Die Zukunft von Ransomware – fünf Trends, auf die sich Unternehmen einstellen müssen

Thomas Hafen
Autor Thomas Hafen
  • Beitrag vom 01.03.2021

Wie sich Angriffsvektoren, Strategien und Geschäftsmodelle der Cyberkriminellen verändern.

Die Gefahr durch Erpressungstrojaner hat in den vergangenen Jahren kaum nachgelassen, wie der „State of Ransomware 2020“-Report von Sophos zeigt. Im Jahr 2017 waren 54 Prozent der Unternehmen betroffen, 2020 lag der Anteil mit 51 Prozent nur wenig darunter. Der Corona-Lockdown hat zudem zu einem Digitalisierungsschub geführt und damit die Angriffsfläche für Cyberkriminelle deutlich vergrößert. Homeoffice und Homeschooling bieten neue Angriffsmöglichkeiten. So werden neben Unternehmen, Krankenhäusern und anderen öffentlichen Einrichtungen immer häufiger auch digitale Lernplattformen Ziel der Angreifer.

Die Experten von Sophos identifizieren im aktuellen Sophos Threat Report 2021 vor allem fünf Trends, die sich 2020 herauskristallisiert haben, und die Unternehmen auch in diesem Jahr beschäftigen dürften:

1. Das Geschäftsmodell Ransomware diversifiziert sich

Die Spannweite an Angriffsmethoden und Professionalität der Angreifer ist größer geworden, „die“ typische Ransomware-Attacke gibt es nicht mehr. Auf der einen Seite des Spektrums stehen hochprofessionelle kriminelle Vereinigungen, die mit immer besseren Methoden ganz gezielt große Unternehmen oder staatliche Organisationen angreifen und Lösegelder in Millionenhöhe fordern. Im Jahr 2020 gehörten zu dieser Ransomware-Kategorie beispielsweise Ryuk und Ragnar Locker.

Am anderen Ende stehen „Hobby“-Erpresser und Kleinkriminelle. Sie nutzen einfach zu bedienende Tools wie Dharma, die von Providern als „Ransomware-as-a-Service“ (RaaS) zur Miete angeboten werden, und greifen damit vor allem kleine und mittlere Unternehmen an. Die geforderten Lösegeldsummen liegen dabei eher im vierstelligen Bereich.

2. Sekundär-Erpressungen nehmen zu

Mit dem Diebstahl von Daten haben sich die Ransomware-Nutzer ein zweites Standbein geschaffen. Statt nur Lösegeld für die Entschlüsselung der Daten zu fordern, drohen sie damit, die entwendeten sensiblen Informationen zu veröffentlichen, wenn ihre Lösegeldforderungen nicht erfüllt werden. Beispiele für diesen Ansatz sind die Ransomwarefamilien Maze, Ragnar Locker, Netwalker und REvil.

3. Ransomware kommt selten allein

Die Flut an Malware, die jeden Tag auf die IT-Systeme der Organisationen einprasselt, ist häufig nur die Vorhut. Vor allem Loader-Programme wie Dridex und Zloader, aber auch Remote Access Trojaner (RAT), Schnüffler wie Agent Tesla und Botnetze wie Trickbot werden nicht selten zur Vorbereitung von Ransomware-Attacken genutzt. Sie laden weitere Malware nach, übernehmen Rechner durch ein Command-and-Control-Netzwerk oder exfiltrieren Zugangsdaten. Eine entdeckte Infektion mit solcher „Alltags-Malware“ sollte daher keinesfalls auf die leichte Schulter genommen werden. Wird ein befallener Client oder Server identifiziert und desinfiziert, heißt das noch lange nicht, dass die Gefahr vorbei ist. Vielleicht hat die scheinbar leicht zu entfernende Malware bereits Tür und Tor für fortgeschrittene Angriffe mit Ryuk, Netwalker oder anderen Ransomware-Familien geöffnet.

4. Dauerfeuer auf Windows- und Linux-Server

Das Windows-Fernwartungstool RDP (Remote Desktop Protocol) hat sich zum Angriffsvektor Nummer eins entwickelt. Honeypots, die weltweit von Sophos installiert wurden, registrierten in nur einem Monat mehrere Millionen Brute-Force-Attacken auf RDP-Logins. Das Problem hat sich durch die Lockdown-Maßnahmen des vergangenen Jahres noch verschärft, da durch den Homeoffice-Boom die Notwendigkeit von Fernwartung zugenommen hat. Auch Linux-Server geraten vermehrt ins Visier der Angreifer. So versucht beispielsweise die Malware Lemon_Duck sowohl auf Windows als auch auf Linux-Systemen per Brutforce SSH-Passwörter zu knacken.

5. Missbrauch von Analyse-Werkzeugen und Standard-Tools

Die Erkennung von Schwachstellen gehört zu den wichtigsten vorbeugenden Security-Strategien. Penetrationstests sind dabei ein wesentlicher Faktor. Für sie kommen häufig Werkzeuge wie Metasploit, PowerShell Empire oder Cobalt Strike zum Einsatz. In den Händen von Cyberkriminellen werden diese „Grey-Hat-Tools“ allerdings zu gefährlichen Waffen. Auch Standardwerkzeuge wie 7Zip, WinRAR oder Windows cURL sind bei Angreifern beliebt, um Dateien zu komprimieren und zu exfiltrieren. Da der Einsatz solcher Applikationen in der Regel keinen Alarm auslöst, können die Angreifer unentdeckt Daten sammeln und Informationen stehlen.

Fazit

Bei Ransomware gibt es aktuell keinen Grund zur Entwarnung. Das Geschäftsmodell ist und bleibt attraktiv, sowohl für große kriminelle Vereinigungen als auch für kleine Gangster. Eine vergrößerte Angriffsfläche durch Homeoffice und Homeschooling, der Einsatz von Botnetzen und Hilfsprogrammen und vermehrte Attacken über Standardschnittstellen und -Tools erhöhen den Angriffsdruck, die Abwehr überfordert so manche IT-Abteilung. Services wie Managed Threat Response (MTR) gewinnen daher zunehmend an Bedeutung. Nur speziell geschulte Threat-Hunting-Teams sind in der Lage, subtile Veränderungen und kleinste Anomalien zu erkennen und richtig einzuordnen – und so potenzielle Eindringlinge schnell und sicher zu identifizieren.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.