#DEFCON: Ransomware entwickelt sich von der Plage zur Geißel

  • Keine Angriffsart hatte im Jahr 2021 so viel Einfluss wie Ransomware.

    Laut einer Expertenrunde auf der DEF CON 29-Konferenz hat die steigende Bekanntheit und Auswirkung von Ransomware im Jahr 2021 den Handlungsbedarf sowohl für die Regierung als auch für den privaten Sektor beschleunigt – obwohl es auf der Runde keinen klaren Konsens darüber gab, welche Maßnahmen genau ergriffen werden sollten.

    Chris Painter, Co-Vorsitzender der Ransomware Task Force, sagte, dass nach dem Ransomware-Angriff auf die Stadt Atlanta im Jahr 2018 mehr Bewusstsein hätte geschaffen werden können oder müssen, um zukünftige Auswirkungen zu begrenzen. Das ist nicht ganz gelungen, und im Jahr 2021 haben die Angriffe auf Colonial Pipeline, Kaseya und JBS Meat-Processing, neben vielen anderen, das Profil von Ransomware im öffentlichen Bewusstsein weiter geschärft. Painter schlug vor, dass Unternehmen ihre eigenen Abwehrmechanismen weiter verstärken müssen, um potenzielle Angreifer einzuschränken.

    Der Sicherheitsforscher Robert Graham ist jedoch nicht unbedingt der Meinung, dass die Härtung des Schutzes der beste Ansatz ist.

    “Eine Bank lässt sich nicht dadurch sichern, dass man die Eingangstür verschließt; die Bank muss für den Geschäftsverkehr geöffnet sein, und es müssen Leute reinkommen”, so Graham. “Mit Netzwerken ist es das Gleiche.

    Graham argumentierte, dass es für Unternehmen unrealistisch sei, immer alles zu patchen. Wenn sie das täten, wäre das Netzwerk seiner Meinung nach praktisch ständig außer Betrieb. Das Gleiche gilt für E-Mail-Phishing, bei dem die Benutzer aufgefordert werden, nicht auf Dinge zu klicken, was laut Graham kontraintuitiv ist, da die Benutzer ständig auf Dinge klicken und es für einen normalen Benutzer schwer ist, zwischen einer legitimen E-Mail und einer anderen zu unterscheiden.

    Cyber-Versicherung ist auch nicht die Antwort

    Die Diskussionsteilnehmer erörterten auch die Rolle der Versicherung bei Ransomware. Die finanzielle Möglichkeit, sich von einem Angriff zu erholen, ist zwar gut, aber keine Lösung.

    Die Anwältin Elizabeth Wharton sagte, dass eine Versicherung nur Geld sei und das Ransomware-Problem nicht wirklich löse. Wharton war eine leitende stellvertretende Stadtanwältin in Atlanta, als die Stadt mit einem Ransomware-Vorfall konfrontiert wurde.

    “Ich denke, dass es wichtig ist, eine Widerstandsfähigkeit aufzubauen, so dass man, wenn das System anfängt zu brennen, direkt in das Spielbuch einsteigen kann, einen Plan hat und weiß, wen man anrufen muss”, sagte sie.

    Zahlen, oder nicht zahlen

    Bei Ransomware stellt sich vor allem die Frage, ob die Opfer das Lösegeld zahlen sollten oder nicht.

    Painter merkte an, dass sich die Ransomware Task Force zwar mit der Frage der Lösegeldzahlung befasst hat, sich aber nicht auf eine formale Empfehlung einigen konnte. Für einige Unternehmen könnte die Zahlung der schnellste Weg zur Wiederherstellung sein, vor allem, wenn sie nicht über genügend Personal verfügen. Seiner Meinung nach ist es jedoch am besten, Organisationen jeder Größe bessere Werkzeuge zur Verfügung zu stellen, um sich besser zu schützen und das Risiko zu begrenzen.

    Wharton merkte an, dass sie gesehen hat, wie kleinere Landkreise in wirtschaftlich schwachen Gebieten von Ransomware betroffen waren. Diese kleineren Kommunalverwaltungen verfügen in der Regel über kleine Budgets und haben vielleicht eine Person, die für die Aufrechterhaltung der IT-Systeme verantwortlich ist. Diese Gruppen stehen vor der Wahl, entweder das Lösegeld zu zahlen oder ihren Bürgern keine Dienstleistungen anbieten zu können. Sie merkte an, dass sie natürlich besser hätten planen sollen, aber die Realität ist, dass sie einfach wieder online gehen müssen.

    Sensibilisierung ist nicht genug

    Ein Hauptthema der Diskussion auf dem Podium war, dass die Sensibilisierung für Ransomware eine gute Sache ist, die zur Verbesserung der Sicherheit beitragen sollte.

    Graham argumentierte, dass das Bewusstsein für Ransomware nicht das Problem ist. Graham wies darauf hin, dass viele Unternehmen über Backups ihrer Daten verfügen, was oft als beste Praxis für die Wiederherstellung von Ransomware angeführt wird. Das Problem ist, dass die Unternehmen nicht darauf achten, wie die Ransomware überhaupt in ihre Systeme gelangt ist und was sie dort anrichten konnte. Wenn beispielsweise Ransomware ein Unternehmen infiziert und die Kontrolle über einen Windows-Domänencontroller erlangt hat, der mit dem Backup-Server verbunden war, würden die Backups ebenfalls von der Ransomware verschlüsselt werden.

    “Der Ansatz in Bezug auf Ransomware ist also, dass wir uns dessen bewusst sind, aber wir kennen nicht wirklich die Details”, sagte Graham.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com