Ransomware
In die Mangel genommen
Fortsetzung des Artikels von Teil 1
Immer ausgefeiltere Modelle
Mit der zunehmenden Nutzung der Cloud, die nicht zuletzt durch die derzeitige Pandemie vorangetrieben wurde, sind Unternehmen verstärkt auf Systeme und Datenspeicher von Drittanbietern angewiesen. Für das Jahr 2021 ist zu erwarten, dass Ransomware aggressiver auf Cloud-Infrastrukturen abzielen wird. Entweder, indem sie diese als Einfallstor in die Unternehmens-IT missbraucht oder direkt die darin gespeicherten Daten attackiert. Dieses „Ransomware 2.5“-Modell wird die Angriffsfläche auf SaaS-Lösungen erweitern und den potenziellen Einfluss und die Hebelwirkung der Kriminellen noch verstärken.
Oftmals bergen fortschrittliche Angriffsmethoden zusätzliche Risiken: So gibt es beispielsweise bei „Trickbot“, einem mit Ransomware in Verbindung stehendem Downloader, experimentelle Versionen, die die Fähigkeit besitzen, sich im BIOS eines Rechners einzunisten. Die Malware verbleibt in der Folge auch nach einer Neuinstallation des Betriebssystems weiter auf den Hardware-Chips und manipuliert zentrale Steuerelemente. Da sie sich auf dieser BIOS-Ebene befindet, hat sie das Potenzial, das Gerät zu „bricken“, also so unbrauchbar wie einen Ziegelstein zu machen. Infolgedessen können die Hintermänner hinter einer Ransomware-Attacke den Druck zur Zahlung des Lösegeldes erhöhen, indem sie anstatt mit der Veröffentlichung sensibler Unternehmensdaten gar die komplette Zerstörung der Geräte androhen, sollten die Opfer nicht bezahlen. Eine Organisation müsste folglich neue Hardware beschaffen, bevor sie überhaupt mit der Wiederherstellung der Systeme beginnen kann. Ist jedoch von Ransomware 3.0 die Rede, handelt es sich dabei um eine Weiterentwicklung der aktuellen Angriffskette: Hier geht es Cyberkriminellen primär darum, die Folgen eines Ransom-Angriffs zu maximieren und eine langfristige Einkommensquelle aufzubauen.
Integrität, Verfügbarkeit und Vertraulichkeit der Daten
Die meisten Sicherheitsexperten sehen die Vertraulichkeit von Daten als ihre Hauptaufgabe an, während deren Integrität und Verfügbarkeit eher in der Verantwortung der IT-Abteilung verortet zu sein scheinen. Viele Unternehmen unterliegen jedoch als Teil der nationalen Infrastruktur – seien es Wasserkraftwerke oder Zahlungsdienstleister – einer erweiterten Verantwortung und deren Experten haben zuweilen eine andere Auffassung hinsichtlich der Priorisierung dieser Sicherheitsaspekte:
- Für viele KRITIS-Unternehmen (Unternehmen aus dem Bereich kritische Infrastrukturen) ist die Datenintegrität der ausschlaggebende Aspekt. Ohne diese Integrität besteht die Gefahr falscher Entscheidungen, die jeweils zu einem Sicherheitsproblem führen können. Ein gutes Beispiel dafür ist die Planung von Zugverbindungen: Es hätte katastrophale Folgen, würde die Priorisierung von Zügen und deren Geschwindigkeiten im Glauben erfolgen, dass die Weichen den Zugverkehr in eine bestimmte Richtung lenken, obwohl dies nicht der Fall ist.
- An zweiter Stelle nach der Integrität folgt die Verfügbarkeit. In den meisten Fällen ist es besser, überhaupt kein System zu haben, als eines, das mit falschen Daten operiert. Auch hier kann die Problematik anhand eines einfachen Beispiels veranschaulicht werden: Im Falle der Patientenversorgung ist es zweifelsohne besser, ein Arzt verfügt über keinerlei frühere Befunde, als seine Behandlung auf Basis einer falschen Krankenakte durchzuführen.
- Zuletzt die Vertraulichkeit: Der Verlust einer Kundendatenbank kann eine erhebliche Rufschädigung und sogar rechtliche Konsequenzen nach sich ziehen beziehungsweise sich negativ auf die Kundenbeziehung auswirken. Aber nur selten erwächst daraus ein Sicherheitsproblem, wie es im Falle der beiden zuvor genannten Punkte fast zwangsläufig der Fall ist.
Für Kriminelle ist folglich die Möglichkeit, ihre Ransomware-Angriffe auf die Datenintegrität auszuweiten, durchaus interessant, da dies unter Umständen eine noch größere Hebelwirkung auf die betroffenen Organisationen hat. Im Rahmen ihres Vorgehens, das Angreifer derzeit bei Ransomware-Attacken an den Tag legen, wäre es für sie ein Leichtes, bestimmte Datensätze zu verändern und sie damit zu „vergiften“. Im Anschluss daran würden sie die geänderten Datensätze wieder in die Backup-Kette zurückspielen. Dieses zusätzliche Druckmittel könnten Angreifer auf zwei Arten ausnutzen:
- Sofern sich ein Unternehmen entscheidet, das Lösegeld nicht zu zahlen und die Daten ohne die „Hilfe“ des Angreifers wiederherzustellen, kann es von den Kriminellen auf die eingeschleusten Diskrepanzen in den Daten aufmerksam gemacht werden, die die Funktion ihres Betriebs untergraben würden. Als Folge dieser Vergiftung der Back-ups durch den Angreifer kann die Organisation ihren Systemen/Datensätzen nicht mehr vertrauen und ist unter Umständen gezwungen zu zahlen, um die eingefügten Datenfehler zu korrigieren.
- Wenn das Unternehmen das Lösegeld bezahlt und seine Daten mittels entschlüsselter Backups wiederherstellt, kann der Angreifer mit einer erneuten Lösegeldforderung auf die Organisation zukommen, um die Datenfehler aufzudecken.
Unternehmen, die mit einem einfachen Datenleck konfrontiert sind, können sich wieder erholen. Ebenso können Organisationen eine vorübergehende Betriebsstörung überstehen. Anders sieht es jedoch aus, wenn das Vertrauen der Kunden nachhaltig geschädigt wird. Sofern Kunden plötzlich nicht mehr darauf vertrauen können, dass ihre Bank ihnen sagen kann, wie viel Geld sie auf ihrem Konto haben, oder ihre physische Sicherheit bedroht ist, wenn sie einen Flug besteigen, ist es sehr wahrscheinlich, dass sich die Kunden vom Unternehmen abwenden. Ein Reputationsschaden dieses Ausmaßes ist nicht wiedergutzumachen.
Andrew Rose, Resident CISO, EMEA bei Proofpoint
- In die Mangel genommen
- Immer ausgefeiltere Modelle
- Was tun gegen Ransomware?
Lesen Sie mehr zum Thema
