Ransomware-Industrie expandiert durch RansomOps

Security

Veröffentlicht 06.05.2022 09:50, Dagmar Finlayson

Da betroffene Unternehmen bereitwillig Lösegeldforderungen zahlen, könnte die Ransomware-Branche zur milliardenschweren Industrie heranwachsen. Experten rechnen mit einer weiteren Zunahme der Angriffe. Dabei werden die Lösegeldforderungen steigen und Betreiber kritischer Infrastrukturen, Krankenhäuser und Banken zur Zielscheibe werden.

Ransomware-Angriffe haben sich in den vergangenen zehn Jahren von einer Nische zur milliardenschweren Mega-Industrie entwickelt. Mit der zunehmenden Optimierung von RansomOps-Angriffen profitieren Ransomware-Syndikate von Rekordgewinnen und greifen Organisationen des öffentlichen und privaten Sektors jeder Größe an.

Angreifer setzten anfänglich auf das Gieskannenprinzip, um vorwiegend Einzelpersonen anzugreifen. Verglichen mit dem, was man in den Jahren 2020 und 2021 zu sehen bekamen, waren die Lösegeldforderungen relativ gering. Mit dem Aufkommen von komplexen RansomOps, die den verdeckten Operationen staatlicher Bedrohungsakteure ähneln, ist es für die meisten Unternehmen, die nun im Fokus der Angreifer stehen, schwieriger geworden, sich gegen Ransomware-Angriffe zu verteidigen. Da sich immer mehr Unternehmen dazu entschließen, Lösegeld zu zahlen, haben die Angreifer ihre Forderungen immer weiter hochgeschraubt. Für 2022 rechnen Experten mit einer weiteren Zunahme der Angriffe. Dabei werden die Lösegeldforderungen steigen und Betreiber kritischer Infrastrukturen, Krankenhäuser und Banken zur Zielscheibe werden.

Komponenten von RansomOps:

–Initial Access Brokers (IABs): Sie infiltrieren Zielnetzwerke, bauen Persistenz auf und bewegen sich lateral, um einen möglichst großen Teil des Netzwerks zu kompromittieren. Den Zugang verkaufen sie dann an andere Angreifer.

–Ransomware-as-a-Service (RaaS) Providers: Sie stellen den eigentlichen Ransomware-Code und die Zahlungsmethoden bereit. Außerdem wickeln sie die Verhandlungen mit dem Ziel ab und stellen sowohl den Angreifern als auch den Opfern andere "Kundendienste" zur Verfügung.

–Ransomware Affiliates: Sie schließen einen Vertrag mit dem RaaS-Anbieter ab, wählen die Zielorganisationen aus und führen dann den eigentlichen Ransomware-Angriff durch.

–Cryptocurrency Exchanges: Hier werden die erpressten Erlöse umgeschlagen und gewaschen.

Gründe nicht zu zahlen

Ein früherer Cybereason-Bericht mit dem Titel "Ransomware: The True Cost to Business" zeigt, dass 80 Prozent der Unternehmen, die eine Lösegeldforderung gezahlt haben, ein zweites Mal angegriffen wurden – oft von denselben Angreifern. Anstatt zu zahlen, sollten sich Unternehmen auf frühzeitige Erkennungs- und Präventionsstrategien konzentrieren, um Ransomware-Angriffe im möglichst frühen Stadium zu beenden – also noch bevor wichtige Systeme und Daten in Gefahr geraten. Darüber hinaus gibt es eine Reihe weiterer Gründe, nicht zu zahlen:

Keine Garantie für die Wiederherstellung von Daten: Das Lösegeld zu zahlen bedeutet nicht, dass Unternehmen wieder Zugriff auf ihre verschlüsselten Daten erhalten. Die Entschlüsselungsprogramme, die von den Angreifern zur Verfügung gestellt werden, funktionieren manchmal einfach nicht richtig. Im Fall von Colonial Pipeline im Jahr 2021 zahlte das Unternehmen ein Lösegeld in Höhe von 4,4 Millionen Dollar. Daraufhin erhielt das Unternehmen fehlerhafte Wiederherstellungsschlüssel von der DarkSide Group und musste seine Backups aktivieren, um seine Systeme wiederherzustellen.

Rechtliche Fragen: In den USA drohen Unternehmen hohe Geldstrafen, wenn sie Ransomware-Akteure bezahlen, die den Terrorismus unterstützen. Ähnliche Regelungen sind zukünftig auch in der EU denkbar. Darüber hinaus könnten Ransomware-Angriffe auf Lieferketten, die sich auf Kunden oder Partner eines Unternehmens auswirken, zu Klagen seitens der betroffenen Unternehmen führen.

Förderung von Ransomware-Attacken: Unternehmen, die Ransomware-Angreifer bezahlen, senden die Botschaft, dass die Angriffe funktionieren. Dies führt zu weiteren Angriffen und höheren Lösegeldforderungen. Unternehmen sollten daher kein Lösegeld zahlen, da dies die Angreifer nur ermutigt, indem es ihnen zeigt, dass Erpressung funktionieren kann.

 

Abb Ransomware: Deutschland gehört zu den Top 3 Ländern, die 2021 unter den meisten Ransomware-Angriffen zu leiden hatten.

 

(1) Cybereason-Whitepaper "RansomOps: Inside Complex Ransomware Operations and the Ransomware Economy" 

(2) "Ransomware: The True Cost to Business"

 

Symbolbild: Pixabay/TheDigitalArtist


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

TeleTrusT-Podcast "Ransomware"
IT-Sicherheit & Kritis
Podcast
DSGVO: Vertrauen in den Datenschutz nimmt ab
IT-Sicherheit & Kritis
Datenschutz
2022: Neue Regeln für IT-Sicherheit im Krankenhaus
IT-Sicherheit & Kritis
Security

Lesen Sie hier die neuesten Beiträge