Ransomware 3.0: Die Bedrohungslage wird kritischer werden

Entwicklungen im Jahr 2021

Die Statistiken vom aktuellen European Union Agency for Cybersecurity (ENISA) Threat Landscape Report, die auf Trends bei den Reaktionen auf Ransomware-Vorfälle basieren, zeigen welche Ransomware-Gruppen in diesem Jahr besonders erfolgreich waren. Den größten Marktanteil im ersten Quartal 2021 besitzen REvil/Sodinokibi (14,2 Prozent), Conti V2 (10,2 Prozent), Lockbit (7,5 Prozent), Clop (7,1 Prozent) und Egregor (5,3 Prozent) sind. Im zweiten Quartal sind Sodinokibi (16,5 Prozent), Conti V2 (4,4 Prozent), Avaddon (5,4 Prozent), Mespinoza (4,9 Prozent) und Hello Kitty (4,5 Prozent) an der Spitze zu finden.

Die Dominanz von Conti und REvil auf dem Ransomware-Markt im Jahr 2021 wird durch diese Zahlen verdeutlicht, sowohl aus finanzieller Sicht als auch was die Anzahl der Vorfälle angeht. In den kommenden Monaten sind jedoch keine Angriffe durch die ursprünglichen Gruppen REvil/Sodinokibi und Darkside zu erwarten, da diese ihre Aktivitäten mittlerweile eingestellt haben.

Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt auf, dass Cyberkriminelle für gewöhnlich Angriffsstrategien verwenden, die leicht skalierbar sind und sich in großer Anzahl gegen verschiedene Opfer anwenden lassen.

Die neuartige, dreistufige Angriffsstrategie, die sich aus dem ehemaligen Banking-Trojaner Emotet, der Schadsoftware Trickbot und der Ransomware Ryuk zusammensetzte, ermöglicht es den Angreifern, Angriffsstrategien massenhaft einzusetzen, die zuvor nur von strategisch ausgerichteten APT-Spionage-Angriffen (Advanced Persistent Threat) bekannt gewesen waren. Im ersten Schritt breitet sich der Trojaner Emotet über Outlook-Harvesting aus, indem er den E-Mail-Verkehr des Opfers analysierte und anschließend für authentisch wirkende Social-Engineering-Angriffe auf Kontakte des Opfers verwendete.

Zudem besitzt er Downloader-Funktionalitäten, so dass die Angreifer im zweiten Schritt die Spionage-Malware Trickbot auf die infizierten Systeme aufspielen können. Trickbot erlaubt es den Angreifern, weitreichende Spionageaktivitäten auf den infizierten Systemen einzurichten. Die Ransomware Ryuk wird bei besonders lukrativ erscheinenden Opfern ausgerollt und im Anschluss erfolgt die Erpressung von Lösegeld.

Ransomware 2.0 - Fünffache Erpressung

Zunächst ein Blick zurück. Ende 2019 begann die Erpresser damit mit Ransomware Daten zu exfiltrieren, was jetzt allgemein als doppelte Erpressung bekannt ist. Ransomware-Programme und -Banden sind über die herkömmliche Verschlüsselung hinaus auch in folgenden Bereichen tätig:

• Diebstahl von geistigem Eigentum/Daten
• Bedrohung von Mitarbeitern und Kunden des Opfers
• Verwendung gestohlener Daten zum Spear Phishing von Partnern und Kunden
• Öffentliche Zurschaustellung der Opfer

Das Wichtigste an diesen neuen Ransomware-Aktivitäten ist, dass keine der neuen Bedrohungen durch ein gutes Backup entschärft werden kann. Es wird vermutet, dass die fünffache Erpressung inzwischen bei über 90 Prozent aller Ransomware-Vorfälle praktiziert wird.

Nach Angaben des US-Finanzministeriums haben die zehn größten Ransomware-Banden mindestens 5,2 Milliarden US-Dollar an Erpressungsgeldern kassiert. Die Gesamtkosten, einschließlich Schäden und Wiederherstellungskosten, werden bis 2031 auf bis zu 265 Milliarden US-Dollar geschätzt.

