13.01.2022 / Kategorie: Threat Intelligence
Sicherheitsexperten gehen davon aus, dass der Grad der Raffinesse und das Ausmass von Cyberangriffen 2022 weiter zunehmen und rekordverdächtige finanzielle Verluste verursachen werden. Vor allem Ransomware wird aggressiver werden und sich weiter verbreiten. Um den Bedrohungen einen Schritt voraus zu sein, müssen Unternehmen die Taktiken, Techniken und Verfahren der wichtigsten Ransomware-Betreiber kennen und ihre Systeme schützen.
Im Jahr 2013 wurde der erste sogenannte CryptoLocker in Umlauf gebracht. Das Prinzip: Alle lokalen Dateien des Opfers wurden mit einem 2048-bit RSA Schlüssel verschlüsselt. Gegen eine bescheidene Überweisung von Bitcoins im Wert von USD 300 wurde dem Opfer der privaten Schlüssel ausgehändigt, welcher für die Entschlüsselung notwendig war. Dieses Prinzip war so bahnbrechend, dass in der Folge eine ganze Ransomware-Industrie entstanden ist, welche sich auch gerade aktuell wieder in einem Wandel befindet. In diesem Artikel versuchen wir zu ergründen, welche Faktoren dabei eine Rolle spielen und auf was sich Unternehmen dabei einstellen müssen.
In seinem jährlichen Bericht hat der Cloud-Sicherheitsspezialist Barracuda insgesamt 126 Ransomware Angriffe analysiert und eine Zunahme von Ransomware Angriffen um 64 % im Zeitraum August 2020 bis Juli 2021 festgestellt. Demnach entfielen rund 44 % der Angriffe auf US-amerikanische Unternehmen in den Bereich der Ransomware. In Deutschland waren es drei Prozent, in Österreich und der Schweiz jeweils ein Prozent. Am häufigsten hatten es Cyberkriminelle auf Kommunen, das Gesundheitswesen sowie Bildungseinrichtungen abgesehen. Allerdings nehmen die Angriffe in allen Sektoren zu.
Bei den vermuteten Urhebern der Angriffe fällt auf, dass viele dieser Angriffe nur durch wenige, aber sehr effektive Ransomware Banden, ausgeführt werden. So geht der überwiegende Teil der Angriffe auf das Konto der REvil Gruppe und die, durch den kürzlichen Angriff auf Colonial Pipelines bekannt gewordene, DarkSide Gruppe. Diese Statistik kann sich jedoch regional stark unterscheiden. So traten in Europa und insbesondere in der DACH Region die Gruppen Conti, Ryuk und DoppelPaymer in Erscheinung.
Digitale Währungen als Treiber
Die grösste Herausforderung, wie bei jeder Art von Erpressung, besteht für Ransomware Gruppen darin, die Finanztransaktionen zu verschleiern. Dieses Problem wurde in den vergangenen Jahren vor allem durch die Digitalwährungen, allen voran Bitcoin, gelöst. Man darf davon ausgehen, dass es erst diese Digitalwährungen waren, welche den «Business Case Ransomware» so erfolgreich machten. Das zeigt aber auch, dass für eine wirksame Bekämpfung des Phänomens Ransomware kein Weg an der Regulierung der Digitalwährungen vorbeiführt.
Und tatsächlich zeichnen sich hier Ansätze von möglichen Gegenmassnahmen ab. Durch den erfolgreichen Angriff auf die Colonial Pipeline und der daraus resultierenden Treibstoff-Versorgungslücke an der US-Ostküste, hat das Thema erstmals auch die Aufmerksamkeit der höchsten amerikanische Politik erhalten. Dank einer raschen und gezielten Reaktion ist es den amerikanischen Behörden gelungen, einen Teil der digitalen Lösegeldzahlungen sicherzustellen und gleichzeitig einige der Ransomware Gruppen, zumindest vorübergehend, auf Tauchstation zu schicken. So wurde bereits zu Beginn dieses Jahres durch eine weltweit koordinierte Aktion die berüchtigte Emotet Gruppe zerschlagen und nach dem Angriff auf die Colonial Pipeline haben sich in rascher Folge bekannte Gruppen, wie REvil-, Avaddon- und auch Ryuk, zurückgezogen. In einigen Fällen konnten Erpressungsgelder sichergestellt werden. Teilweise haben die Gruppen ihre Schlüssel veröffentlicht. Ob dies freiwillig geschah oder letztlich durch den Druck der Strafverfolgungsbehörden zustande kam, ist allerdings nicht bekannt.
Dass so viel Aufmerksamkeit schlecht für das Geschäft ist, haben die entsprechenden Ransomware Gruppen allerdings rasch erkannt. Schon seit einiger Zeit haben deshalb die grossen Ransomware-as-a-Service Anbieter, Code-of-Conducts, bei denen sich ihre "Kunden" dazu verpflichten, bestimmte Organisationen, Länder oder auch Branchen nicht anzugreifen.
