Standardarsenal vieler Cyberkrimineller

Ransomware ist weiterhin eine akute Bedrohung. So hat sie den Angreifern ohne großen Aufwand satte Profite beschert und hebelt auch weiterhin viele Lösungen für Endpunktschutz aus. Insofern ist es nicht überraschend, dass Ransomware mittlerweile zum Standardarsenal vieler Cyberkrimineller gehört.

Dabei ist die anhaltende Popularität vor allem auf den Erfolg der Methode zurückzuführen. Cyberkriminellen ist jedes Mittel recht, um schnelle Beute zu machen, und der Einsatz von Ransomware hat sich für sie als äußerst profitabel erwiesen. Warum also sollten sie ihren Modus Operandi plötzlich ändern? Zumal es mittlerweile einen regelrechten Markt für Ransomware gibt, auf dem alle für derartige Angriffe nötigen Tools und Programme erhältlich sind. Erschwerend kommt hinzu, dass viele Unternehmen und Organisationen die offiziellen Best Practices zum Schutz vor Ransomware nicht einhalten oder ihre Sicherheitsstrategien nicht an aktuelle Bedrohungstrends anpassen. Damit leisten sie einem statischen Konzept von Cybersicherheit Vorschub, in dem neue Angriffsmethoden und Ransomware-Varianten nur mit Verzögerung Beachtung finden. Ein zentrales Merkmal dieser veralteten Strategie ist die fast ausschließliche Konzentration auf den Perimeterschutz bei gleichzeitiger Vernachlässigung der Aktivitäten und Datenströme im Inneren der IT-Umgebung – also des Bereichs, der auch als „Darkspace“ bekannt ist. In diesem Punkt ist dringend ein Umdenken nötig, da die Urheber von Ransomware-Angriffen in den letzten Jahren verstärkt dazu übergegangen sind, kritische Systeme anstelle von Endpunkten anzugreifen. So konstatiert beispielsweise der Verizon-Bericht DBIR 2018: „Cyberkriminelle sind zunehmend weniger an der Verschlüsselung einzelner Endgeräte interessiert. Sie können viel mehr Schaden anrichten und viel mehr Geld erpressen, wenn sie einen Dateiserver oder eine Datenbank verschlüsseln.“

Kommerzieller Schaden
Die Angreifer nutzen also immer häufiger die Tatsache aus, dass geschäftskritische Systeme gewissermaßen das Rückgrat eines Unternehmens bilden. Wenn diese Systeme ausfallen, lähmt das den gesamten Betrieb. In einer solchen prekären Situation sehen sich viele Betroffene mit dem Schreckensszenario von rasch auf Millionenhöhe anwachsenden Einbußen konfrontiert und entscheiden sich daher zur Zahlung des geforderten Lösegelds.

Welch katastrophale Folgen ein erfolgreicher Ransomware-Angriff haben kann, zeigt das Beispiel Maersk. Als die internen Server des Reedereikonzerns 2017 mit der Malware NotPetya infiziert wurden, musste das Unternehmen Verluste von mehreren Hundert Millionen US-Dollar hinnehmen, da die globalen Geschäftsprozesse vollständig zum Erliegen kamen. Darüber hinaus waren neben Maersk viele weitere Großunternehmen von dem Angriff betroffen. Nach Schätzungen des Weißen Hauses beliefen sich die weltweiten Kosten für die Behebung der Folgen des Angriffs auf knapp neun Milliarden Euro.

Das ist umso beunruhigender, da NotPetya bei Weitem nicht die einzige derartige Ransomware-Variante ist. Ein weiteres Beispiel ist SamSam, eine Malware-Familie, die speziell darauf ausgelegt ist, Systeme für den Endpunktschutz zu unterlaufen und gezielt die kritischen Server von Unternehmen und Institutionen zu infizieren. Da SamSam nicht mit einem Command-and-Control-Server kommuniziert, ist die Malware nur schwer aufzuspüren. Und genau aus diesem Grund wird sie seit 2015 im Rahmen von gezielten Angriffen gegen kommunale und nationale Behörden und medizinische Infrastrukturen eingesetzt. 2018 legte SamSam die Stadtverwaltung von Atlanta teilweise lahm, wodurch Kosten in Millionenhöhe entstanden und wichtige kommunale Dienste zeitweise nicht verfügbar waren. Einige Monate später traf es dann den Hafen von San Diego, einen der größten Containerhäfen der Vereinigten Staaten. Im November desselben Jahres gab das FBI bekannt, dass die Angreifer mit SamSam über fünf Millionen Euro erbeutet hatten und dass die verursachte Schadenssumme noch fünfmal höher lag.

Noch weitaus heimtückischer agiert Powerware, eine weitere relativ neue Ransomware. Diese Variante installiert keine neuen Dateien auf infizierten Systemen, sondern nutzt die Microsoft-Powershell, um sich von den Endpunkten auf die Server auszubreiten und diese Vorgänge als legitime Aktivitäten zu tarnen. Dieses Maß an Raffinesse ist wohl die gefährlichste Neuentwicklung im Bereich Ransomware.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Standardarsenal vieler Cyberkrimineller
2. Vertikaler Datenverkehr, horizontaler Traffic

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Ein Smartphone in Gold

„Trump Mobile“: Präsidentenfamilie will Handys verkaufen

Smarter als so manche Großstadt

Wie das kleine Dorf Etteln digitaler wurde als Hongkong

E-Autos für alle attraktiver machen

Lies fordert wirtschaftlichere Rahmenbedingungen für E-Mobilität

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Kaisers Kolumne

Wenn KI unsere Mails schreibt – was könnten wir verlieren?

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied