2020 war ein goldenes Jahr für Ransomware-Banden, mit sich weiterentwickelnden Taktiken und steigenden Auszahlungen

Cyber Security News

Ransomware-Banden entwickeln ihre Operationen in rasantem Tempo weiter und machen sich mit immer größeren Auszahlungen aus dem Staub, wie ein neuer Bericht von Palo Alto Networks Unit 42 zeigt.

Auf der Grundlage seiner eigenen Daten und der Daten von Crypsis Incident Response auf der ganzen Welt fand Unit 42 heraus, dass sich das durchschnittliche Lösegeld, das von Unternehmen gezahlt wird, im letzten Jahr fast verdreifacht hat, von 115.123 US-Dollar im Jahr 2019 auf 312.493 US-Dollar. Auch die hohen Lösegelder sind deutlich gestiegen. Zwischen 2015 und 2019 lag die größte bekannte individuelle Lösegeldforderung bei 15 Millionen US-Dollar. Im Jahr 2020 forderten Gruppen bis zu 30 Millionen Dollar, um die Dateien und Systeme eines Opfers zu entsperren.

Viele der Top-Trends, die in dem Bericht hervorgehoben werden, decken sich mit zuvor veröffentlichten Forschungsergebnissen: Lösegeldforderungen und -zahlungen steigen, eine Gruppe nach der anderen ist auf den Zug der doppelten Erpressung aufgesprungen und der von einer Pandemie heimgesuchte Gesundheitssektor ist die am häufigsten angegriffene Branche.Jen Miller-Osbourn, stellvertretende Direktorin für Threat Intelligence bei Unit 42, sagte gegenüber SC Media, dass das, was bei der Durchsicht der Daten am meisten auffiel, die Geschwindigkeit war, mit der das gesamte Ransomware-Ökosystem in der Lage war, sich zu transformieren und neue Ideen anzupassen. Eine Gruppe entwickelte eine neue, sehr erfolgreiche Taktik, Technik oder Prozedur, die innerhalb von Monaten (oder Wochen) bei anderen Gruppen fast zur Standardpraxis wurde.

“Die tatsächliche Rate, die [ransomware groups] geändert hat, besonders im letzten Jahr, war ehrlich gesagt ein bisschen überraschend, obwohl wir es täglich verfolgt haben”, sagte Miller-Osborn.

Der bei weitem produktivste Datenleaker war Netwalker, der Ransomware-as-a-Service-Betrieb, der zwischen Januar 2020 und Januar 2021 Dateien und Daten für 113 verschiedene Organisationen freigegeben hat. Niemand sonst kam in die Nähe: Der zweithäufigste Leaker war RagnarLocker mit nur 26.

Netwalker wurde jedoch im Januar 2021 einer koordinierten Aktion unterzogen, bei der Strafverfolgungsbehörden in den USA und Bulgarien 454.530 US-Dollar an Lösegeldzahlungen beschlagnahmten, die über Kryptowährungen gewaschen wurden, viele Server der Gruppe unterbrachen oder beschlagnahmten, ihren Dark-Web-Kommunikationskanal mit den Opfern abschalteten und einen kanadischen Staatsbürger verhafteten und anklagten, von dem die Behörden behaupten, dass er als Mitglied fungierte. Es war eine von mehreren koordinierten Bemühungen der Strafverfolgungsbehörden und privater Unternehmen wie Microsoft, Ransomware-Akteure und die Tools, auf die sie sich verlassen, wie die Botnets Emotet und Trickbot, zu stören, um ihre Machenschaften auszuführen.

Der Gesamterfolg dieser Operationen war unterschiedlich. Innerhalb weniger Monate nach der Beschlagnahmung der Trickbot-Domänen durch Microsoft fanden Forscher von Menlo Security eine Gruppe, die sehr ähnliche TTPs verwendete, um die Rechts- und Versicherungsbranche ins Visier zu nehmen. In der Zwischenzeit scheint die Zerschlagung von Emotet, die Polizeirazzien, die Beschlagnahmung von Geräten sowie der primären und der Backup-C2-Infrastruktur und die Verhaftung von zwei Personen umfasste, den Operationen des Botnets einen entscheidenden Schlag versetzt zu haben, zumindest kurzfristig. Seit den Strafverfolgungsmaßnahmen im Januar ist die Dark Website von Netwalker nicht mehr erreichbar.

