Hochentwickelte Ransomware zwingt Unternehmen, über den Perimeter hinaus zu denken

München/Zürich, Starnberg, 08. April 2022 - Spezialist Rubrik sieht viele Unternehmen in Sachen „Wiederherstellung“ schwach aufgestellt; Angriffsmethoden besser verstehen...

Zum Hintergrund: Mitte Februar wurde die renommierte Insolvenzrechtskanzlei Schultze & Braun Ziel eines Ransomware-Angriffs.*** Dieser wurde der professionellen Hackergruppe Conti, berüchtigt für Ransomware-Erpressungen in Millionenhöhe, zugeschrieben. Angesichts immer raffinierterer Angriffe wie diesem gibt es kein Patentrezept, um zu gewährleisten, dass eine Unternehmensumgebung zu 100 Prozent vor Ransomware geschützt ist. Zwar können präventive Kontrollen dazu beitragen, grundlegende Angriffe zu stoppen, doch die einzige Möglichkeit, um Unternehmen völlig immun zu machen, besteht darin, das Internet nie zu nutzen, egal wofür. Aufgrund der Abhängigkeit von digitalen und vernetzten Technologien in der gesamten Wirtschaft – von POS-Terminals in kleinen Cafés bis hin zu KI- und Roboter-gesteuerten Fertigungsprozessen – ist dies jedoch nicht machbar. ***Link > https://www.finance-magazin.de/finanzabteilung/cybercrime/hackerangriff-auf-schultze-braun-111739/

Vor diesem Hintergrund sollen Unternehmen nach Ansicht von Michael Pietsch, GM und Country Manager Germany bei Rubrik (1), nicht nur auf den Schutz ihrer Außengrenzen achten. Es geht auch darum, wie schnell sie nach einem Angriff Abhilfe schaffen und den Geschäftsbetrieb wieder zum Laufen bringen können. Dazu ist es wichtig, die beiden Methoden zu verstehen, die Angreifer einsetzen, um den Geschäftsbetrieb zu stören und Unternehmen an den Verhandlungstisch zu zwingen: Verschlüsselung und Exfiltration.

„Heutzutage ist es für ein Unternehmen unmöglich, ohne Daten zu arbeiten. Diese einfache Wahrheit ist das Prinzip der Ransomware-Angriffe seit ihren Anfängen im Jahr 1989 mit dem allerersten Stamm, PC Cyborg. Die Urheber dieser rudimentären Ransomware, per Diskette verbreitet, verlangten zwar nur eine Zahlung von etwa 500 US-Dollar. Sie wussten aber schon vor mehr als 30 Jahren, dass, wenn man kritische Daten sperrt, der Benutzer dafür bezahlen wird, um wieder Zugang zu erhalten. Seitdem hat sich ein kriminelles Geschäftsmodell entwickelt. Die Angreifer profitieren von der Verzweiflung der Unternehmen, die plötzlich Tage, Wochen oder sogar Monate ohne Zugriff auf die Daten und Systeme dastehen, die sie für ihren Betrieb dringend benötigen.

Einer Bitkom-Studie zufolge entstand der deutschen Wirtschaft im Jahr 2020 durch Ransomware ein Schaden von 220 Milliarden Euro und damit doppelt so viel wie im Jahr 2019. Dieser Trend dürfte sich 2021 fortgesetzt haben. Laut IDC waren 70 Prozent der deutschen Unternehmen bereits Opfer von Ransomware-Angriffen. Entgegen des Rats von Sicherheitsexperten ging ein Drittel der Unternehmen auf die Lösegeldforderung ein. Auch neue Zahlen von Palo Alto Networks berichten im Unit 42 Ransomware Threat von einer äußerst positiven Konjunktur im Ransomware-Gewerbe.

Die Bezahlung der Angreifer ist ein Anreiz für weitere Angriffe auf andere Unternehmen – und es gibt keine Garantie dafür, dass die Angreifer die Daten nach der Zahlung tatsächlich entschlüsseln. Daher ist ein besserer Weg gefragt, eine schnelle Wiederherstellung der betroffenen Daten, ohne mit Kriminellen verhandeln zu müssen. Dies setzt umfassende und aktuelle Backups voraus, da sie es ermöglichen, die Uhr zurückzudrehen und den Betrieb von einem „Speicherpunkt“ vor der Infektion wiederaufzunehmen. Das BSI gibt Informationen und Empfehlungen zur Datensicherung und zeigt in seinen IT-Grundschutzbausteinen ein adäquates Datensicherungskonzept auf.

