Ransomware-Attacken: 3 Wege zur besseren Angriffsbewältigung

Foto: Andrey_Popov – shutterstock.com

In den vergangenen zehn Jahren ist der durchschnittliche Wert der von Hackern geforderten Lösegelder von Hunderten von Dollar auf Hunderttausende gestiegen – in einigen Fällen sogar in die Millionen. Angesichts immer strengerer gesetzlicher Vorschriften und der Tatsache, dass CISOs verklagt werden, wenn sie eine Sicherheitsverletzung nicht melden, steht bei Ransomware-Angriffen immer mehr auf dem Spiel. Fachleute sagen jedoch, dass Unternehmen solche Situationen von vornherein vermeiden können, indem sie Pläne erstellen, um auf Vorfälle zu reagieren, ihre Cybersicherheitslage verbessern und in zuverlässige Backups von Daten und Infrastruktur investieren.

Lesetipp: Deutschland häufiger von Ransomware betroffen als andere EU-Staaten

Einem im Juli von Coverware veröffentlichten Bericht zufolge ist die durchschnittliche Höhe einer Ransomware-Zahlung auf mehr als 740.000 US-Dollar gestiegen. Das entspricht einem Anstieg von 126 Prozent im Vergleich zum ersten Quartal 2023. Die Angreifer haben begonnen, größere Unternehmen ins Visier zu nehmen, um immer höhere Zahlungen zu erpressen. Nach den neuesten Daten des Security-Anbieters NCC Group erreichten die Ransomware-Angriffe im Juni 2023 zudem ein Rekordniveau, mit einem Anstieg von 221 Prozent im Vergleich zum gleichen Zeitraum des Vorjahres.

Doch es gibt auch gute Nachrichten. Laut Coverware ist der Prozentsatz der Ransomware-Angriffe, bei denen das Opfer gezahlt hat, auf 34 Prozent gesunken. Fachleute sind davon überzeugt, dass die geringeren Zahlen darauf zurück gehen, dass betroffene Unternehmen Pläne für die Reaktion auf Vorfälle erstellt, ihre Cybersicherheitslage verbessert und in zuverlässige Backups von Daten und Infrastruktur investiert haben.

Warum Unternehmen Lösegeld zahlen

Es gibt zwei Hauptgründe, warum Unternehmen Geld an Cyberkriminelle zahlen. Der erste ist, dass sie keine Möglichkeit haben, sich selbst von Ransomware zu erholen, oder dass eine Wiederherstellung zu viel Zeit in Anspruch nehmen würde. “In einem Fall, den wir hatten, ging es um einen Hersteller von medizinischen Geräten, der uns mitteilte, dass er in wenigen Tagen mehr als 2.000 Entlassungsmitteilungen herausgeben müsste, wenn sich nicht etwas dramatisch ändern würde”, sagt Heath Renfrow, Mitbegründer von Fenix24, einem Unternehmen für die Wiederherstellung von Cyberkatastrophen.

Nachdem das Lösegeld gezahlt worden war, konnten die Daten und Systeme so weit wiederhergestellt werden, dass der CEO die Entlassungen zurücknahm. “Die meisten Unternehmen, mit denen wir gearbeitet haben – mehr als 200 in den vergangenen 15 Monaten – hätten ihre Türen schließen müssen, wenn sie das Lösegeld nicht bezahlt hätten”, so Renfrow. “Auch wenn wir nicht unbedingt für die Zahlung von Lösegeld plädieren, so verstehen wir doch, dass es sich dabei um eine echte Geschäftsentscheidung handelt, und abgesehen von der Ethik der Lösegeldzahlung ist es eine schwierige Situation, in der der Lebensunterhalt vieler Menschen und manchmal auch Leben und kritische Infrastruktur auf dem Spiel stehen.”

Der zweite Hauptgrund für Unternehmen, Lösegeld zu zahlen, ist die Drohung von Kriminellen, sensible Daten herauszugeben. Steve Stone, Leiter von Zero Labs bei Rubrik, hat mit zahlreichen Kunden zusammengearbeitet, die von Ransomware-Angriffen betroffen waren. Aus seiner Erfahrung sind die Daten manchmal so sensibel, dass die Verringerung des Risikos ihrer Freigabe, egal um welchen Betrag, das Geld wert ist. “Einige Unternehmen haben das Lösegeld gezahlt, um ihre Daten zu schützen, auch wenn das bedeutet, dass die Gefahr besteht, dass die Daten verloren gehen”, so Stone.

Natürlich kann man sich nicht darauf verlassen, dass die Kriminellen ihr Wort halten. Die Daten können immer noch über Hintertüren verkauft werden, auch wenn sie nicht im Dark Web landen. Zudem handelt es sich dabei immer noch um eine Sicherheitsverletzung, unabhängig davon, ob die Angreifer die gestohlenen Daten veröffentlichen oder nicht. Die Opfer müssen immer noch benachrichtigt werden.

