Cyberkriminelle haben 2022 weniger Geld mit Ransomware eingenommen. Die Konsequenz: Neue und professionelle(re) Taktiken und Methoden. Ransomware-Banden werden nicht müde, wenn es darum geht, neue Ansätze zu entwickeln, um ihren Opfern Geld aus der Tasche zu ziehen. Foto: VectorMine – shutterstock.comRansomware bleibt eine der größten Bedrohungen für Unternehmen und Behörden weltweit. Nachdem mit Conti eine der berüchtigtsten Ransomware-Banden im Mai 2022 zerschlagen wurde, herrschte die allgemeine Auffassung, das würde das Problem mit Erpressungstrojanern deutlich eindämmen.Daraus wurde allerdings nicht wirklich etwas, wie Sicherheitsanbieter Tenable herausgefunden hat: Demnach waren 35,5 Prozent aller Sicherheitsverletzungen im Jahr 2022 auf Ransomware-Angriffe zurückzuführen – im Vergleich zum Vorjahr nur ein leichter Rückgang um 2,5 Prozent. Gesunken sind allerdings die Einnahmen der Cyberkriminellen: So kommt Security-Anbieter TrendMicro in seinem alljährlichen Cybersecurity-Report zum Ergebnis, dass die Zahlungen der Ransomware-Opfer um 38 Prozent zurückgingen. Ein Umstand, der laut den Sicherheitsforschern dazu geführt habe, dass kriminelle Hacker professionelle, unternehmensnahe Taktiken anwenden, um ihre Gewinne nach oben zu schrauben.“Cyberkriminelle müssen zunehmend KPIs und Ziele erreichen, mitunter innerhalb einer bestimmten Zeitspanne. Um Ransomware haben sich Strukturen der organisierten Kriminalität entwickelt – entsprechend steigt der Druck”, kommentiert Maheswaran Shamugasundaram, Country Manager bei Varonis Systems, die Entwicklung. So geht Ransomware heute1. Die Double-Extortion-MethodeEine Taktik, die zunehmend von Ransomware-Gruppen eingesetzt wird, ist die Double-Extortion-Methode. Dabei verschlüsseln die Cyberkriminellen nicht nur die Dateien auf dem Zielsystem, sondern laden auch sensible Informationen herunter, um ihren Lösegeldforderungen mehr Nachdruck zu verleihen.“Das verleiht ihnen mehr Macht, denn jetzt geht es nicht mehr nur um die Entschlüsselung der gesperrten Daten, sondern auch um deren Weitergabe”, erklärt Mehardeep Singh Sawhney, Threat Researcher beim Sicherheitsanbieter CloudSEK. Er fügt hinzu: “Ein Beispiel dafür ist die Ransomware-Bande ‘Black Cat’. Sie ist in der Lage, Daten von den Rechnern der Opfer und anderen darauf laufenden Assets, etwa ESXi-Servern, zu verschlüsseln und zu stehlen.” Mit diesem Shift ist die Black-Cat-Gang nicht alleine: Erst im März 2023 berichtete der Sicherheitsanbieter Redacted, dass die Ransomware-Gruppe BianLian den Schwerpunkt ihrer Angriffe ebenfalls von reiner Datenverschlüsselung in Richtung Double Extortion verlagern.2. Die Triple-Extortion-MethodeEinige Ransomware-Banden setzen noch einen drauf und wenden die Triple-Extortion-Methode an. Bei dieser dreifachen Erpressungsmethode verschlüsseln die Übeltäter Dateien, extrahieren sensible Daten und ergänzen das Ganze um DDoS-Angriffe. Bezahlen die Opfer das geforderte Lösegeld nicht, bleiben nicht nur die Files verloren, es droht auch der Ausfall regulärer Services. “Früher konzentrierten sich Ransomware-Gruppen lediglich auf Verschlüsselung, jetzt kooperieren sie mit anderen Gruppen und sind auch an der Datenexfiltration beteiligt”, weiß Shamugasundaram. Das Ziel dabei: Sie wollen den Druck auf die angegriffenen Organisationen immer weiter erhöhen3. Stakeholder im VisierEine weitere Taktik, die in diese Kerbe schlägt, besteht darin, in direkten Kontakt mit Kunden oder Stakeholdern der angegriffenen Organisation zu treten – beziehungsweise damit zu drohen. Angesichts der wahrscheinlichen