Wir haben Hunderte von Cybersicherheitsangriffen bewältigt und festgestellt, dass mangelndes Verständnis der Cybersicherheit die Ursache für die meisten Angriffe ist. Viele Menschen verstehen einfach nicht, wie und warum Ransomware-Angriffe passieren, also sind sie nicht vorbereitet, wenn sie passieren.
Wir haben uns entschieden, eine schnelle Ressource als Einführung zu entwickeln, um Menschen mit einem nicht-technischen Hintergrund zu helfen, zu verstehen, wie Hacker funktionieren. Wir glauben, dass in der heutigen Welt jeder, der mit IT-Systemen arbeitet, ein grundlegendes Verständnis der Cybersicherheit haben muss, und das Verständnis der Cybersicherheit erfordert ein gewisses Verständnis der von Hackern verwendeten Methoden.
Diese Serie durchläuft jede Phase eines Ransomware-Angriffs, von der Auswahl eines potenziellen Opfers über den ersten Verstoß bis hin zur Verbreitung über das Netzwerk, Exfiltrieren und Verschlüsseln von Daten.
Stalking für Beute
Selbstmitleid hilft nicht, eine Ransomware-Krise zu lösen, aber es ist immer noch nicht ungewöhnlich, dass sich Ransomware-Opfer fragen: „Warum ich?“ Diese Frage kann tatsächlich ein wertvoller Ausgangspunkt für die Verbesserung der Cyberabwehr sein.
Die erste Überlegung, wenn Ransomware-Angreifer nach Opfern suchen, ist der Standort. Offensichtlich wollen sie so viel Geld wie möglich verdienen, also neigen sie dazu, sich auf die größten Volkswirtschaften zu konzentrieren. Die meisten Ransomware-Angriffe konzentrieren sich auf die Vereinigten Staaten, Australien und Westeuropa. Wenn Sie sich in einem dieser Länder befinden, müssen Sie besonders wachsam sein.
Man sollte meinen, dass Hacker häufiger auf große Unternehmen abzielen würden, da sie wahrscheinlich in der Lage sind, ein hohes Lösegeld zu zahlen. Das ist eigentlich nicht der Fall. Die meisten Ransomware-Angriffe zielen auf kleine und mittlere Unternehmen ab. Dies liegt wahrscheinlich daran, dass diese Unternehmen weniger wahrscheinlich über ein großes, dediziertes Cybersicherheitsbudget verfügen.
Auf der Suche nach hochwertigen Daten
Auch Unternehmen bestimmter Branchen werden häufiger ins Visier genommen als andere. Datenexfiltrationsangriffe, bei denen Hacker versuchen, Unternehmen durch die Freigabe sensibler Daten zu erpressen, nehmen zu. Mit diesem Trend haben wir eine Zunahme von Angriffen auf Unternehmen gesehen, die über sensible Daten verfügen, insbesondere Organisationen, die im Gesundheitswesen und in der Rechtsberatung tätig sind.
Unternehmen, die vertrauliche Daten speichern, können mit schwerwiegenden rechtlichen Konsequenzen rechnen, wenn sie die privaten Informationen ihrer Kunden preisgeben, und Hacker sind sich dessen bewusst. Dies bedeutet, dass Unternehmen, die in diesen Bereichen tätig sind, besondere Vorsicht walten lassen müssen, insbesondere wenn es um die Sicherung sensibler Daten geht. Dies gilt umso mehr für Unternehmen des Verteidigungssektors, die möglicherweise über technische Daten zu Ausrüstung verfügen, die für das Militär hergestellt wurde.
Broker für den ersten Zugriff
Einer der Faktoren, die das Wachstum von Ransomware vorantreiben, ist die zunehmende Spezialisierung innerhalb des Ransomware-Ökosystems. Der Aufstieg der Kryptowährung hat den Handel zwischen kriminellen Akteuren auf einem beispiellosen Niveau ermöglicht. Eine der beliebtesten Anwendungen von Kryptowährung ist der Verkauf des anfänglichen Zugangs zu Netzwerken.
Spezialisierte Hacker erhalten mit einer Reihe von Techniken Zugang zu Netzwerken, und anstatt selbst einen Ransomware-Angriff durchzuführen, verkaufen sie den Zugang an andere. Dieser Zugriff kann in Form einer Software-Schwachstelle oder Anmeldeinformationen erfolgen, die durch Phishing oder einen Brute-Force-Angriff erlangt wurden.