Wenn die Daten kritisch genug sind, kann ein Unternehmen der Meinung sein, dass es alles tun muss, um zu verhindern, dass sie an die Öffentlichkeit gelangen. Einige Unternehmen könnten auch zu dem Schluss kommen, dass sie durch die Zahlung des Lösegelds Geld sparen könnten, wenn man alle Wiederherstellungskosten berücksichtigt.

Das ist möglicherweise jedoch nicht der Fall. Laut einem IBM-Bericht, der Ende Juli 2023 veröffentlicht wurde, betrugen die durchschnittlichen Kosten eines Ransomware-Angriffs für Unternehmen, die das Lösegeld nicht gezahlt haben, in diesem Jahr weltweit 5,17 Millionen US-Dollar. Unternehmen, die das Lösegeld gezahlt haben, konnten ihre Gesamtkosten nur geringfügig auf 5,06 Millionen Dollar senken, was einer Ersparnis von nur 110.000 Dollar entspricht, die in der Regel durch die Kosten des Lösegelds selbst mehr als ausgeglichen wird.

3 Tipps zur Ransomware-Bewältigung

Folgende Strategien können helfen, das Risiko und die Auswirkungen von Ransomware-Attacken einzudämmen:

1. Erstellen Sie Playbooks für die Reaktion auf Vorfälle

Der erste Schritt zur Vermeidung von Ransomware-Angriffen besteht darin, einen Plan zu erstellen. Das gilt unabhängig davon, ob Sie ein potenzielles Ziel sind oder nicht. Gehen Sie davon aus, dass es eher eine Frage des Zeitpunkts ist, wann Sie von einem Ransomware-Angriff betroffen sein werden. Laut einem kürzlich von Vanson Bourne im Auftrag von Barracuda durchgeführten Bericht waren 73 Prozent der Unternehmen im Jahr 2022 von mindestens einem erfolgreichen Ransomware-Angriff betroffen.

Ohne einen Notfallplan geraten Unternehmen in der Regel in Panik, weil sie nicht wissen, wen sie anrufen oder was sie tun sollen. So erscheint die Zahlung des Lösegelds als einfachster Ausweg. Wenn jedoch ein Playbook vorhanden ist, wissen die Mitarbeiter, was zu tun ist, und haben den Plan idealerweise im Vorfeld geübt, um sicherzustellen, dass die Wiederherstellungsmaßnahmen so funktionieren, wie sie sollen.

Ein Notfallplan sollte klare Rollen und Verantwortlichkeiten, Kommunikationsprotokolle und Wiederherstellungsstrategien enthalten. Laut dem Ransomware- und Erpressungsbericht 2023 von Palo Alto sollten sich Ransomware-Opfer auf drei Arten von Angriffen einstellen: Verschlüsselung von Daten und Systemen, Datendiebstahl und (neuerdings) Belästigung.

Der Prozentsatz der Ransomware-Angriffe, bei denen es sich um Datendiebstahl handelte, stieg von 40 Prozent im Jahr 2021 auf 70 Prozent Ende 2022. Währenddessen schnellte der Anteil der Belästigungen von weniger als 1 Prozent auf 20 Prozent in die Höhe. Pläne zur Reaktion auf Vorfälle sollten also nicht nur Maßnahmen zur Wiederherstellung nach einer Ransomware-Verschlüsselung und Protokolle für den Umgang mit der Bedrohung durch Datenlecks enthalten, sondern auch, was zu tun ist, wenn Mitarbeiter oder Kunden belästigt werden.

So könnten Angreifer beispielsweise Führungskräfte und Mitarbeiter des Unternehmens anrufen und Sprachnachrichten hinterlassen, E-Mails versenden und die Identität der Opfer auf einer Leak-Website oder in sozialen Medien preisgeben. Diese Taktiken zielen darauf ab, den Druck auf die Entscheidungsträger zu erhöhen. Im Allgemeinen sind die Unternehmen, die sich am schnellsten von Ransomware-Angriffen erholen, diejenigen, die bereits im Vorfeld den Ernstfall geübt haben.

Den Plan zu testen ist von entscheidender Bedeutung, da Prozesse, die auf dem Papier funktionieren, in der Praxis oft versagen. Shelley Ma, Leiterin der Incident Response bei Coalition, hat zum Beispiel schon Situationen erlebt, in denen Unternehmen zwar über Backups verfügten, diese aber ungültig, unzugänglich oder nicht so eingerichtet waren, dass sie für eine schnelle Notfallwiederherstellung genutzt werden konnten. Unternehmen, die sich in dieser Situation befinden, könnten in Panik geraten und beschließen, die Ransomware doch zu bezahlen.

