firmeninternen Infrastruktur sowie die Vorfalls-Analyse nahmen etwa einen Monat in Anspruch. Dabei wurden die Gesamtverluste auf 75 bis 114 Millionen US-Dollar geschätzt.

Im Frühjahr fiel der US-amerikanische IT-Dienstleister Cognizant der Ransomware Maze zum Opfer; der Vorfall wurde am 18. April offiziell bestätigt. Die Kunden des Unternehmens nutzen die vom Unternehmen bereitgestellte Software hauptsächlich für Outsourcing-Zwecke, die aufgrund des Vorfalls gestört wurden.

In einem Statement, das Cognizant unmittelbar nach dem Angriff an seine Partner sendete, gab das Unternehmen Maze-spezifische Server-IP-Adressen und Datei-Hashes (kepstl32.dll, memes.tmp, maze.dll) als Indikatoren für eine Kompromittierung an.

Die Wiederherstellung der Unternehmensinfrastruktur nahm 3 Wochen in Anspruch und Cognizant verzeichnete finanzielle Verluste in Höhe von 50 bis 70 Millionen US-Dollar im zweiten Quartal 2020.

Auch die britische Behörde Redcar and Cleveland Borough Council erlitt im Februar einen Angriff. Die britische Zeitung The Guardian zitierte ein Vorstandsmitglied mit den Worten, dass sich die Behörde drei Wochen lang (die für den Wiederaufbau der von unzähligen Anwohnern genutzten IT-Infastruktur) gezwungen sah, mit „Stift und Papier“ zu arbeiten.

So können Sie sich schützen

Vorsorge ist auch hier besser als Nachsorge! Statten Sie Maildienste, die potenzielle Einfallstore zu nicht autorisierten Zugriffen darstellen, mit Spam-Filtern aus, um ausführbare Anhänge zu blockieren oder unter Quarantäne zu stellen.

Sollte ein möglicher Angriff dennoch fruchten, minimieren Sie Leerlaufzeiten und potenzielle Schäden durch regelmäßige Backups aller unentbehrlichen Geschäftsdaten. Speichern Sie diese Kopien in einer sicheren Cloudumgebung.

Darüber hinaus sollten Sie eine dedizierte Lösung, wie zum Beispiel Kaspersky Anti-Ransomware Tool verwenden. Mithilfe der Cloud- und Verhaltensanalyse erkennt unser Kaspersky Anti-Ransomware Tool verdächtige Verhaltensweisen und schützt das System so vor Ransomware; bereits infizierte Systeme können durch das Tool bereinigt werden.

Unsere integrierte Lösung Kaspersky Endpoint Security for Business bietet einen noch umfassenderen Schutz vor jeglichen Arten von Bedrohungen. Neben den Funktionen von Kaspersky Anti-Ransomware Tool verfügt Kaspersky Endpoint Security for Business über das breit gefächerte Adaptive Anomaly Control Tool zur Web- und Gerätekontrolle, sowie über Empfehlungen zur Konfiguration von Sicherheitsrichtlinien, um die Lösung selbst gegen die neuesten Arten von Angriffen zu schützen.

Tipps