München, Starnberg, 15. Mai 2020 - Ergebnisse der Analyse von Sophos Labs: neue weltweite Studie zeigt das Ausmaß der Attacken. Offline-Backups bleiben die erste Wahl...
Zum Hintergrund: Cyberkriminelle haben die Besorgnis über das Entstehen der globalen COVID-19-Pandemie als Köder für Spam, Phishing-Angriffe und Malware ausgenutzt. Nach Informationen des Cyber Security Unternehmens Sophos Ltd. ist in den letzten Wochen die Verwendung von "Coronavirus" und "COVID-19" in Domain-Namen, potenziell unerwünschten E-Mail-Nachrichten sowie Phishing- und Malware-Zustellungsprogrammen sprunghaft angestiegen. Bis zum 14. April hat Sophos demnach über 1.700 schädliche Domänen mit "Corona" oder "Covid" in ihren Namen identifiziert, von denen 1.200 derzeit aktiv sind. (Quelle: https://news.sophos.com/en-us/2020/04/14/covidmalware/).
Wie bereits in einigen Beiträgen / Blogpost auf dieser Seite hingewiesen (siehe Querverweise unten am Textende), ist eine sichere Backup-Strategie die einzige Möglichkeit, Unternehmensdaten gegen diese Angriffe zu schützen. Hier nochmals zur Erinnerung: Zum Schutz der Daten ist neben Vorbeugung, Erkennung und schneller Reaktion die 3-2-1-1-Regel zu beachten, also 3 Kopien Ihrer Daten auf 2 verschiedenen Medientypen, 1 Offline- und 1 Offset-Kopie. (Quelle: Storage Consortium Blogpost "Wie sich Ransomware-Angriffe auf Backup-Infrastrukturen abfedern lassen".
Aktuell bedroht die Maze-Ransomware zahlreiche Unternehmen, eine besonders aggressive und skrupellose Ransomware-Variante, so das Ergebnis einer Analyse der Sophos Labs. Die gerade veröffentlichte Studie der Sicherheitsexperten „The State of Ransomware 2020“ zu den weltweiten Attacken von Ransomware belegt das zerstörerische Ausmaß dieser Art von Schadsoftware. Hier die aus Sicht von Sophos wichtigsten Fakten zur Maze-Analyse mit einer Einordnung von Chester Wisniewski (Prinzipal Researcher) kurz zusammengefasst:
Bildquelle: Sophos News (https://news.sophos.com/en-us/2020/04/14/covidmalware/)
Stehlen, Zerstören, Sabotieren: Maze-Ransomware bedrängt seine Opfer massiv
Die Sophos Labs haben einen intensiven Blick auf die Ransomware „Maze“ geworfen und erhielen damit Einblicke in Werkzeuge, Techniken und Prozeduren. Sie ist danach eine hochaktuelle Bedrohung. Weiterentwickelt aus einer simplen Ransomware, gilt Maze inzwischen als besondere Gefahr, die sich dadurch auszeichnet, dass sie Datenverschlüsselung mit Informationsdiebstahl und der Bedrohung der Bloßstellung kombiniert. Gilt Ransomware ja ohnehin ein heikles Thema in Unternehmen, wie die frisch veröffentliche weltweite Studie von Sophos „The State of Ransomware 2020" deutlich zeigt (1), gewinnt Erpressungssoftware und hier eben insbesondere Maze gerade jetzt, in Zeiten von Lockdown, Homeoffice und skrupelloser, höchster Aktivität seitens der Cyberkriminalität noch einmal besonders an Brisanz. Maze ist laut den Sicherheitsexperten aktuell nicht nur in aller Munde, sondern leider auch bereits in den Systemen zahlreicher, namhafter Unternehmen.
(1) Quelle / Link > https://news.sophos.com/de-de/2020/05/13/weltweite-ransomware-studie-wer-zahlt-zahlt-drauf/
Ein kombinierter Ansatz von Verschlüsselung, Diebstahl und Drohgebaren, der Maze laut Analyse so besonders macht und der bereits von anderen Ransomware-Familien übernommen wurde (zum Beispiel Sodinokibi-Ransomware), ist kreiert worden, um massiven Druck auf das Opfer auszuüben. Das betroffene Unternehmen soll nur noch die Zahlung der Erpressungsgelder als Lösung seiner Situation in Betracht ziehen können. Was die Unternehmen teuer zu stehen kommt, wie aus der genannten Studie hervorgeht. Die Zahlung der Lösegelder führt demnach fast zu einer Verdopplung der Schadenskosten.
Der Expertenrat: Offline-Backups, mehrschichtige Sicherheitslösungen und nicht bezahlen!
Sophos Principal Researcher Chester Wisniewksi erklärt das Vorgehen der Maze-Erpresser und gangbare Wege, um sich davor zu schützen, so: „Ein effektives Backup-System, das Organisationen ermöglicht, ihre verschlüsselten Daten wiederherzustellen, und zwar ohne Lösegeldzahlungen, ist entscheidend für den Geschäftserfolg. Aber es ist nicht der einzige Faktor für die wirkliche Belastbarkeit gegenüber einer Ransomware-Attacke. Fortgeschrittene Gegner, wie die Entwickler hinter Maze-Ransomware, verschlüsseln nicht nur Dateien. Sie stehlen Daten, um Erpressungsmaterial zu haben.
Einige versuchen auch, Backups zu löschen oder zu sabotieren, um es den Nutzern nahezu unmöglich zu machen, ihre Daten wiederherzustellen. Das bringt sie in die Position, Druck auf die Opfer zu erhöhen. Der Lösungsweg besteht für Unternehmen darin, Backups offline aufzubewahren und effektive, mehrschichtige Sicherheitslösungen zu verwenden, die Angriffe entdecken und blocken, und zwar in unterschiedlichen Stadien und damit den Diebstahl oder die Beschädigung von Daten zu verhindern. Organisationen müssen sicherstellen, dass Ransomware keinen Fuß in ihr Netzwerk bekommt, egal wo und wie Angreifer sich Zugang verschaffen.“
Die komplette Sophos-Analyse zur Maze Ransomware findet Sie unter diesem Link > https://news.sophos.com/en-us/2020/05/12/maze-ransomware-1-year-counting/
Ausführliche technische Information zu “ChaCha Ransomware” (ein Spitzname von Maze) finden Sie auch im Blogpost des Anbieters McAfee unter diesem Link >https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ransomware-maze/
Querverweise (eine Auswahl):
Unser Beitrag > Sichere Backups mit kryptographischen Schlüsseln und Blockchain-Technologie
Unser Beitrag > Sichere Backups für das Home Office: Wie Unternehmen Cyberattacken vermeiden können
Unser Beitrag > Quantum Ransomware Protection Packs: intelligente Speicherlösung zum Schutz vor Angriffen
Unser Beitrag > Hinweise zum Aufbau einer krisenfesten Disaster-Recovery-Strategie gegen Cyberbedrohungen