Ransomware ist eine besondere Form der Internetkriminalität. Das Wort sagt schon alles: Geiselnahme. Die von Conscia in Zusammenarbeit mit dem kommerziellen Marktforschungsunternehmen The Blue Hour durchgeführte Benchmark-Umfrage zur Cybersicherheit zeigt, dass Ransomware als die größte Bedrohung angesehen wird (82%).

Inzwischen zeigen mehrere Studien über Ransomware die Zahlen für 2021. Fazit: Die Höhe der geforderten Lösegelder steigt weiter an, ebenso wie die geleisteten Zahlungen. Bedeutet dies, dass Unternehmen den Ransomware-Banden ausgeliefert sind? Sicherlich nicht! Selbst wenn wir sie nicht sehen, werden viele wertvolle Informationen über die Taktiken und Techniken dieser "Banden" gesammelt und weitergegeben.

So wissen wir zum Beispiel, dass im Jahr 2021 35 neue Ransomeware-"Banden" hinzugekommen sind. [1] Einige Gruppen hören auf irreführende Namen wie Hello Kitty und Robinhood. Kurz gesagt, es handelt sich um Gruppen von Kriminellen, die mit Ransomware ein lukratives Geschäft gefunden haben. So "erfolgreich", dass Ransomware als Service (RaaS) angeboten wird, von Kriminellen für Kriminelle. Es ist zu erwarten, dass ihre Aktivitäten in den kommenden Jahren noch zunehmen werden.

Zahlen und Fakten auf einen Blick

Dieses Wachstum war bereits im vergangenen Jahr zu beobachten. Die Zahl der Opfer stieg um 85%, wobei Amerika mit 60% das größte Ziel war. Gefolgt von EMEA mit 31% und Asien-Pazifik mit 9%. Auch die Höhe des geforderten Lösegelds stieg um 144% auf 2,2 Millionen Dollar. Der schließlich gezahlte Betrag lag im Durchschnitt bei 500.000 $; 78% höher als im Jahr 2020. [1] Von den Unternehmen, die von Ransomware betroffen sind, zahlen 58%. 14% zahlten mehr als einmal. 41% erholten sich innerhalb eines Monats von dem Angriff, 61% innerhalb von drei Monaten.

Laut Maarten Werff, Solution Consultant Cybersecurity bei Conscia, ist die Tatsache, dass sie oft bezahlt werden, ein Augenöffner. "Es handelt sich um eine zunehmend ausgereifte Branche, und oft führen sie einen Doppelangriff durch. Zuerst werden die Daten verschlüsselt, damit sie nicht mehr verfügbar sind. Wenn man nicht schnell genug zahlt, werden die gestohlenen Daten - z. B. personenbezogene Daten - wieder hervorgeholt. Die geschäftlichen Auswirkungen sind dann nicht nur die Lähmung des Unternehmens, sondern auch ein Imageschaden."

Methode enträtseln

Die Struktur eines Ransomware-Angriffs ist oft die gleiche. Nach dem Eindringen, in der Regel über einen Phishing-Angriff, bleiben sie eine Weile still, bevor sie sich zur Seite bewegen. Es überrascht nicht, dass die Mehrheit (67%) der Teilnehmer an der Benchmark-Umfrage angibt, sie wüssten nicht, wie viele Tage es dauert, bis ein Angriff bemerkt wird. Es liegt im Interesse der Angreifer, so lange wie möglich dabei zu bleiben, um so viel wie möglich zu stehlen.

Sobald sie enttarnt sind, ist oft klar, mit welcher "Bande" man es zu tun hat. In der Regel hat die kriminelle Organisation einen Service Desk (seltsam, aber wahr!). Das ist jedoch nicht das Einzige, durch das die Identität der Ransomware-Gruppe aufgedeckt wird. Weltweit werden Wissen und Informationen über diese "Banden", über ihre Taktiken und Techniken ausgetauscht. Auch Conscia ist über das MITRE ATT&CK-Framework daran beteiligt. Wissen schafft Macht und sorgt dafür, dass angegriffene Organisationen Widerstand leisten können, auch wenn die Kriminellen bereits im Inneren sind. Auch wenn Unternehmen in der Regel nicht öffentlich bekannt geben, dass sie gezahlt haben (aus Angst vor weiteren Angriffen und Rufschädigung), kann dies dennoch bei der Bekämpfung der Cyberkriminalität helfen. Laut Werff gibt es durchaus Fälle, in denen dies geschehen ist. "Sehr mutig und sehr lehrreich für andere Experten!"

Defense-in-Depth

Ein 100%-Schutz vor Ransomware-bezogener Malware ist nicht realistisch, weshalb wir empfehlen, einen "Defense-in-Depth"-Ansatz zu wählen. Das bedeutet, dass Sie mehrschichtige Sicherheitsmaßnahmen aus verschiedenen Blickwinkeln anwenden, von der Implementierung technischer Maßnahmen bis hin zur Erstellung von Richtlinien und Verfahren. Mit diesem Ansatz haben Sie mehr Chancen, Malware zu erkennen und zu stoppen, bevor sie in Ihrem Unternehmen Schaden anrichtet.

Der Ausgangspunkt des Defense-in-Depth-Ansatzes ist die "Annahme eines Verstoßes", bei der man davon ausgeht, dass jede Sicherheitsmechanismus irgendwann durchbrochen wird. Doch anstatt das Handtuch zu werfen, können Sie die Auswirkungen dieses Vorfalls abmildern, indem Sie starke Erkennungsmaßnahmen anwenden, mit denen Sie die Reaktionszeit auf Vorfälle verkürzen können. Diese Erkennungs- und Reaktionsmaßnahmen erfordern jedoch das nötige Wissen, die Zeit und die Erfahrung der IT-/Sicherheitsmitarbeiter. Deshalb lagern viele Unternehmen diese Erkennungs- und Reaktionsmaßnahmen (teilweise) an einen Managed Security Provider aus. Auf diese Weise kann sich das IT-Sicherheitsteam auf die Stärkung der Cyber-Resilienz konzentrieren und eine bessere Ausrichtung auf die Ziele des Unternehmens gewährleisten. Es ist wichtig, daran zu denken, dass Cybersicherheit ein fortlaufender Prozess ist, der ständig bewertet und angepasst werden muss, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.

Quelle: Conscia