Blog

ENISA Threat-Report – Diese Ransomware-Geschäftsmodelle sollten Sie kennen

/ Kategorie: CISO

Mit Rang sieben bei der Anzahl der Ransomware-Vorfälle belegt die Schweiz einen der Top-10-Plätze innerhalb eines internationalen Rankings, das die ENISA (Agentur der Europäischen Union für Cybersicherheit) Ende Juli in ihrem Report „Threat Landscape for Ransomware Attacks“ veröffentlicht hat. Ransomware ist ein gutes Geschäft – zumindest für die Cyberkriminellen. Unternehmen sollten dringend die Widerstandsfähigkeit ihrer Systeme erhöhen.

Ransomware ist eine ernstzunehmende Bedrohung für Unternehmen jeder Grösse. Die Zahl der Angriffe steigt – auch in der Schweiz. Allein 2021 sind fast zwei Drittel der Schweizer Unternehmen Opfer einer Erpressermalware geworden. Mit hoher Wahrscheinlichkeit liegt die Zahl deutlich höher, weil viele Unternehmen aus Angst vor Rufschädigung keine Vorfälle melden und sich stattdessen entscheiden, das von den Kriminellen geforderte Lösegeld zu zahlen oder das Problem intern anders zu lösen. Nicht alle Unternehmen zahlen, dennoch erzeugen erfolgreiche Angriffe häufig hohe Kosten. Denn die Wiederherstellung verschlüsselter Daten kann sich schwierig und zeitaufwändig gestalten. 

Ransomware-Geschäftsmodelle

Die ENISA Studie umfasst den Zeitraum Mai bis Juni 2022 und zeigt, dass im Durchschnitt mehr als 10 Terabyte Daten pro Monat von Ransomware-Kriminellen gestohlen wurden. Mehr als 58 % dieser Daten enthalten persönliche Daten von Mitarbeitenden. Für fast alle Fälle ist nicht bekannt, ob das betroffene Unternehmen das Lösegeld gezahlt hat oder nicht. Da aber „nur“ bei 38 % der Vorfälle die Daten auf Webseiten der Angreifer veröffentlicht wurden, ist davon auszugehen, dass die Zahl jener Unternehmen, die gezahlt haben, hoch ist. Ransomware ist zu einem mehr als guten Geschäft geworden. Man könnte auch sagen, Ransomware ist ein eigener, höchst lukrativer Wirtschaftsbereich. Die ENISA Studie zeigt die gängigen Geschäftsmodelle auf:

  1. Einzelne Angreifer
    Ursprünglich wurden Ransomware-Angriffe von einzelnen Personen oder sehr kleinen Gruppen durchgeführt. Diese Angriffe waren weniger komplex als heutige Attacken und konzentrierten sich oft auf die automatische Verschlüsselung, die keine operative Koordination erforderte. Der Schwerpunkt der Angreifer lag auf der Entwicklung und Verbreitung der Ransomware. Es ist sehr schwer zu sagen, welche Gruppen als Einzelpersonen begannen und wie lange sie in dieser Form blieben. Viele Bedrohungsakteure begannen wahrscheinlich als kleine Gruppen, da die Operation offenbar viel Arbeit und Koordination erforderte, so dass schliesslich alle Akteure die Organisation einer kleinen Gruppe benötigten.
     
  2. Gruppen von Bedrohungsakteuren
    Beim traditionellen Ransomware-Geschäftsmodell setzt sich eine einzelne Gruppe aus mehreren Personen zusammen, die sich alle Phasen der Operation teilen und koordinieren: Auswahl des Ziels, Analyse des Ziels auf Schwachstellen, Durchführung der Angriffe, die Herstellung der Malware und der Infektion, die Koordinierung der Dateiverschlüsselungsschlüssel, die Lösegeldzahlung und die Erzielung der Einnahmen. Dieselbe Gruppe entwickelt im Allgemeinen auch alle ihre Tools, legt das Zahlungssystem fest und kauft Exploits oder die Informationen, die für die Durchführung erfolgreicher Angriffe notwendig sind. Dieses Geschäftsmodell ist nach wie vor die wichtigste organisatorische Wahl, auch wenn neue Möglichkeiten aufgetaucht sind, wie etwa Ransomware as a Service.
     
