Die 4 häufigsten Ransomware-Arten: So gefährlich sind sie für KMUs
von Tina Siering
Seit Jahren nehmen Ransomware-Attacken auf Unternehmen und Organisationen weltweit deutlich zu – auch in Deutschland. Immer mehr Hackergruppen entwickeln immer raffiniertere Angriffsstrategien, mit denen sie ihre Opfer in die Enge treiben. Wie eine Studie des US-amerikanischen Cybersicherheit-Unternehmens Intel 471 nun herausgefunden hat, gehen fast 70 Prozent aller Attacken auf das Konto von nur vier Malware-Arten. Vor allem kleine und mittlere Unternehmen rücken vermehrt in den Fokus der Angreifer und sind dazu gezwungen, trotz geringer personeller Kapazitäten und begrenzter finanzieller Mittel starke Abwehrmechanismen zu entwickeln. Gelingen kann das nur mit der richtigen Schutzstrategie.
Das sind die Big 4 der Verschlüsselungstrojaner
Für seine Studie analysierte Intel 471 zwischen Oktober und Dezember 2021 insgesamt 722 Ransomware-Attacken. In diesem Zeitraum hatten sich vier Ransomware-Arten besonders hervorgetan: Die Malware LockBit 2.0 war allein für 29,7 Prozent aller Angriffe verantwortlich. Dahinter reihte sich die Conti-Ransomware der Conti-Gruppe mit einem Anteil von 19 Prozent ein – gefolgt von den Erpressungstrojanern Pysa und Hive, mit denen 10,5 und 10,1 Prozent der Attacken begangen wurden.
Die Top 4 der meistgenutzten Verschlüsselungstrojaner lassen sich wie folgt charakterisieren:
1. LockBit 2.0
Bei LockBit 2.0 handelt es sich um eine Schadsoftware, die erstmals im September 2019 in Erscheinung getreten ist und zunächst unter dem Namen ABCD-Virus bekannt war. Sie ermöglicht die Verschlüsselung von Computersystemen, sodass Hacker Unternehmen und Organisationen rund um den Globus mit Betriebsunterbrechungen und Datendiebstahl erpressen können. Die gezielten Attacken laufen dabei mithilfe von automatisierten Prozessen infektionsartig ab und erreichen ein extrem schnelles Verschlüsselungstempo. Das Entwicklerteam vermietet Lockbit 2.0 auch als Ransomware-as-a-Service (RaaS) an Cyberkriminelle und verdient anteilig an den Einnahmen der Hacker. Zu den prominentesten Opfern zählen unter anderem das französische Justizministerium sowie das Beratungsunternehmen Accenture.
2. Conti
Die Ransomware Conti ist im Jahr 2020 zum ersten Mal aufgetaucht und wurde von der TrickBot-Bande entwickelt. Auch dieser Verschlüsselungstrojaner lässt sich als RaaS mieten – inklusive einer detaillierten Anleitung zum Umgang mit der Schadsoftware und zur Identifizierung von geeigneten Zielen. Genau wie bei LockBit 2.0 verdient die Conti-Gruppe an den Lösegeldern, die ihre kriminellen Kunden mit Hackerangriffen eintreiben. Auf diese Weise sollen bereits über 2,5 Milliarden Euro auf das Conti-Konto geflossen sein. Aktuell wird die Ransomware auch als “politisches Mittel” eingesetzt. Da die Conti-Gruppe zu Beginn des russischen Angriffskrieg gegen die Ukraine offiziell Position für die russische Seite bezogen hatte, wurde der Quellcode geleakt. Der geleakte Quellcode wurde daraufhin von der Hackergruppe NB65 genutzt, um russische Organisationen gezielt anzugreifen. Entsprechend begründet hat die Gruppe ihre Angriffe mit dem Massaker im ukrainischen Butscha: Sobald Russland den Krieg gegen die Ukraine beendet, würden auch die Angriffe eingestellt. Ziele außerhalb Russlands würden nicht angegriffen.