Entschlüsselungstools versagen häufig, wenn es um die Wiederherstellung komplexer Systeme geht, die durch Ransomware zerstört wurden. “Selbst wenn Sie in der Lage sind, Ihre kompletten Datensätze zu entschlüsseln, ist es schwierig, die komplexen Konfigurationen wieder so zum Laufen zu bringen, wie sie vor dem Vorfall waren”, sagt Ma.

2. Implementieren Sie eine mehrschichtige Cybersicherheit

Für die meisten Unternehmen ist der schnellste Weg, um das Risiko von Ransomware zu verringern, sich auf grundlegende Sicherheitshygiene zu konzentrieren. “Das Ziel der Cybersicherheitsbranche besteht nicht darin, unsere Netzwerke undurchdringlich zu machen”, sagt Frank Dickson, Group VP for Security and Trust Research Practice bei IDC. “Es geht darum, die Abwehrmechanismen so weit zu verbessern, dass es nicht mehr rentabel ist, sie zu durchdringen.”

Laut einer im Juni durchgeführten IDC-Umfrage setzten Unternehmen, in denen es zu keinen Ransomware-Verstößen kam, in der Regel einige oder alle der folgenden fünf wichtigen Sicherheitstechnologien ein:

• Endpoint Detection and Response (EDR),

• Cloud Security Gateways oder Cloud Access Security Broker (CASB),

• Security Information and Event Management (SIEM)-Systeme,

• Identity Analytics oder User and Entity Behaviour Analytics (UEBA) sowie

• Network Detection and Response (NDR).

Mehrere Verteidigungsebenen sowie mehrstufige Authentifizierung und Datenverschlüsselung sind für die Cybersicherheit von grundlegender Bedeutung. Sie werden aber von vielen Unternehmen immer noch falsch eingesetzt.

Stone arbeitete kürzlich mit einer Bildungseinrichtung zusammen, die stark in die Cybersicherheit investiert hatte. Als sie von Ransomware betroffen war, konnte sie den Betrieb auf ein Offline-Backup umstellen. Dann erhöhten die Angreifer ihre Forderungen – wenn die Organisation das Lösegeld nicht zahlen würde, würden ihre Daten online geleakt werden.

“Das Unternehmen war gut auf einen Verschlüsselungsfall vorbereitet, aber nicht auf das zweite Szeanrio”, sagt Stone. “Es gab tatsächlich sensible Daten, die eine Reihe von Maßnahmen zur Einhaltung von Vorschriften auslösen würden.”

Das Unternehmen wollte nicht, dass die Daten durchsickern, aber es vertraute auch nicht darauf, dass die Angreifer ihre Versprechen einhalten würden. “Dieses Unternehmen entschied sich, auch das zweite Lösegeld nicht zu zahlen”, sagt Stone. Während die Angreifer auf eine Antwort warteten, benachrichtigte die Organisation die Opfer über den Einbruch. “Zu dem Zeitpunkt, als die Daten online durchsickerten, hatten sie die Benachrichtigungsmaßnahmen bereits abgeschlossen.”

Der Angriff offenbarte zwei große Schwachstellen in der Verteidigungsstrategie des Unternehmens. Erstens war ihr Notfallplan nicht auf ein zweites Erpressungsereignis ausgerichtet. Zweitens hatte das Unternehmen seine sensiblen Daten nicht verschlüsselt. Daraufhin überarbeitete das Unternehmen seine Strategie, beginnend mit dem Reaktionshandbuch. “Wie können wir das besser machen? Wie können wir unser Risiko verringern? Wie machen wir es beim nächsten Mal anders?” sagt Stone, was sie auch dazu brachte, sensible Daten zu verschlüsseln.

Sicherheitskontrollen funktionieren, und im Laufe der Jahre haben sich die Unternehmen immer besser geschützt. Rubrik führt Sicherheitsbeurteilungen von Unternehmen durch, “und dieses Ergebnis ist im letzten Jahr um 16 Prozent gestiegen, mit Verbesserungen in jeder einzelnen Region und jeder einzelnen Branche”, sagt Stone. Mit den richtigen Maßnahmen können Unternehmen sowohl die Anzahl als auch die Schwere erfolgreicher Angriffe reduzieren und nach einem Angriff schnell wieder einsatzbereit sein. “Es läuft auf die Kosten hinaus”, sagt Omdia-Analyst Adam Strange. Die Unternehmen hätten einfach nicht die Budgets, um sich in eine sichere Position zu bringen.