Eine der gebräuchlichsten Methoden ist ein kompromittiertes Remotedesktopprotokoll (RDP). Eine spezialisierte Suchmaschine wie Shodan kann verwendet werden, um nach offenen RDP-Ports zu suchen. Sobald ein Hacker einen offenen Port findet, der wahrscheinlich einem potenziell lukrativen Opfer gehört, kann er einfach einen Brute-Force-Angriff ausführen, indem er Hunderttausende von Passwörtern testet, beginnend mit gängigen Passwörtern bis hin zu zufälligen alphanumerischen Passwörtern.
Häufiger werden Hacker jedoch versuchen, Mitarbeiter durch Phishing-Angriffe dazu zu bringen, bösartige Links herunterzuladen. Großangelegte Ransomware-Angriffe verwenden oft eine Kombination dieser Methoden. Sie können den ersten Zugriff von einem Broker erwerben. Setzen Sie dann im Zuge des Versuchs, ihre Berechtigungen zu eskalieren, eine Art Phishing-Angriff ein, um mehr Kontrolle über ein Netzwerk zu erlangen.
Auf dem Laufenden bleiben
Wenn Wölfe auf Beutejagd gehen, verfolgen sie die Nachzügler in der Herde; die alten, kranken oder verletzten Tiere. Wenn Hacker nach Zielen suchen, suchen sie oft nach Opfern, indem sie veraltete Software mit bekannten Schwachstellen verwenden. Veraltete Software ist ein wichtiger Hinweis auf eine schwache Cybersicherheitsposition. Selbst wenn die Hacker eine Schwachstelle in der Software nicht ausnutzen können, ist es wahrscheinlich, dass jemand, der ältere Software ausführt, andere Sicherheitslücken hat.
Zufriedene Mitarbeiter sind gut für die Sicherheit
Ein weiterer kürzlich aufkommender Trend sind Hacker, die versuchen, Insider zu rekrutieren. Ransomware-Banden veröffentlichen Werbung, in der nach Personen gesucht wird, die in großen Unternehmen oder Organisationen arbeiten und bereit sind, ihnen beim Zugang zum Netzwerk zu helfen. Als Gegenleistung für den Gefallen bieten sie den Insidern einen Prozentsatz des Lösegelds, das sie erpressen können.
Da ein einzelnes Lösegeld einem Gehalt von mehreren Jahren entsprechen kann, könnte dies ein sehr verlockender Vorschlag für verärgerte Mitarbeiter sein. Gute Arbeitgeber-Arbeitnehmer-Beziehungen sind gut für die Produktivität und die Gesamtqualität des Arbeitsumfelds, können aber auch dazu führen, dass Mitarbeiter weniger bereit sind, ihren Arbeitgeber zu verraten.
Wie man kein Ziel ist
Die meisten Angriffe, mit denen wir zu tun haben, erfolgen entweder durch RDP oder Phishing. Software-Exploits sind seltener, aber immer noch eine ernsthafte Bedrohung. Das bedeutet, dass die Verbesserung Ihrer Cybersicherheitsabwehr bedeutet, dass Sie diese drei potenziellen Angriffsvektoren priorisieren und entsprechend planen müssen. Erstens ist das Bewusstsein für Phishing ein Muss, und der beste Weg, um eine starke Phishing-Resilienz zu erreichen, besteht darin, Cybersicherheitsexperten einzustellen, auch für nicht-technische Rollen. Darüber hinaus kann ein Basis-Phishing-Awareness-Kurs, ergänzt durch regelmäßige Phishing-Awareness-Briefs, die Mitarbeiter auf alles aufmerksam machen, was faul ist (Wortspiel beabsichtigt).
Ein Sicherheitsaudit für alle RDP-Ports ist die nächste Priorität, um das Risiko zu verringern, ins Visier genommen zu werden. Alle nicht benötigten Ports sollten geschlossen werden, und die erforderlichen Ports sollten sehr starke Passwörter und eine Zwei-Faktor-Authentifizierung eingerichtet haben.
Schließlich können regelmäßige Penetrationstests helfen, nach Schwachstellen zu suchen und diese zu patchen, bevor es zu spät ist.