3. Pysa
Die Schadsoftware Pysa zählt zur Familie der Mespinoza-Ransomware und wird typischerweise über betrügerische Dateianhänge, Downloads oder Updates verbreitet. Nach der Verschlüsselung erhalten Dateinamen die Endung „.pysa“. Über eine .txt-Textdatei fordern die Täter ihre Opfer dazu auf, mit ihnen per E-Mail in Kontakt zu treten, um Informationen über die Lösegeldzahlung und die anschließende Wiederherstellung der Daten zu erhalten. Zahlen Sie unter keinen Umständen Lösegeld! Denn nicht immer erhalten Sie dadurch Ihre Daten wieder – und wenn Sie zahlen, machen Sie genau das, was die Cyberkriminellen wollen und ermuntern Sie damit zur Wiederholung. Mehr zum Thema lesen Sie im Blogbeitrag “Cyberangriff auf Ihr Unternehmen? So reagieren Sie im Ernstfall richtig!”
4. Hive
Die Erpressungssoftware Hive wurde erstmals im Juni 2021 entdeckt und hat sich seitdem rasant verbreitet. In der Vergangenheit hatten es die Entwickler bereits mehrfach auf Krankenhäuser abgesehen und die medizinische Versorgung lahmgelegt. Dabei verschlüsselten sie nicht nur unternehmenskritische Daten, sondern drohten auch mit der Veröffentlichung von Patienteninformationen. Des Weiteren machte die Hackergruppe die Namen der Opfer publik, die der Lösegeldforderung nicht nachgekommen waren. Die Hive-Entwickler verschaffen sich typischerweise über infizierte Dateianhänge in Phishing-Mails Zugang zum Netzwerk und nutzen dann das Remote Desktop Protocol, um sich seitlich im Netzwerk zu bewegen.
Update vom 27. Januar 2023: Hackernetzwerk “Hive” zerschlagen
Im Januar 2023 ist deutschen Ermittlern in Zusammenarbeit mit Europol, dem FBI und weiteren US-Behörden ein Schlag gegen die Hacker-Gruppe "Hive" gelungen: Cyberspezialisten konnten in die kriminelle IT-Infrastruktur der Täter eindringen, eine Vielzahl von Servern beschlagnahmen sowie Daten und Accounts des Netzwerks und seiner Nutzer sichern. Die Website der Hacker im Darknet ist inzwischen offline.
"Hive" soll in den vergangenen Jahren weltweit für mehr als 1500 Cyberangriffe gegen Unternehmen und Organisationen verantwortlich gewesen sein – alleine mehr als 70 in Deutschland. Unter den Opfern fanden sich vor allem Krankenhäuser, Bildungseinrichtungen, Finanzunternehmen und Unternehmen aus dem Bereich der kritischen Infrastruktur.
Darum sind kleine und mittlere Unternehmen besonders gefährdet
Die weit verbreitete Annahme, dass in erster Linie Konzerne von derartigen Ransomware-Angriffen betroffen seien, entspricht längst nicht mehr der Realität. Zwar sind große Unternehmen besonders lukrative Ziele, doch bei weitem nicht die erfolgversprechendsten. So zeigt eine aktuelle Studie des Cybersicherheit-Dienstleisters Cynet, dass gerade kleine und mittlere Unternehmen aufgrund fehlender personeller und monetärer Ressourcen in besonderem Maße gefährdet sind.
Von 200 befragten CISOs kleiner und mittelständischer Unternehmen gaben 58 Prozent an, dass sie sich im Vergleich zu großen Unternehmen einem höheren Angriffsrisiko ausgesetzt sehen. Als Grund hierfür nennen 40 Prozent der Studienteilnehmer den Mangel an qualifiziertem Personal. Jeweils 37 Prozent der Befragten sind der Ansicht, dass zum einen die weitgehend manuelle Analyse und zum anderen die Zunahme der Remote-Arbeitsplätze für die unzureichende IT-Sicherheit in ihrem Unternehmen verantwortlich sind.
Darüber hinaus fehlt es kleinen IT-Security-Teams häufig an Fachwissen, Zeit und den richtigen Tools, um sich gegen erfolgreiche Ransomware-Angriffe zur Wehr setzen zu können. Da ihnen meist nur ein kleines Budget zur Verfügung steht, scheuen sie die hohen Anschaffungs- und Wartungskosten für SIEM-Lösungen. Das wissen auch Hacker und nutzen die Sicherheitslücken in KMU-Netzwerken für ihre Zwecke effektiv aus.
Wie sich selbst kleine Unternehmen effektiv schützen können
Was also tun, wenn die eigenen Möglichkeiten für den Betrieb von funktionierenden IT-Security-Lösungen begrenzt sind? Ganz einfach: Die überwiegende Mehrheit der KMUs setzt auf Outsourcing. Anstatt die Prävention und Angriffsfrüherkennung mit einem eigenen SOC-Team zu bewältigen, lagern 90 Prozent der von Cynet befragten Unternehmen das Thema Threat Hunting an einen externen Dienstleister für “Managed Detection and Response” (MDR) aus.
Allgeier secion bietet mit seinem Active Cyber Defense Service (ACD) einen solchen zuverlässigen MDR-Service zum Festpreis an. Auf Grundlage von Threat-Hunting- und Incident-Response-Mechanismen scannt die Lösung Ihr Netzwerk 24/7 proaktiv nach auffälligen Aktivitäten ab und macht eine Kompromittierung sofort sichtbar. Angreifer erhalten mit Active Cyber Defense gar nicht erst die Chance, sich monatelang unbemerkt in Ihren Systemen zu bewegen, sondern werden frühzeitig enttarnt. Ransomware-Attacken werden abgewendet abwenden und eine Verschlüsselung von Daten verhindert.
Fazit
Erfolgreiche Cyberangriffe durch Ransomware stellen heute für Unternehmen und Organisationen aller Branchen und Größen eine gleichermaßen große Gefahr dar. Auch wenn die vier meistgenutzten Malware-Arten (LockBit 2.0, Conti, Pysa und Hive) namentlich bekannt sind, werden die meisten kleinen und mittelgroßen Unternehmen auch in Zukunft große Probleme haben, sich aus eigener Kraft gegen die vermehrt drohenden Attacken behaupten zu können. Denn der Erwerb von SIEM-Lösungen (als eine Möglichkeit zur Angriffserkennung) und der Aufbau interner, eigener SOC-Teams sind mit kleinen Budgets nur schwer umsetzbar.
Damit KMUs auf einen effektiven Schutz dennoch nicht verzichten müssen, hat sich der 24/7 Active Cyber Defense-Service (ACD) von Allgeier secion als schlanke Managed-Detection-and-Response-Lösung (MDR) bewährt. Durch relevante Features aus der Threat-Hunting-Technologie unterscheidet er sich maßgeblich von anderen Incident-Detection-and-Response-Lösungen zur Angreiferfrüherkennung.
Die Lösung ist als Managed Service monatlich buchbar und bietet unter anderem folgende Vorteile:
- ACD bezieht die Überwachung aller Systeme eines Netzwerks mit ein, wie beispielsweise Desktops, Laptops, Mobiltelefone, Tablets, Server, Netzwerk-Geräte, Drucker, IoT, ICS, BYOD.
- Durch das Erkennen von auffälligem Kommunikationsverhalten identifiziert ACD kompromittierte Systeme. Hierdurch können diese gezielt isoliert und zügig bereinigt werden.
- Für die Nutzung bedarf es keiner Installation von Agents auf Clients – es wird auf Netzwerkebene geprüft, ob Systeme bspw. zu Command & Control Servern kommunizieren und somit kompromittiert sind.
- Optimale Vorbereitung auf den Ernstfall mit Hilfe unseres IR-Readiness Programms: Die umfassende Incident Response Readiness-Strategie beinhaltet detaillierte Richtlinien und Prozesse zur angemessenen Behandlung von Sicherheitsvorfällen. Wir helfen Ihnen, die notwendigen Werkzeuge und Handlungsempfehlungen bereitzustellen.