Bedrohung durch Ransomware steigt weiter an

Bedrohung durch Ransomware steigt weiter an

Cyber-Erpressung mit dem Ziel, finanzielle Vorteile zu erzielen, kennt generell zwei Wege: Eine Methode ist es, Unternehmen damit zu drohen, sensible Daten zu veröffentlichen, zu löschen oder zu verschlüsseln – außer jedoch, es fließt entsprechendes Lösegeld. Die Angreifer suchen sich ihre Opfer meist genau aus, da die Wahrscheinlichkeit einer Lösegeldauszahlung besonders hoch ist.

Die andere – mittlerweile sehr gängige und bekannte – Methode heißt Ransomware. Der Unterschied zur ersten Herangehensweise: Opfer werden nicht vorgewarnt, sondern können solange nicht auf ihre verschlüsselten Daten oder Anwendungen zugreifen, bis das Lösegeld – meist in Form der anonymen Internetwährung Bitcoin – gezahlt wird. Bis dahin sind die meist sehr sensiblen Daten ohne einen Entschlüsselungscode nicht mehr zugänglich. Während in der Vergangenheit vor allem einzelne Computer und Endgeräte von Ransomware-Angriffen betroffen waren, haben es in den letzten Monaten große Attacken auf ganze Organisationen – insbesondere im Gesundheitswesen – in die Schlagzeilen geschafft. Und das ist keine Überraschung: Zum einen verfügen beispielweise Krankenhäuser über enorm kritische und möglicherweise sogar überlebenskritische Daten. Zum anderen sind die IT-Systeme in Klinken oft nur mangelhaft geschützt – Investitionen werden vor allem an anderer Stelle getätigt. In diesem Jahr waren bereits zwei deutsche Krankenhäuser und eine Klinik in Los Angeles betroffen – Fax, Brief und Telefon gehörten für einige Zeit wieder zum Klinikalltag der Betroffenen.

Viel Schaden mit wenig Mitteln

Das Verheerende an Ransomware: Auch wenn das Lösegeld gezahlt wird, besteht keine Garantie, dass die Daten wirklich wieder entschlüsselt werden. Und da das durchschnittliche Lösegeld, das von einem einzelnen Nutzer gefordert wird, meist relativ gering ist (in der Regel ein paar Hundert Dollar), gehen Angreifer nach dem „Spray and Pray“-Prinzip vor. Sprich: Angreifer legen so viele Fallen wie möglich aus – in Form von schädlichen Email-Anhängen oder Links – und hoffen dann auf einen hohe Ausbeute. Mit vergleichsverweise geringem operativem Aufwand erbeuten die Täter damit große Summen.

Seit dem zweiten Halbjahr 2015 beobachten wir ein konstantes Wachstum von Ransomware-Angriffen mit einem vorläufigen Höhepunkt im März 2016 – dies verdeutlicht auch diese Grafik:

BILD 1: Prozentualer Anstieg von Ransomware unter den von FireEye entdeckten Malware-Angriffen von Oktober 2015 bis März 2016

Der Anstieg im März geht vor allem auf die rasche Verbreitung des Ransomware-Trojaners Locky und eine groß aufgesetzte Spammail-Kampagne in über 50 Ländern zurück. Schädliche Email-Anhänge, die sich als Rechnungen oder Bildmaterial tarnten, führten zum Download der Malware. Sicherlich spornt auch die mediale Berichterstattung über solche Ransomware-Erfolge weitere Angreifer an. Die Warnmeldung von Petya beispielsweise enthalten sogar Links auf Artikel rund um die Macht von Cyber-Erpressung.

BILD 2: FireEye Threat Intelligence entdeckte 2016 Links auf der Zahlungsseite der Ransomware Petya, die auf die aktuelle Medienberichterstattung verweist

Eine Gefahr, die nicht stillsteht

Ransomware ist nicht nur deshalb gefährlich, weil sie mit nur wenigen Mitteln ganze Organisationen außer Gefecht setzen kann, sondern auch, weil Angreifer immer ausgereiftere Methoden entwickeln. Wir haben einige neue Ransomware-Varianten beobachtet, die eine Reihe neuer Taktiken, Techniken und Verfahren integriert haben und es ist zu erwarten, dass die Entwicklung hier nicht stehen bleibt. Angreifer werden neue Varianten programmieren, die noch zielgerichteter sind. „Etablierte“ Ransomware-Familien werden sich weiterhin ausbreiten – so zum Beispiel Cryptowall und TorrentLocker, die teilweise bereits seit 2014 aktiv sind. Unternehmen weltweit stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen immer wieder anzupassen.

Einer der besorgniserregendsten Bedrohungen betrifft den gezielten Einsatz von Ransomware als Teil eines mehrstufigen Angriffs. Hier habe Angreifer bereits Fuß in das Netzwerk gefasst haben, löschen im Vorfeld Backups oder erkunden Systeme mit den kritischen Daten, bevor sie einen Ransomware-Angriff starten. Wichtig für Unternehmen ist es deshalb, ihr Netzwerk sorgfältig zu segmentieren und Zugangskontrollen errichten. Darüber hinaus müssen Backup-Strategien regelmäßig überprüft werden und Daten auch per Offsite-Backup gesichert werden.

Möchten Sie sich über Ransomware hinaus ein Bild über die aktuelle Cyber-Bedrohungslage verschaffen? Dann lesen Sie doch die Ergebnisse der aktuellen M-Trends und des Advanced Threat Reports.