Der Aufstieg der Ransomware: Gefahr durch digitale Erpressung wächst ungebrochen weiter

von

Lesezeit: Minuten ( Wörter)

Ransomware ist die derzeit unangefochtene Nr. 1 unter den Cyberbedrohungen

Übergreifendes Ziel von Angreifern, die Ransomware einsetzen, ist die Erpressung des Dateneigentümers. Dabei werden sensible Daten verschlüsselt bzw. der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern. Gerade aufgrund der lukrativen monetären Erfolgsaussichten nimmt die Zahl der Cyberangriffe mit Erpressungssoftware bzw. durch sog. Kryptotrojaner immer weiter zu. Unternehmen drohen durch solche Angriffe häufig existenzbedrohende Konsequenzen.

Warum ist es für Unternehmen so schwierig, sich vor Ransomware-Angriffen zu wappnen und dieser Gefahr durch entsprechende Sicherheitslösungen angemessen zu begegnen?

Im Wesentlichen gibt es drei Gründe, weshalb Cyberkriminelle der IT Security von Unternehmen einen Schritt voraus sind:

1 - Die Fähigkeiten von Cyberkriminellen vergrößern sich

Speziell im Bereich der Erpressungssoftware ist eine stetige Weiterentwicklung der Fähigkeiten bei den Angreifern zu beobachten. Ihre Motivation liegt in den potenziellen Summen, die sie als Kriminelle bei einem erfolgreichen Cyberangriff erbeuten. Bei der Erpressung von Unternehmen stellen die Angreifer regelmäßig Forderungen in Millionenhöhe. Immer raffiniertere Schadsoftware entsteht.

Zu den beliebtesten Tools im Jahr 2020 gehörten Ryuk und RagnarLocker. Außerdem wächst die Struktur von Miet-Ransomware. Kriminelle greifen so auf vorgefertigte und hochgradig entwickelte Erpressungssoftware zurück. Die Angreifer selbst benötigen faktisch wenig Kenntnisse im Bereich der Cyberkriminalität, da diese Plattformen komplett menügesteuert und entsprechend einfach zu bedienen sind. Über diese Infrastruktur starten dann viele kleine Angriffe, die vor allem auf Unternehmen abzielen.

Welche Gefahren von Tools wie Ryuk ausgehen, zeigte sich im Herbst 2020 in den USA. Innerhalb kurzer Zeit verschlüsselten Angreifer die Daten von Computern in zahlreichen Krankenhäusern. Inmitten der COVID-19-Pandemie erschwerte diese Angriffsreihe die Arbeitsbedingungen in den Einrichtungen mitunter massiv. Betroffene Hospitäler befanden sich in den US-Bundesstaaten New York, Oregon und Minnesota. Dass es sich aller Ansicht nach um einen koordinierten Angriff handelte, wird anhand der Vorgehensweise deutlich. Nicht nur nutzten die Kriminellen mit Ryuk überall die gleiche Schadsoftware, sechs Krankenhäuser meldeten am selben Tag eine Attacke dieser Art. Insgesamt haben die Angreifer offenbar versucht, bis zu 400 medizinische Einrichtungen in den USA simultan anzugreifen.

Ein ähnlich perfider Fall sorgte im Herbst dieses Jahres auch in Deutschland für Schlagzeilen: Im August starb nach einem Erpresserangriff auf die Uniklinik Düsseldorf eine Patientin. Der Hacker-Angriff hatte mit einem Ransomware-Angriff weite Teile der Uniklinik lahmgelegt. Mit dem anhaltenden Ausfall des IT-Systems am Uniklinikum wuchs die Zahl der betroffenen Patienten von Tag zu Tag. Nur ungefähr die Hälfte der etwa 1000 Patienten in einer stationären Behandlung konnten noch versorgt werden.

Diese Fälle verdeutlichen einmal mehr, dass Akteure in diesem Bereich skrupellos und profitorientiert handeln. Insbesondere öffentliche Einrichtungen wie das Gesundheitswesen sind dringend aufgefordert sicherzustellen, dass ihre Netzwerke widerstandsfähig genug sind, um sich vor Attacken zu schützen.

Besonders perfide: Ransomware-Angriffe auf kritische Infrastrukturen
Besonders perfide: Ransomware-Angriff auf kritische Infrastrukturen

2 - Hacker verfolgen klare Strategien bei der Kompromittierung von Netzwerken und Systemen

Angriffe von Cyberkriminellen verlaufen immer gezielter. Die Zeiten, in denen ein Virus scheinbar wahllos Systeme befällt und die Akteure selbst keine wesentlichen persönlichen Vorteile aus ihren Aktionen ziehen, sind vorbei. Der moderne Hacker ist ein Opportunist, der gezielt Schwachstellen in der Cyber Protection von Unternehmen ausspäht. Die Angreifer suchen sich bewusst ein Ziel, also beispielsweise eine bestimmte Organisation, und verfolgen einen langfristigen Plan. In ihrer Strategie spielt unter anderem auch der Einsatz sog. Loader (Programme, die weitere Software wie Trojaner oder Ransomware nachladen), eine immer wichtigere Rolle. Unternehmen brauchen in vielen Fällen sehr lange, bis eine derartige Schadsoftware entdeckt wird – häufig geschieht dies erst, wenn die Malware weitere Module nachlädt. Über diese dringen die Angreifer in Unternehmens- und Organisationsnetzwerke ein.  