  3. Ransomware as a Service
    Ransomware as a Service (RaaS) ist eine Art von Geschäftsmodell, bei dem Bedrohungsakteure ihre Softwareplattform externen Partnern zur Durchführung von Angriffen anbieten. Die RaaS-Betreiber entwickeln die Ransomware und stellen die Softwareplattform zur Verfügung. Die RaaS-Teilnehmer führen die Ransomware-Angriffe durch, verhandeln die Zahlungen, kassieren das Lösegeld ein und kaufen auch zusätzliche Exploits oder Informationen, die zur Durchführung der Attacken benötigt werden. Diese Art von Geschäftsmodell ermöglicht es den RaaS-Betreibern, mehrere Einnahmequellen zu nutzen. Eine davon ist das Kassieren eines Teils der Lösegeldzahlungen, oft 10-20 % oder mehr. Andere Einnahmequellen können der Verkauf von Daten über Zielpersonen, monatliche Abonnements, die die Partner für den Zugang zur Plattform zahlen, oder die Beratung anderer Bedrohungsakteure sein. RaaS hat die Einstiegshürde für die Durchführung von Ransomware-Angriffen gesenkt. Angreifer müssen nun nicht mehr wissen, wie sie ihre eigene Ransomware schreiben. Sie müssen nur wissen, wie sie einen Angriff durchführen. RaaS-Plattformen führen auch eine neue Stufe der Anonymität in die Cyberkriminalität ein, da selten bekannt ist, wer der Angreifer wirklich ist, während er als Partner agiert.
     
  4. Datenvermittlung
    Ransomware-Bedrohungsakteure bewegen sich auf ein neues Geschäftsmodell zu, das als Data Brokerage bezeichnet wird. Bei diesem Modell ziehen die Bedrohungsakteure einen weiteren Vorteil aus den gestohlenen Daten, indem sie sie an den Höchstbietenden verkaufen. Dazu gehört auch der Weiterverkauf des erhaltenen Zugangs.
     
  5. Bekanntheit als Schlüssel für ein erfolgreiches Ransomware-Geschäft
    Eine gute Reputation ist offenbar auch für Cyberkriminelle wichtig. Denn Ransomware-Forderungen sind in der Regel finanziell motiviert. Um erfolgreich zu sein, müssen die Angreifer eine Garantie dafür bieten, dass die Entschlüsselung funktioniert. Dieser Beweis wird etwa durch die Entschlüsselung von Beispieldateien geführt. Die Betreiber von Ransomware müssen aber auch einen gewissen Bekanntheitsgrad aufrechterhalten, sonst werden die Opfer das Lösegeld nicht zahlen. Der Ruf von Ransomware-Gruppen hängt auch davon ab, wie gut sie ihr Wort halten. Viele Angreifer versprechen, dass sie nach der Zahlung die Unternehmen von ihren Websites entfernen, die gestohlenen Daten löschen und keine Daten an die Öffentlichkeit weitergeben. Allerdings zeigt ein Bericht, dass in 18 % der Fälle die Daten der Unternehmen, die das Lösegeld bezahlt haben, trotzdem an die Öffentlichkeit gelangten, und 35 % der Opfer, die bezahlt hatten, konnten ihre Daten dennoch nicht wiederherstellen.