Ransomware-Angreifer wissen, dass Backups ihr Geschäftsmodell ruinieren können

Die raffinierteren Stämme suchen nun aktiv nach Backup-Daten, um die Wiederherstellungsbemühungen zu behindern und die Wahrscheinlichkeit zu erhöhen, dass das Opfer zahlt. Unveränderliche Backup-Daten, die von Haus aus geschützt sind, bieten Unternehmen eine Art „Ransomware-Versicherungspolice“. Diese trägt dazu bei, dass der Geschäftsbetrieb so schnell wie möglich wiederaufgenommen werden kann – und verkürzt die Wiederherstellungszeiten von durchschnittlich 16 Tagen auf nur wenige Stunden.

Eine der größten Entwicklungen bei Ransomware war die Einführung von Exfiltrationsfunktionen, die erstmals Ende 2019 mit der Variante Maze "in freier Wildbahn" auftraten. Die Hacker, die hinter dieser Variante stehen, haben ihre Aktivitäten im November letzten Jahres eingestellt. Das von ihnen eingeführte „Zangenmanöver“, bei dem Daten sowohl gestohlen als auch verschlüsselt werden, ist heute jedoch die bevorzugte Taktik von Ransomware-Gruppen auf der ganzen Welt. Durch die Androhung, die gestohlenen Daten zu veröffentlichen, erhöhen die Angreifer die Dringlichkeit der Reaktion des Opfers und steigern gleichzeitig das Risiko der Folgen des Angriffs.

  • In den ersten Tagen nach einem solchen Angriff herrscht in der Regel blanke Panik, da das Unternehmen versucht, herauszufinden, welche Daten gestohlen wurden. Ein genauer Überblick über die gestohlenen Dateien ist für die Reaktionsmaßnahmen von entscheidender Bedeutung, da das Unternehmen so feststellen kann, ob personenbezogene Daten, Finanzdaten oder geistiges Eigentum entwendet wurden und welche zusätzlichen Behörden oder Regulierungsstellen benachrichtigt werden müssen.

  • Mittels Modellen für maschinelles Lernen, die auf Backup-Daten angewendet werden, lässt sich dieser Erkundungsprozess erheblich beschleunigen. Die erforderliche Zeit, um das gesamte Ausmaß eines Angriffs zu verstehen, reduziert sich von Tagen auf Minuten. Auf diese Weise ist es möglich, die betroffenen Kunden schnell zu benachrichtigen, damit sie geeignete Maßnahmen ergreifen können, um sich vor Betrug zu schützen, der aus den gestohlenen Daten resultiert. 

2021 waren einer Meldung des MDR  zufolge viele Unternehmen und Behörden in Deutschland von Ransomware-Angriffen betroffen, darunter Mediamarkt-Saturn, die Uni Leipzig, die FAM GmbH in Magdeburg, die Stadt Schwerin, die Stadtwerke Wismar und der Landkreis Anhalt-Bitterfeld. Klar ist, dass diese Angriffe in nächster Zeit nicht aufhören werden. Das Gegenteil ist der Fall. Sie werden sich weiterentwickeln, immer raffinierter und folgenreicher werden, da die Angreifer versuchen, die Wiederherstellung so schwierig und kostspielig wie möglich zu machen. Fazit: Leider gehören Cyberangriffe zu den Risiken, die das Leben und Arbeiten im Internet mit sich bringt. Unternehmen können zwar nie völlig immun gegen die Risiken von Ransomware sein, aber sie können die Unterbrechungen minimieren und sicherstellen, dass sie den Geschäftsbetrieb so schnell wie möglich wiederaufnehmen können.“

 

(1) Das Bild zeigt Michael Pietsch, GM und Country Manager Germany bei Rubrik (Bildquelle: Rubrik)


Querverweis: