Erkenntnisse aus dem Colonial Pipeline Ransomware-Angriff

Cyber Security News

Der Vorfall zeigt grundlegende Schritte auf, die Unternehmen unternehmen können, um sich zu schützen, da Ransomware-Banden immer schlauer werden.

Wenn Sie das Gefühl haben, in den letzten Monaten viel über Ransomware gelesen zu haben, dann liegt das daran, dass diese Angriffe in der Tat intensiver geworden sind. Im Jahr 2020 stiegen die Ransomware-Angriffe um 150 Prozent, wobei die durchschnittliche Zahlungshöhe um mehr als 170 Prozent anstieg. Einige der bemerkenswerten Opfer sind United Health Services, Orange und Acer.

In diesem Jahr wurde Colonial Pipeline, der größte Pipeline-Betreiber in den Vereinigten Staaten, kompromittiert. Genauere Details werden noch aufgedeckt, aber erste Berichte deuten darauf hin, dass dieser Vorfall beispielhaft für viele der Gründe ist, warum Ransomware-Angriffe zugenommen haben.

Warum also nehmen Ransomware-Angriffe zu? Das Wesentliche ist, dass die digitale Umgebung die perfekte Umgebung für Ransomware-Betreiber geschaffen hat, die sich selbst im Laufe der Zeit weiterentwickelt und gereift haben.

Ransomware-Geschäftsmodelle und -Taktiken haben sich weiterentwickelt

Ransomware ist nichts Neues. In den letzten Jahren hat sich dies jedoch geändert, da Ransomware-Betreiber skalierbare und wiederholbare Kampagnen mit definierten Zielen entwickelt haben. Wie jedes andere Unternehmen auch, investieren viele von ihnen ihre Gewinne sogar wieder in neue Tools, die eine höhere Wahrscheinlichkeit eines erfolgreichen Angriffs ermöglichen.

Bevor sie ihre Absicht bekannt gaben, sich zumindest dem Namen nach aufzulösen, war DarkSide, die russischsprachige Gruppe, die hinter dem Angriff auf die Colonial Pipeline stand, klar, auf wen sie abzielte. Sie behaupteten, dass sie nur Organisationen zum Opfer fallen, die es sich leisten können, und schienen zu denken, dass sie eine Art moderner Robin Hood sind.

Es ist nicht nur das Geschäftsmodell, das sich geändert hat. Viele Ransomware-Betreiber sind auch schlauer geworden. Während sich die Grundprinzipien, sich Zugang zu verschaffen, Daten zu sperren oder zu verschlüsseln und Geld für die Wiederherstellung des Zugangs zu verlangen, nicht geändert haben, werden die Gruppen immer schlauer, wie sie es machen. Früher konnten Sie die Zahlung von Lösegeld vermeiden, indem Sie Ihre Daten an einem Offline-Speicherort sicherten, auch wenn dies kostspielig war. Angreifer schränken nun die Stärke dieses Verteidigungsmechanismus ein, indem sie damit drohen, Ihre Daten zu veröffentlichen, selbst wenn es Ihnen gelingt, Ihre Systeme wiederherzustellen.

Die Remote-Arbeitsumgebung ist perfekt für Ransomware

Ransomware-Angriffe erfordern Zugriff auf die Infrastruktur eines Unternehmens. Leider hat die Remote-Arbeitsumgebung es Ransomware-Angreifern leichter gemacht.

Da die Mitarbeiter von überall aus arbeiten, haben die Sicherheitsteams nicht mehr den gleichen Überblick wie früher, als die Mitarbeiter noch im Büro arbeiteten. Die Angriffsfläche hat sich vergrößert, da Mitarbeiter von überall aus arbeiten und Geräte und Netzwerke nutzen, die ihre Arbeitgeber nicht kontrollieren. Bei der Absicherung von Remote- und Hybrid-Arbeitsplätzen stehen Sicherheitsteams vor der Herausforderung, dass sie nur sehr wenig Einblick in das haben, was ihre Benutzer tun und ob ein Gerät oder Zugangsdaten kompromittiert sind oder nicht.

Die unauffälligste Art und Weise, wie Angreifer in eine Infrastruktur eindringen können, ist der Diebstahl von Anmeldeinformationen. Der einfachste Weg dazu ist mobiles Phishing. Da Smartphones und Tablets sowohl beruflich als auch privat genutzt werden, können Mitarbeiter über verschiedene Apps wie SMS, Social-Media-Plattformen und Messaging-Apps von Drittanbietern sozial manipuliert und ins Visier genommen werden. Die vereinfachten Benutzeroberflächen eines Telefons oder Tablets verbergen Anzeichen von Phishing und machen sie zu einem idealen Ziel für Social-Engineering-Phishing-Kampagnen.

Sobald der Angreifer kompromittierte Anmeldedaten erhalten hat, besteht der nächste Schritt darin, sich einzuloggen und wertvolle Daten ausfindig zu machen. Wenn das anvisierte Unternehmen immer noch auf ein herkömmliches VPN setzt, wird der Angreifer keine großen Schwierigkeiten haben, einzudringen. Ein VPN bietet zwar Zugriff für Ihre Remote-Mitarbeiter, überprüft aber nicht den eindeutigen Kontext, unter dem sich der Benutzer oder das Gerät verbindet. In den meisten Fällen bietet das VPN dem Mitarbeiter unbegrenzten Zugriff auf das Unternehmensnetzwerk und sowohl auf Cloud- als auch auf firmeninterne Apps und Daten.

Der Zugriff auf die On-Premises-Infrastruktur birgt zusätzliche Risiken

Ein weiteres Problem, das Ransomware-Betreibern die Möglichkeit bietet, Ransomware einzusetzen, ist der Zugriff auf die On-Premise-Infrastruktur. Dies war zwar nicht der Grund für den Ransomware-Angriff, aber Colonial Pipeline verwendete Berichten zufolge eine veraltete Version von Microsoft Exchange.

Damit saß das Unternehmen im selben Boot wie Zehntausende anderer Organisationen, von denen viele aufgrund mehrerer im März entdeckter Zero-Day-Schwachstellen (bekannt als ProxyLogon) kompromittiert wurden. Aus der Sicherheitsperspektive wird On-Premise-Software immer hinter Software-as-a-Service (SaaS) zurückbleiben, da sie manuelles Patching durch den Anwender erfordert, das bei SaaS-Kunden proaktiv von einem Sicherheitsteam durchgeführt wird. In der Cloud bereitgestellte Lösungen hingegen werden vom Anbieter ständig aktualisiert und gewartet.

Ransomware mit Zero Trust bekämpfen

Es gibt zwar nicht die eine Sicherheitsstrategie, die ein Unternehmen vor Ransomware schützen kann, aber es gibt Schritte, um das Risiko zu mindern. Da Unternehmen weiterhin eine hybride Belegschaft unterstützen, die von überall aus arbeitet, müssen sie eine Strategie entwickeln, um die Sichtbarkeit und Kontrolle wiederzuerlangen, die sie einst innerhalb ihres Perimeters hatten.

Unternehmen müssen sicherstellen, dass sie Cloud-basierte Lösungen einsetzen, die Einblicke in alles bieten – vom Benutzer und dem Endpunkt, an dem er sich befindet, bis hin zur Cloud. Außerdem müssen sie ihre Zugriffskontrolle auf Zero-Trust ausrichten, um sicherzustellen, dass nur vertrauenswürdige Benutzer Zugriff auf ihre Infrastruktur haben.

Einige Teile dieses Artikels stammen aus:
threatpost.com