Ein anderer Trend besteht jedoch darin, bei den bestehenden Opfern wesentlich aggressiver vorzugehen. In den vergangenen zwei Jahren wurde die sogenannte Double Extortion zum Standard. Dabei werden in einem ersten Schritt sensitive Daten der Opfer ex-filtriert und erst in einem zweiten Schritt verschlüsselt. Für den Fall, dass sich ein Opfer weigert, für die Entschlüsselung zu zahlen, starten die Kriminellen mit einer drohenden Veröffentlichung der Informationen einen zweiten Erpressungsversuch.
Das scheint aber mittlerweile zu wenig wirksam zu sein und so waren in diesem Jahr die ersten Fälle einer Triple-Extortion zu beobachten. Dabei drohen die Angreifer mit einer zusätzlichen DDoS Attacke auf kritische Systeme, um das Opfer zur Zahlung zu bewegen. Das wirklich Gefährliche dabei ist, dass die Angreifer durch die Ex-filtrierung der Daten häufig über interne Informationen verfügen und deshalb sehr genau wissen, welcher Teil der Infrastruktur lahmgelegt werden muss, um die grösste Wirkung zu erzielen. In Zeiten, wo die Mehrheit der Mitarbeitenden remote arbeitet, kann es also genügen, einfach den VPN Gateway für einige Stunden oder Tage ausser Gefecht zu setzen.
Bisher wurden Ransomware Angriffe häufig als rein technisches Problem gesehen. Können die betroffenen Unternehmen ihre Umgebung selbst rasch wieder herstellen, sind sie fein raus. Wenn nicht, müssen sie wohl oder übel den geforderten Betrag bezahlen. Dabei setzen die Erpresser die geforderten Beträge nicht zufällig an. Bei börsennotierten Unternehmen sind die Finanzinformationen in der Regel öffentlich verfügbar. Bei privaten oder kleineren Unternehmen lässt sich häufig aufgrund der ex-filtrierten Informationen feststellen, wie «zahlungskräftig» ein Unternehmen ist. Ein pikantes Detail dabei ist, dass inzwischen auch Fälle bekannt sind, in denen die Erpresser in den entwendeten Daten nach vorhandenen Cyber-Versicherungspolicen suchten, um sich in eine bessere Verhandlungsposition zu bringen. Analysten von Advanced Intelligence haben die Forderungen verschiedener Ransomware Gruppen analysiert. Demnach werden die meisten Forderungen nach dem Jahresumsatz bemessen. Bei grösseren Unternehmen betragen sie etwa 0.01 % des Jahresumsatzes. Hierbei ist zu beobachten, dass über die Höhe der Beträge zunehmend verhandelt wird. So ist zum Beispiel bekannt, dass das deutsche Chemieunternehmen Brenntag die Forderung von ursprünglich 7.5 Mio. USD auf 4.4 Mio. USD heruntergehandelt hat.
Noch vor kurzem galten Cyber-Versicherungen als Zukunftsgeschäft für Versicherer. In Anbetracht des zunehmenden Risikos und der Summen, die auf dem Spiel stehen, ist es jedoch nicht verwunderlich, dass die Versicherer dieses Jahr begonnen haben, die Anforderungen deutlich zu erhöhen oder sich teilweise sogar ganz zurückzuziehen. Dabei ist zu beachten, dass die Summen, welche die Erpresser fordern, in der Regel nicht den grössten Teil des Schadens ausmachen, sondern vor allem der Betriebsausfall oder die Wiederherstellung von IT-Systemen. So hat im Sommer der AXA Konzern angekündigt, in Frankreich Ransomware in Zukunft aus den Policen ganz auszuschliessen.
Nicht nur in den USA, sondern auch in Europa ist das Thema Ransomware inzwischen auf die politische Agenda gekommen. In Anbetracht des enormen Schadenpotenzials für die Wirtschaft, insbesondere für den Mittelstand, ist das eine positive Entwicklung und kann durchaus dabei helfen, zumindest die Rahmenbedingungen, unter denen Ransomware Gruppen operieren, zu erschweren. Ermutigend sind sicher auch die Bestrebungen, die Broker für digitale Währungen einer engeren Kontrolle zu unterstellen. Mit beschränkten Möglichkeiten, die Beute in klassische Geschäftswährungen umzuwandeln, steigt für kriminelle Gruppen der Aufwand und das Risiko, zumindest in absehbarer Zukunft. Jedoch wird der massgebliche Treiber weiterhin die Verfügbarkeit von einfachen Opfern bleiben und solange die Ertragschancen hoch bleiben, ist eine Trendwende wohl eher Wunschdenken. Hingegen lässt sich das Risiko, nicht nur von Ransomware Angriffen, durch die Einhaltung fundamentaler Massnahmen massiv reduzieren und das noch dazu mit verhältnismässig überschaubaren Kosten. Es ist daher auch die wahrscheinlichste Entwicklung, dass die Regierungen mit regulatorischen Anforderungen an die Cybersicherheit in Unternehmen versuchen werden, das Problem zu bekämpfen.
Ist Ihr Unternehmen gegen Ransomware-Attacken gerüstet ? Haben Sie einen Incident Reponse Plan? Sind Ihre Schutzmassnahmen ausreichend für die zu erwartenden Ransomware-Wellen? Kontaktieren Sie uns, wenn Sie Beratung oder Unterstützung benötigen. Unser Incident Reponse Team (CSIRT) und unsere Experten stehen Ihnen gerne zur Verfügung.Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications