Kriminelle Hacker und Cybersicherheitsexperten befinden sich in einem ständigen Wettlauf im Finden von Sicherheitslücken, entweder um diese auszunutzen oder zu beheben.
Bei Ransomware konnte im vergangenen Jahr als allgemeinen Trend eine Verschiebung zu gezielteren, hochkarätigeren Spear-Phishing-Angriffen beobachtet werden. Für solche Attacken investieren Hacker meist Wochen oder Monate engagierter Arbeit, bei der jeder Schritt des Prozesses überwacht wird. In der Regel resultieren diese aufwendigen Vorbereitungen, bei einem gelungenen Eindringen in ein System, in hohen Lösegeldforderungen. Aber auch ältere Methoden finden immer noch ihre Nischen.
Avaddon zum Beispiel ist eine Ransomware-Variante bei der bösartige Links in Spam-E-Mails verwendet werden. Das ist eine Rückkehr zur klassischen Angriffstaktik. Damit dieser Ansatz funktioniert, wurden einige neue Techniken entwickelt, die den Cyberkriminellen ermöglichen, eine hohe Anzahl von Opfern zu erpressen.
Automatisierte Erpressung
Da Avaddon ein weites Netz nutzt und versucht, so viele Opfer wie möglich zu infizieren, haben dessen Betreiber ein cleveres Schema für automatisierte Maleware hervorgebracht. Ihre Dark Web Seite enthält eine öffentliche Liste der Unternehmen, die sie infiziert haben, inklusive dem Countdown bis private Daten veröffentlicht werden. Wenn die Lösegeldforderungen nicht bezahlt werden, kommt es am Ende des Countdowns zu einer automatischen Veröffentlichung der Daten.
Die Website gibt folgendes zu verstehen:
Verschlüsselte Dateien sind nicht das Hauptproblem. Unternehmen sind nicht in der Lage, das Risiko von Informationslecks, insbesondere wenn es sich um privaten Informationen handelt, zu verstehen. Solche Informationslecks führen zu Verlusten für das Unternehmen sowie Bußgeldern und Klagen. Und vergessen Sie nicht: Interne Informationen Ihres Unternehmens könnten in die Hände von Mitbewerbern gelangen! Wie wir aus Berichten wissen, können die Kosten für die Wiederherstellung der Daten von Unternehmen zehnmal so hoch sein wie die eigentliche Lösegeldforderung.
Um die Bedrohung noch realer erscheinen zu lassen, können die Daten von Unternehmen, die eine Zahlung verweigert haben, kostenlos auf derselben Unternehmenswebsite heruntergeladen werden.
Ransomware-Banden passen sich an
Im Allgemeinen können effiziente Backup-Verfahren die Gefahr von Ransomware-Angriffen drastisch verringern. In der Vergangenheit beruhten Ransomware-Angriffe hauptsächlich darauf, Unternehmen oder anderen Organisationen den Zugang zu ihren eigenen Dateien zu verunmöglichen. Damit wurde das Arbeiten verunmöglicht und man wurde mit der Bedrohung des Verlusts unersetzlicher Daten konfrontiert. Aus diesem Grund unternehmen viele Ransomware-Hacker große Anstrengungen, um Backups zu finden und zu verschlüsseln, bevor sie ein Lösegeld verlangen.
Da Ransomware-Angriffe immer häufiger und schwerwiegender werden, verbessern viele Unternehmen ihre Backup-Verfahren. Dies macht traditionelle Ransomware-Angriffe wirkungslos, da Opfer ihre Systeme einfach mit sekundären, air-gapped Backups aktualisieren können, selbst wenn die Hacker einen Zugriff auf das primäre Backup erreichen konnten.
Als Folge dieser Entwicklung konzentrieren sich Gruppen wie Avaddon nun stärker auf durchsickende, sensible Daten. Die Wiederherstellung aus Backups kann ein System wiederherstellen. Allenfalls durchgesickerte Daten können auf eine andere Weise Schaden anrichten. Negative Folgen können zum Beispiel Rufschädigung, rechtliche Probleme oder Informationsweitergabe an Konkurrenzunternehmen sein. Die Schäden, die durch durchgesickerte Daten verursacht werden, können so schwerwiegend sein, dass es für die Opfer lohnenswert wird, ein Lösegeld zu bezahlen.
Was sie gegen solche Angriffe auf Ihr System tun können
Die erste Maßnahme gegen Ransomware-Angriffe besteht darin, Angreifer daran zu hindern, überhaupt Zugriff auf das System zu erhalten. Die häufigsten Angriffsvektoren sind Phishing-Angriffe und Remote-Desktop-Protokoll-Exploits. Deshalb ist es wichtig, regelmäßige Phishing-Aufklärungskampagnen mit Mitarbeitern durchzuführen und sich über die neuesten Angriffs-, sowie Verteidigungstechniken auf dem Laufenden zu halten. Um eine Entdeckung zu vermeiden, verbessern Hacker ihre Methoden kontinuierlich.
Auch Remote-Desktop-Protokolle fallen Ransomware-Hackern oft zum Opfer. Wenn Hacker über RDPs Zugriff erhalten, ist es für sie sehr einfach, sich noch weiter schädigend in das System einzuschleusen. Viele dieser Versuche in ein System einzudringen, werden mit Brute-Force-Angriffen durchgeführt. Deshalb ist es wichtig sicherzustellen, dass alle Mitarbeitenden starke und eindeutige Passwörter verwenden. Dies insbesondere bei RDPs.
Wenn es um den wachsenden Trend geht, Datenlecks zu verwenden, um Opfer zu erpressen, ist die Verschlüsselung von Backups und Servern ein hilfreiches präventives Mittel.
Das Verschlüsseln von Backups kann Ransomware-Hackern das Leben um einiges schwerer machen. Kriminelle Eindringlinge können möglicherweise Ihr Netzwerk herunterfahren, aber wenn Sie eine solide Sicherungsstrategie entwickelt haben, wird es Hackern verunmöglicht, alle Ihre Sicherungen zu verschlüsseln. Daten auf die in einem solchen Fall zugegriffen werden könnte, würden für eine Erpressung wohl kaum brauchbar sein.