Ransomware-Report von Palo Alto Networks
Erpresser haben Deutschland im Visier
Fortsetzung des Artikels von Teil 1
Doppelte Erpressung
Ein noch relativ junger Trend ist der zur „doppelten Erpressung“: Die Angreifer verschlüsseln Datenbestände nicht nur, um für die Entschlüsselung Lösegeld zu fordern, sondern exfiltrieren die Daten zuerst. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder im Dark Web. Mindestens 16 verschiedene Ransomware-Varianten drohen inzwischen laut Erkenntnissen von Palo Alto Networks damit, Daten preiszugeben, und weitere Varianten werden auf diesen Trend wahrscheinlich aufspringen. Einige Ransomware-Betreiber beweisen laut dem Report ihr Wissen über die Netzwerkumgebung eines Opfers, indem sie Daten etwa in Form von Verzeichnisbäumen publizieren.
Die Fähigkeit zur doppelten Erpressung haben laut dem Report unter anderem die Ransomware-Familien NetWalker, RagnarLocker oder auch DoppelPaymer genutzt - am häufigsten NetWalker: Von Januar 2020 bis Januar 2021 ließ NetWalker Daten von 113 Opferorganisationen durchsickern. RagnarLocker lag an zweiter Stelle mit Daten-Leaks von 26 Opfern. Das US-Justizministerium gab im Januar bekannt, man koordiniere internationale Strafverfolgungsmaßnahmen, um die NetWalker-Gruppe zu zerschlagen. Die von den NetWalker-Betreibern verwaltete Dark-Web-Domain für das Hosting geleakter Daten ist laut Palo Alto Networks inzwischen nicht mehr zugänglich.
Ein Blick in die Zukunft der Ransomware: Die Forscher erwarten, dass immer mehr Ransomware-Gruppen das RaaS-Modell nutzen werden, um Geld zu erpressen. Zudem sei davon auszugehen, dass weiterhin neue und aktualisierte Ransomware-Varianten zum Einsatz kommen werden, die als eigenständige Malware oder in Kombination mit herkömmlicher Malware Verwendung finden. Es sei klar, dass Angreifer die Fähigkeit weiterentwickeln werden, alle Arten von Systemen anzugreifen, einschließlich Linux.
Unter anderem aufgrund des Druckmittels der doppelten Erpressung rechnen die Experten von Palo Alto Networks mit weiterhin steigenden Lösegeld-Forderungen. Die Angreiferseite bevorzuge für die Lösegeldforderungen in der Regel Bitcoin, obwohl in mehreren beobachteten Vorfällen Monero die Kryptowährung der Wahl gewesen sei.
Ein Großteil des Erfolgs dieser Gruppen liege in ihrer Fähigkeit, sich der Entdeckung zu entziehen. Die Angreiferseite werde weiterhin Netzwerke infiltrieren, indem sie auf traditionelle Phishing-Methoden, schwache Zugangsdaten sowie Tools setzen, die in den Zielumgebungen vorhanden sind. Dazu zähle etwa die Verwendung von Post-Exploitation-Frameworks wie Cobalt Strike, PowerShell Empire und PowerSploit.
Vor diesem Hintergrund raten die Experten des US-amerikanischen Sicherheitsanbieters zu den – eigentlich – längst bekannten Standardmaßnahmen: Unternehmen sollten ihre Benutzer für die E-Mail-Sicherheit sensibilisieren und schulen sowie Möglichkeiten zur Erkennung und Beseitigung bösartiger E-Mails erwägen. Sie sollten ein ordnungsgemäßes Patch-Management durchführen und überprüfen, welche Dienste dem Internet ausgesetzt sind. Remote-Desktop-Dienste sollten korrekt konfiguriert und abgesichert sein.
Zudem gelte es natürlich, die Daten zu sichern und einen geeigneten Wiederherstellungsprozess einzurichten. Da Ransomware-Betreiber gezielt Backups vor Ort verschlüsseln, sollten Unternehmen sicherstellen, alle Backups auch sicher offline vorzuhalten. Die effektivsten Formen des Schutzes vor Ransomware seien Endpunktsicherheit, URL-Filterung oder Web-Schutz, Bedrohungsabwehr (inklusive Schutz vor unbekannten Bedrohungen etwa per Sandboxing) sowie Anti-Phishing-Lösungen, die auf allen Endgeräten zum Einsatz kommen. Damit könne man das Ransomware-Risiko zwar nicht ausschalten, aber zumindest reduzieren, so die Security-Forscher.
- Erpresser haben Deutschland im Visier
- Doppelte Erpressung
Lesen Sie mehr zum Thema