Dennoch ist es klar, dass die Strafverfolgungsbehörden solche koordinierten Bemühungen der Regierung und des privaten Sektors weiterhin als wichtigen Teil ihrer Gesamtstrategie zur Bekämpfung von Ransomware betrachten.

“Wir schlagen gegen die wachsende Bedrohung durch Ransomware zurück, indem wir nicht nur strafrechtliche Anklagen gegen die verantwortlichen Akteure erheben, sondern auch die kriminelle Online-Infrastruktur stören und, wo immer möglich, die von den Opfern erpressten Lösegeldzahlungen zurückholen”, sagte der stellvertretende Generalstaatsanwalt Nicholas McQuaid von der Strafabteilung des Justizministeriums im Januar bei der Ankündigung der Netwalker-Operation. “Die Opfer von Ransomware sollten wissen, dass es zu bedeutenden Ergebnissen führen kann, wenn sie sich so schnell wie möglich nach einem Angriff bei den Strafverfolgungsbehörden melden, so wie es in der heutigen vielschichtigen Operation erreicht wurde.”

Das verarbeitende Gewerbe und das Gesundheitswesen sind nach wie vor am stärksten betroffen, aber es gibt Anzeichen dafür, dass auch andere Branchen in Mitleidenschaft gezogen werden. Während das verarbeitende Gewerbe am häufigsten von der Veröffentlichung von Dateien und Daten auf Ransomware-Leck-Seiten betroffen war, folgten professionelle und juristische Dienstleistungen an zweiter Stelle. Die Rechtsbranche hat ihre eigenen veralteten IT-Probleme, die Abhängigkeit von kommerziellen Technologien und menschliche Fehler, die andere Branchen anfällig für Ransomware und andere digitale Angriffe machen. Außerdem beherbergen sie wertvolle juristische oder finanzielle Daten ihrer Kunden und haben starke Anreize für die Reputation, die Offenlegung einer Sicherheitsverletzung zu vermeiden.

“Es macht Sinn, sowohl dass sie ins Visier genommen werden, als auch dass wir wahrscheinlich nicht sehen, dass es öffentlich berichtet wird, weil sie eine Menge potenziell sensibler und schädlicher Informationen haben, die sie definitiv nicht verlieren wollen und die ihr Geschäft wirklich beeinträchtigen könnten”, sagte Miller-Osborn.

Die gute Nachricht: Obwohl es eine schwindelerregende Anzahl von Ransomware-Gruppen und Malware-Stämmen gibt, die man im Auge behalten muss, nutzen sie alle meist die gleichen Vektoren, um sich Zugang zu den Netzwerken der Opfer zu verschaffen. Indem sie dem Patchen und der Behebung von E-Mail-Systemen sowie von Schwachstellen in Remote-Desktop-Diensten oder solchen, die eine Ausweitung von Berechtigungen ermöglichen, Priorität einräumen, können Unternehmen ihre Anfälligkeit für Ransomware-Angriffe in Zukunft deutlich verringern.

Während sich viele Führungskräfte darauf konzentrieren, auf Hacks wie den, der SolarWinds und Dutzende anderer Unternehmen getroffen hat, zu reagieren, sollte dies laut Miller-Osborn nicht auf Kosten der sehr erreichbaren Gewinne gehen, die im Hinblick auf Ransomware erzielt werden können.

“Ja [more sophisticated campaigns] sind etwas, dessen man sich bewusst sein sollte, aber wenn Sie nicht in der Lage sind, Ransomware daran zu hindern, in Ihre Umgebung zu gelangen, muss das vielleicht zuerst im Fokus stehen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com