Widerstandsfähigkeit verbessern

Die Realität zeigt, dass Ransomware verheerende Auswirkungen auf Unternehmen haben kann, wenn sie nicht gut vorbereitet sind. Der ENISA Bericht empfiehlt Unternehmen daher dringend, sich auf Ransomware Angriffe vorzubereiten und die möglichen Konsequenzen zu bedenken, bevor es zu Attacken kommt. Wichtig ist, die Widerstandsfähigkeit zu stärken, mit Massnahmen wie:

  • Erstellen Sie eine gute und verifizierte Sicherungskopie aller geschäftskritischen Dateien und persönlichen Daten; halten Sie diese auf dem neuesten Stand und isolieren Sie sie vom Netzwerk.
  • Wenden Sie die 3-2-1-Regel für Backups an. Für alle Daten: mindestens 3 Kopien von ihren Daten erstellen, Speicherung der Daten auf mindestens 2 verschiedenen Medien, 1 Kopie an einem externen Standort.
  • Bewahren Sie personenbezogene Daten verschlüsselt auf, gemäss den Bestimmungen der Datenschutz-Grundverordnung und unter geeigneten risikobasierten Kontrollen.
  • Installieren Sie Sicherheitssoftware auf Ihren Endgeräten, die die meisten Ransomware-Programme erkennen kann.
  • Halten Sie Ihr Sicherheitsbewusstsein, Ihre Sicherheitsrichtlinien und Ihre Richtlinien zum Schutz der Privatsphäre auf dem neuesten Stand und arbeiten Sie an Ihren Informationssystemen und Anlagen, um das gewünschte Sicherheitsniveau zu erreichen. Sie sollten sich an bewährte Praktiken wie Netzwerksegmentierung, aktuelle Patches, regelmässige Backups und ein angemessenes Identitäts-, Berechtigungs- und Zugangsmanagement (ICAM), vorzugsweise mit Unterstützung von MFA (Multi Faktor Authentification), halten.
  • Führen Sie eine regelmässige Risikobewertung, z.B. mit dem IKT-Minimalstandard, durch und erwägen Sie den Abschluss einer Ransomware-Versicherung.
  • Beschränken Sie die administrativen Rechte: Seien Sie vorsichtig bei der Vergabe von administrativen Rechten, da das Administratorkonto Zugriff auf alles hat, einschliesslich der Änderung von Konfigurationen oder von kritischen Sicherheitseinstellungen. Wenden Sie immer das Prinzip der Least Privilege an, wenn Sie irgendeine Art von Zugriff gewähren.

Machen Sie sich mit den örtlichen Behörden vertraut, die Unterstützung bei Ransomware Vorfällen bieten, und legen Sie Protokolle fest, die im Falle eines Angriffs zu befolgen sind.

Wenn’s passiert ist

Sollten Sie Opfer eines Ransomware-Angriffs werden, wenden Sie sich an die nationalen Cybersicherheits- oder die Strafverfolgungsbehörden. Zahlen Sie das Lösegeld nicht und verhandeln Sie nicht mit den Angreifern.

  • Stellen Sie betroffene Systeme unter Quarantäne: Es wird empfohlen, die betroffenen Systeme vom Netz zu trennen, um die Infektion einzudämmen und die Ausbreitung der Ransomware zu verhindern.
  • Besuchen Sie das No More Ransom Project, eine Europol-Initiative, die 162 Varianten von Ransomware entschlüsseln kann.
  • Sperren Sie den Zugang zu Sicherungssystemen, bis die Infektion beseitigt ist.

ENISA empfiehlt dringend, Informationen über Ransomware-Vorfälle an die Behörden weiterzugeben, um potenzielle Opfer zu warnen, Bedrohungsakteure zu identifizieren, die Sicherheitsforschung zu unterstützen und Mittel zu entwickeln, um solche Angriffe zu verhindern oder besser auf sie zu reagieren.

» Download Report "ENISA Threat Landscape for Ransomware Attacks"

Zusammen. Sicher.

Nehmen Sie die Ransomware Gefahr ernst! Jedes Unternehmen kann es treffen. Wenn Sie wissen möchten, wie es um Ihre Cyberrisk Resilience steht oder Unterstützung beim Ausbau Ihrer Sicherheitssysteme, beim Monitoring oder bei der Incident Response Planung benötigen, kontaktieren Sie uns. Unsere Cybersecurity-Experten unterstützen Sie gerne.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.