Entdeckt das Cyber Security Team eines Unternehmens Anzeichen für auffällige Aktivitäten, ist höchste Aufmerksamkeit geboten. Werden gesichtete Vorfälle irrtümlicherweise als alltäglich und weniger gefährlich eingestuft, kommt es ggf. lediglich zu einer Reinigung der betroffenen Systeme und danach zu einer Wiederaufnahme des Tagesgeschäfts – ein riskantes Unterfangen! Tatsächlich ist es möglich, dass technisch versierte Angreifer an diesem Punkt bereits begonnen haben, unauffällig Daten auszuspionieren (sog. lateral movement). Der eigentliche Angriff beginnt dann, wenn die gewünschten Punkte der Netzwerkinfrastruktur in der Kontrolle der Angreifer sind.

Auch hier gibt es Beispiele aus der Praxis, wie derartige Angriffe ablaufen. Anfang des Jahres 2020 räumte die Universität Maastricht in den Niederlanden ein, dass sie Opfer einer Erpressung mit Ransomware waren. In diesem spezifischen Fall hatten Hacker nicht nur das Netzwerk der Universität selbst, sondern auch die Back-up-Server infiziert. Forschungsergebnisse und andere wichtige Daten hatten die Angreifer über den Kryptotrojaner Clop verschlüsselt. Es gab nicht die Möglichkeit, die Daten über ein Rollback wiederherzustellen. Schlussendlich sah sich die Universität Maastricht gezwungen, auf die Erpressung einzugehen. Die Zahlung erfolgte in Bitcoins, einer beliebten Währung bei Cybererpressungen. Bei Bitcoins ist es faktisch unmöglich, den Zahlungsempfänger nachzuvollziehen. Die Kriminellen erbeuteten so einen Gegenwert von etwa 200.000 Euro. Es besteht kein Zweifel daran, dass die Angreifer die Netzwerkstruktur der Universität exakt kannten und so auch die Back-up-Systeme identifizierten. Dieses Beispiel zeigt, wie strategisch und versiert die Cyberkriminellen mittlerweile vorgehen.

3 - Cyberkriminelle tarnen sich mit gängiger, unauffälliger Software

Cyberkriminelle greifen bei ihren Aktivitäten durchaus auch auf reguläre und unauffällige Software zurück. Auf diesem Weg verschaffen sie sich Zugang zu Unternehmensnetzwerken und sammeln vor allem sensible Informationen. Dies geschieht als Teil der Vorbereitung von gezielten Cyberangriffen. Kenntnisse über die Netzwerkstrukturen sind von unschätzbarem Wert für Angreifer. Auf diesem Weg ist es möglich, konkrete Ziele zu identifizieren. Durch dieses Ausspionieren und Vorbereiten sind die Cyberkriminellen später in der Lage, gezielt anzugreifen.

Konkrete Beispiele finden sich bei Apps für mobile Geräte, die beispielsweise im Google Store gelistet sind. Der eigentliche Zweck einer solchen Anwendung kann ganz unterschiedlich sein. Eine Kommunikations-App für Unternehmen, ein automatischer Übersetzer oder auch etwas Unauffälliges wie Wallpaper für den Desktop. In die App eingebettet ist jedoch die Malware, die dem Angreifer dann Zugang zum Unternehmensnetzwerk gewährt. Um die Schadensursache ausfindig zu machen, konzentriert sich die Suche in der Regel primär auf Schadsoftware, die illegale Tätigkeiten ausübt. Eine Software, die jedoch augenscheinlich einem ganz anderen Zweck dient, fällt zunächst nicht auf. Diese Strategie hebelt die traditionellen Sicherheitsansätze aus. Die klassischen Abwehrmechanismen sind initial machtlos gegenüber Tools, die auf den ersten Blick harmlos erscheinen. Der Missbrauch alltäglicher Tools und Techniken stellt traditionelle Sicherheitsansätze in Frage, da die Verwendung solcher Programme nicht automatisch eine Warnung auslöst. Hier kommt dem schnell wachsenden Bereich des Threat Hunting eine immer größere Bedeutung zu.

Bedrohungen, die in Zukunft von Bedeutung sein werden

Im Jahr 2021 wird sich die IT-Sicherheitslage weiter verändern, darüber sind sich IT-Sicherheitsexperten einig. Eine wichtige Rolle nimmt die COVID-19-Pandemie ein, die auch Auswirkungen auf die IT-Sicherheit hat. Durch die wachsende Zahl an Fernverbindungen über öffentliche Netzwerke hinweg wächst die Gefahr für Angriffe. Aus diesem Grund werden Angriffsversuche über RDP (Remote Desktop Protocol) und VPN-Infrastrukturen verstärkt im Mittelpunkt von Cyberkriminellen stehen. Hier bieten sich Einfallsmöglichkeiten in die internen Netzwerkstrukturen. RDP nutzen Angreifer auch aus, um sich in der Infrastruktur weiter auszubreiten. In diesem Zusammenhang steht die Sicherheit von Cloud-Systemen zunehmend im Fokus. Diese Umgebung stellt Unternehmen vor neue Herausforderungen, was die Sicherheitskonzepte anbelangt.

Viele Experten sind der Meinung, dass es zukünftig von zentraler Bedeutung sein wird, epidemiologische Ansätze bei der Aufspürung von Cyberbedrohungen einzusetzen. Auf diese Weise würde es möglich werden, noch unentdeckte und unbekannte Gefahrenquellen zu identifizieren.

Zurück