Es erfolgten auch erfolgreiche Angriffe auf kritische Infrastrukturen, darunter nationale Gas-Pipelines und Lebensmittelkonsortien. Mehr als die Hälfte aller Unternehmen wurde bereits von Ransomware angegriffen, und es wird erwartet, dass in diesem und im nächsten Jahr ein noch höherer Prozentsatz betroffen sein wird. Der Prozentsatz der Opfer, die das Lösegeld zahlen (über 60 Prozent), und die durchschnittliche Ransomware-Erpressungssumme (280.000 US-Dollar) steigen ebenso weiter an.

Zu Beginn der fünffachen Erpressungsphase, der Ransomware-2.0-Phase, erkannten Ransomware-Banden, dass der ultimative Wert, den sie besaßen, nicht in der Fähigkeit besteht, die Daten eines kompromittierten Opfers zu verschlüsseln oder gar zu exfiltrieren. Der wahre „Heilige Gral“ stellt der uneingeschränkte Zugriff auf die digitalen Ressourcen des Opfers dar.

In der Hackersprache nennt man das „Pwning" des Opfers. Sie brechen ein, verschaffen sich alle Kennwörter, einschließlich der Kennwörter für Administratorkonten, und können dann auf alles zugreifen, worauf die rechtmäßigen Administratoren Zugriff haben.

Das verheerende Potenzial von Ransomware 3.0

Die Ransomware-Banden entwickeln allmählich immer facettenreichere Angriffsmethoden, die sich nicht mehr nur auf Verschlüsselung und fünffache Erpressung beschränken. Sie erweitern ihr Portfolio um andere verwandte oder nicht verwandte Aktivitäten, darunter:

• Verkauf von gestohlenen, exfiltrierten Zugangsdaten und Erstzugängen
• Diebstahl von Geld von Bank- und Aktienkonten
• Persönliche Erpressung von Einzelpersonen
• Hacking gegen Bezahlung
• Verkauf von Lead-Listen aus gestohlenen Kundendaten
• Kompromittierung von Geschäfts-E-Mails
• Installieren von Adware und Starten von DDoS-Angriffen
• Krypto-Mining und Erstellung mietbarer Botnets

Vielzahl an Angriffsvarianten

Die Ransomware-Banden haben ihre Methoden erweitert, während sie früher hauptsächlich die traditionelle Ransomware-Fünffach-Erpressung durchführten, haben sie sich in letzter Zeit auch in andere Arbeitsbereiche vorgewagt. Brian Krebs, der bekannte Cybercrime-Journalist, berichtete über die Conti-Ransomware-Bande, die den ersten Zugang zu den kompromittierten Opfern verkauft. Das entspricht dem Gegenteil von dem, was bis vor kurzem noch üblich war. Früher waren es die Ransomware-Banden, die den ersten Zugang zu neuen Opfern kauften, um den Ransomware-Prozess zu starten, und jetzt werden sie zu den ursprünglichen Verkäufern jenes Zugangs.

Es ist bekannt, dass einige Ransomware-Banden Krypto-Mining-Bots auf den Computern der Opfer installierten, bevor sie mit der Verschlüsselung der Daten begannen. Der Rakhni-Trojaner liefert seit langem sowohl Ransomware als auch Krypto-Mining-Bots an die Opfer, oft für dieselben Banden. Sie erhalten das Geld, das sie durch das Krypto-Mining verdienen und zusätzlich die Summe, die sie durch die in Folge des Verschlüsselungsvorfalls erpressen können.

Ransomware-Banden wie Avaddon und Sun.Crypt sind dafür bekannt, dass sie gleichzeitig DDoS-Angriffe durchführen und Daten der Opfer verschlüsseln, um ihnen mehr Schaden zuzufügen und sie so schneller zur Zahlung zu bewegen.

„Die Verhinderung von Social Engineering, mit der Hilfe von Patches, MFA und guten Kennwortrichtlinien, erhöht die Widerstandsfähigkeit gegen Hacker und Malware, einschließlich Ransomware, enorm.“

Roger A. Grimes, KnowBe4

Einige Bedrohungsakteure beginnen, DDoS (Distributed Denial-of-Service) als erste und einzige Angriffsmethode gegen die Opfer einzusetzen. Ein Beispiel hierfür ist die sehr populäre REvil-Ransomware-Bande, die einen beliebten VoIP-Anbieter erpresste, ein Lösegeld in Höhe von 4,2 Millionen US-Dollar zu zahlen, um den DDoS-Angriff zu stoppen, der die Dienste des Opfers zum Erliegen brachte. Die Ransomware-Banden versuchen nicht einmal, die Dateien des Opfers zu verschlüsseln. Sie beginnen und enden einfach mit dem DDoS-Angriff.

Ransomware 4.0 – Automatisierung

Derzeit verschaffen sich die meisten Ransomware-Gruppen zunächst Zugang, installieren die Malware dann als Hintertür und benachrichtigen die Command-and-Control-Server (C&C-Server) der Betrüger, damit die Ransomware-Gruppe oder ihre Partner von dem neuen kompromittierten Opfer erfahren können.

Das ursprüngliche Schadprogramm kann einige Kennwörter und Details der Umgebung sammeln, andere Malware herunterladen und installieren und dann auf weitere Anweisungen warten. Dann leiten die Hacker die neuen Aktionen ein, sei es die Datenexfiltration oder das Starten der Verschlüsselungsroutinen. Letztendlich wird die Zukunft der Cybersicherheit und des Hackings darin bestehen, dass die Bots, die Bedrohungen jagen, gegen bösartige „Alleskönner-Bots“ antreten, wobei sich diese im laufenden Betrieb anpassen und am Ende vermutlich triumphieren.

Prävention durch Security Awareness

Eine Ransomware-Infektion zu verhindern, egal wie automatisiert und ausgeklügelt sie ist, funktioniert letztlich immer gleich. Der Fokus muss darauf liegen, die richtigen Abwehrmaßnahmen an den richtigen Stellen gegen die richtigen Dinge in der richtigen Menge einzuleiten. Das Problem stellt nie die Ransomware an sich dar, sondern die Art und Weise, wie die Ransomware überhaupt ins System gelangen konnte.

Die beiden wichtigsten Methoden, mit denen Angreifer eindringen, sind Social Engineering und nicht gepatchte Software. Wenn man diese Bedrohungen nicht effektiv abwehren kann, wird man in der Regel irgendwann Opfer eines Cyberangriffs.

Die Verhinderung von Social Engineering, mit der Hilfe von Patches, MFA (Multifaktor-Authentifizierung) und guten Kennwortrichtlinien, erhöht die Widerstandsfähigkeit gegen Hacker und Malware, einschließlich Ransomware, enorm.

Die effektivste Maßnahme zur Vorbeugung solcher Angriffe stellt ein umfassenden Security Awareness Training für die Mitarbeiter dar. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch solch Schulungen sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall etabliert werden.

Ausblick

Im Moment stellen Ransomware-Gruppen, die den komplexen Weg der Erpressung 4.0 gehen, die Minderheit. Allerdings wächst die Bedeutung dieser Minderheit immer mehr. Im Vergleich dazu ist die simple Verschlüsselung von Unternehmensdaten durch eingeschleuste Ransomware-Programme harmlos.

Die Lösung für diese neuartigen Bedrohungen besteht jedoch weiterhin darin, Social Engineering zu bekämpfen, gute Patches zu verwenden, MFA einzusetzen und eine effektive Kennwortrichtlinie einzuführen. Die Verbesserung der bestehenden Schutzmaßnahmen und ein hohes Sicherheitsbewusstsein aller Nutzer bilden das Fundament, um auch gegen zukünftige Ransomware Angriffe gerüstet zu sein.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.