Zudem werden Daten seit langem als eines der wichtigsten Güter in einem Unternehmen angesehen. “Aber die Art und Weise, wie wir sie in den letzten Jahren geschützt haben – oder auch nicht – war wirklich beklagenswert”, moniert Strange. “Wenn ein Unternehmen stirbt, weil es keinen Zugriff auf seine Daten hat, dann muss es sich viel mehr Gedanken darüber machen, wie es seine Daten schützt. Erst mit der Einführung von GDPR und CCPA hat sich die Datensicherheit zu einer eigenständigen Disziplin entwickelt”, fügt er hinzu.

3. Investieren Sie in robuste Backups

Wenn Ransomware-Angreifer in einem Unternehmen Fuß fassen, haben sie zwei Hauptziele: an die wertvollen Daten zu gelangen und die Backups zu neutralisieren. “Das beste Szenario sind robuste Backups, die sich in der Cloud befinden und komplett vom Hauptnetzwerk getrennt sind”, sagt Ma. “Und Band-Backups, die in der Regel weniger häufig ausgeführt werden, aber vollständig getrennt und nicht über das Internet zugänglich sind.”

Wenn Angreifer Zugang zu den Domänenanmeldeinformationen erhalten, sollten sie nicht auch noch auf die Backups zugreifen können. “Wenn die Backups eine zweite Authentifizierung erfordern, sind sie viel besser geschützt”, so Shelly Ma von Coallition.

Eine weitere Backup-Strategie sind unveränderliche Backups, die nicht überschrieben oder gelöscht werden können. “Einige der größeren Unternehmen haben dies bereits implementiert. Aber bei kleineren und mittleren Unternehmen kommt das Thema unveränderliche Backups nicht in der Vorstandsetage an. Sie verlassen sich immer noch auf eine Backup-Technologie aus dem Jahr 2016 – und das ist in der heutigen Zeit nicht gut genug”, betont die Incident-Response-Leiterin.

Rubrik hat kürzlich eine Analyse von mehreren tausend Unternehmen durchgeführt, sowohl aus Kunden- als auch aus Nicht-Kunden-Umgebungen: Dabei hatten 99 Prozent der Unternehmen Datensicherungen, als sie von Ransomware betroffen waren. Aber 93 Prozent der Befragten hatten auch erhebliche Probleme, diese Backups zur Wiederherstellung verlorener Daten zu nutzen. “Entweder gab es nicht genug Datenspeicher, nicht genug Fachwissen oder es war nur ein unzureichender Teil der Umgebung abgedeckt”, so Rubrik-Experte Stone. Außerdem hatten die Angreifer bei 73 Prozent der Vorfälle einen gewissen Erfolg beim Zugriff auf die Backups, fügt er hinzu.

Wenn die Backups nicht ordnungsgemäß gesichert waren, konnten die Angreifer die Backups löschen oder mit kompromittierten Anmeldedaten auf die Verwaltungspanels zugreifen. Wenn die Backups fehlgeschlagen sind oder von den Angreifern gelöscht wurden, könnte die Zahlung des Lösegelds der einzige Ausweg sein. Dem Rubrik-Bericht zufolge konnten jedoch nur 16 Prozent der Unternehmen alle Daten wiederherstellen, nachdem sie die Ransomware-Forderung bezahlt hatten.

Der Grund dafür? Die Ransomware-Banden beherrschen ihre Entschlüsselungstools nicht besonders gut und sind auch nicht besonders motiviert. Solange ihre Tools irgendetwas tun, haben die Opfer Hoffnung.

Stone zufolge werden die heutigen Ransomware-Angriffe selten von einer einzigen Gruppe durchgeführt. Stattdessen gibt es ein Angriffsökosystem. Ein Akteur findet die Schwachstelle, über die er in eine Umgebung eindringen kann. Ein anderer platziert die Ransomware. Ein Dritter stiehlt Daten und verkauft sie weiter. Ein anderer nutzt die gestohlenen Anmeldeinformationen, um weitere Angriffe zu starten. Weitere Akteure können denselben Zugangsweg nutzen, um Krypto-Miner oder zusätzliche Ransomware einzuschleusen.

“Es ist nicht ungewöhnlich, dass mehrere Bedrohungsakteure an einem Eindringling beteiligt sind”, so Stone.

Daher ist es keine Überraschung, dass laut Barracuda 38 Prozent der Unternehmen im Jahr 2022 zwei oder mehr erfolgreiche Ransomware-Angriffe melden – im Vergleich zu weniger als 20 Prozent im Jahr 2019. “Man kann für die Kriminellen zur Rentenversicherung werden, weil sie immer mehr Geld verlangen können”, sagt Catherine Castaldo, Partnerin in der Tech- und Datenpraxis von Reed Smith. “Wir haben das schon erlebt, vor allem in sensiblen Bereichen wie Krankenhäusern und Anwaltskanzleien.” (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.