Da betroffene Unternehmen bereitwillig Lösegeldforderungen zahlen, könnte die Ransomware-Branche zur milliardenschweren Industrie heranwachsen. Experten rechnen mit einer weiteren Zunahme der Angriffe. Dabei werden die Lösegeldforderungen steigen und Betreiber kritischer Infrastrukturen, Krankenhäuser und Banken zur Zielscheibe werden.

Ransomware-Angriffe haben sich in den vergangenen zehn Jahren von einer Nische zur milliardenschwerenMega-Industrie entwickelt. Mit der zunehmenden Optimierung von RansomOps-Angriffen profitieren Ransomware-Syndikate von Rekordgewinnen und greifen Organisationen des öffentlichen und privaten Sektors jeder Größe an.

Angreifer setzten anfänglich auf das Gießkannenprinzip, um vorwiegend Einzelpersonen anzugreifen. Verglichen mit dem, was man in den Jahren 2020und 2021 zu sehen bekamen, waren die Lösegeldforderungen relativ gering. Mit dem Aufkommen von komplexen RansomOps, die den verdeckten Operationen staatlicher Bedrohungsakteure ähneln, ist es für die meisten Unternehmen,die nun im Fokus der Angreifer stehen, schwieriger geworden, sich gegen Ransomware-Angriffe zu verteidigen. Da sich immer mehr Unternehmen dazu entschließen, Lösegeld zu zahlen, haben die Angreifer ihre Forderungen immer weiter hochgeschraubt. Für 2022 rechnen Experten mit einer weiteren Zunahme der Angriffe. Dabei werden die Lösegeldforderungen steigen und Betreiber kritischer Infrastrukturen, Krankenhäuser und Banken zur Zielscheibe werden.

Komponenten von RansomOps:
■ Initial Access Brokers (IABs): Sie infiltrieren Zielnetzwerke, bauen Persistenz auf und bewegen sich lateral, um einen möglichst großen Teil des Netzwerks zu kompromittieren. Den Zugang verkaufen sie dann an andere Angreifer.
■ Ransomware-as-a-Service (RaaS) Providers: Sie stellen den eigentlichen Ransomware-Code und die Zahlungsmethoden bereit. Außerdem  wickeln sie die Verhandlungen mit dem Ziel ab und stellen sowohl den Angreifern als auch den Opfern andere "Kundendienste" zur Verfügung.
■ Ransomware Affiliates: Sie schließen einen Vertrag mit dem RaaS-Anbieter ab, wählen die Zielorganisationenaus und führen dann den eigentlichen Ransomware-Angriff durch.
■ Cryptocurrency Exchanges: Hier werden die erpressten Erlöse umgeschlagen und gewaschen.

Gründe nicht zu zahlen
Ein früherer Cybereason-Bericht mit dem Titel "Ransomware: The True Cost to Business" zeigt, dass 80 Prozent der Unternehmen, die eine Lösegeldforderung gezahlt haben, ein zweites Mal angegriffen wurden – oft von denselben Angreifern. Anstatt zu zahlen, sollten sich Unternehmen auf frühzeitige Erkennungs-und Präventionsstrategien konzentrieren, um Ransomware-Angriffe im möglichst frühen Stadium zu beenden – also noch bevor wichtige Systeme und Daten in Gefahr geraten.

Darüber hinaus gibt es eine Reihe weiterer Gründe, nicht zu zahlen: Keine Garantie für die Wiederherstellung von Daten: Das Lösegeld zu zahlen bedeutet nicht, dass Unternehmen wieder Zugriff auf ihre verschlüsselten Daten erhalten. Die Entschlüsselungsprogramme, die von den Angreifern zur Verfügung gestellt werden, funktionieren manchmal einfach nicht richtig. Im Fall von Colonial Pipeline im Jahr 2021 zahlte das Unternehmen ein Lösegeld in Höhe von 4,4 Millionen Dollar. Daraufhin erhielt das Unternehmen fehlerhafte Wiederherstellungsschlüssel von der DarkSide Group und musste seine Backups aktivieren, um seine Systeme wiederherzustellen.

Rechtliche Fragen: In den USA drohen Unternehmen hohe Geldstrafen, wenn sie Ransomware-Akteure bezahlen, die den Terrorismus unterstützen. Ähnliche Regelungen sind zukünftig auch in der EU denkbar. Darüber hinaus könnten Ransomware-Angriffe auf  Lieferketten, die sich auf Kunden oder Partner eines Unternehmens auswirken, zu Klagen seitens der betroffenen Unternehmen führen.

Förderung von Ransomware-Attacken:
Unternehmen, die Ransomware-Angreifer bezahlen, senden die Botschaft, dass die Angriffe funktionieren. Dies führt zu weiteren Angriffen und höheren Lösegeldforderungen. Unternehmen sollten daher kein Lösegeld zahlen, da dies die Angreifer nur ermutigt, indem es ihnen zeigt, dass Erpressung funktionieren kann.

Ransomware Defense Report 2022

Gegen massive Ransomware-Angriffe haben sich Erkennungs- und Reaktionstechnologien in der Cybersicherheit  weiterentwickelt. Azu zählen besonders Lösungen und Plattformen, die einen ganzheitlichen Blick auf die IT-Systeme ermöglichen. Die wichtigsten Ergebnisse zeigen Trends auf (3):

Aus Sicht der Angreifer: 

■ Angreifer werden besser darin, einegrößere Kenntnis über die Betriebssysteme und IT-Systeme der Zielunternehmen zu gewinnen.
■ Sie werden schneller darin, die „Weaponization“ von ausgemachten Schwachstellen und Fehlern auszunutzen. 
■ Sie verwenden mehr und mehr Dateilose-(Fileless) oder Malwarefreie Angriffe.

Aus Sicht der Verteidiger:

■ Weiterer Einsatz von verstärkter Automatisierung.
■ Sie werden besser bei der Abwehr von „Remote Access Abuse“ und „Fileless Malware“.
■ Wichtige Lösungsansätze zur Erkennung von Ransomware sind Encrypted Traffic Analysis (ETA), Moving Target Defense (MTD) und KI Ereignis-Aggregation, Korrelation und Intrusion Prevention.

(1) Cybereason-Whitepaper "RansomOps: Inside Complex Ransomware Operations and the Ransomware Economy"
(2) Cybereason "Ransomware: The True Cost to Business"
(3) SANS Institute Ransomware Defense Report 2022


Quelle: Krankenhaus-IT Journal, Juni Ausgabe 03/2022