Reputationsschäden und finanziellen Verluste, die die Höhe des Lösegelds nicht selten übersteigen, neigen viele Betroffene dazu, letzteres zu bezahlen. Als Beispiel nennt Bedrohungsanalyst Sawhney die Ransomware-Bande C|0p, die die Stakeholder und Kunden ihrer Opfer per E-Mail oder Telefon kontaktierten und Datenleaks in Aussicht stellten: “Die Bande unterhielt auch eine Website, auf der täglich eine Liste der Opfer und Stakeholder aktualisiert wurde. So etwas erhöht den Druck auf die Opfer zusätzlich, erweckt es doch den Anschein, der schnellste Weg zur Beendigung des Angriffs sei die Zahlung des Lösegelds.”4. Malware-ModifikationAuch die Art und Weise, wie Malware erstellt wird, hat sich verändert: Sie zu erkennen, wird zunehmend schwieriger. Malware-Autoren verwenden inzwischen diverse Techniken, um einer Erkennung zu entgehen und Incident-Response-Protokolle auszuhebeln. “Die kürzlich entdeckte Ransomware BlackCat beispielsweise kann nur ausgeführt werden, wenn der ausführbaren Datei ein 32-Zeichen-Zugangstoken übergeben wird”, unterstreicht Sawhney. Ransomware-Gruppen wie Agenda, BlackCat, Hive und RansomExx haben zudem Versionen ihrer Ransomware in der Programmiersprache Rust entwickelt. Wie Trend Micro in seiner (eingangs genannten) Studie schreibt, ermöglicht es die plattformübergreifende Programmiersprache den Ransomware-Banden, “Malware für Betriebssysteme anzupassen, die in Unternehmen weit verbreitet sind – etwa Windows und Linux”.Die Ransomware-Gruppe ALPHV (die mit Russland in Verbindung gebracht wird) war die erste, die einen Erpressungstrojaner in Rust programmierte. Die Bande – laut Malwarebytes im Jahr 2022 die zweitaktivste in Sachen Ransomware – hat auf ihrer Leak-Seite auch eine durchsuchbare Datenbank eingerichtet, in der Mitarbeiter und Kunden von Opferorganisationen nach ihren Daten suchen können.Die Gruppe LockBit hat gar ein eigenes Bug-Bounty-Programm auf die Beine gestellt. “Solche Programme verkommen im Fall von Ransomware-Gruppen zu kriminellen Plattformen, mit denen Cyberkriminelle ihr Talent unter Beweis stellen und neue Schadsoftware auftun”, erklärt Vijendra Katiyar, Country Manager für Indien bei Trend Micro. Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.Jetzt CSO-Newsletter sichernWas gegen Ransomware hilftWie reagieren Unternehmen möglichst effektiv auf Ransomware-Angriffe und die neuen Methoden krimineller Hacker? Harshil Doshi, Country Director beim Sicherheitsanbieter Securonix, fasst zusammen: “Um auf Ransomware-Vorfälle reagieren zu können, müssen Ihre Cybersicherheitslösungen reaktionsschnell, flexibel und leicht skalierbar sein. Das lässt sich am besten durch eine Kombination von Cloud- und Machine-Learning-Analytics erreichen. Mit Hilfe einer effektiven Backup-Strategie können Sie Ransomware-Reaktionsabläufe ganz vermeiden.” Um sicherzustellen, dass ihre Organisation nicht zum nächsten Erpressungsopfer wird, können Unternehmen folgende Schritte unternehmen: Minimieren Sie den potenziellen Schaden, den Angreifer anrichten können, indem Sie den Zugang zu kritischen Daten sperren und Mitarbeitern oder Partnern nur den Zugriff ermöglichen, den sie benötigen, um ihre Tasks zu erledigen.Identifizieren Sie kritische oder sensible Daten, die gefährdet sind. Scannen Sie alles, was für böswillige Angreifer interessant sein könnte – einschließlich persönlicher Daten, Finanzinformationen und Passwörter.Setzen Sie auf Multifaktor-Authentifizierung. Das kann die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs um bis zu 99 Prozent verringern.Überwachen Sie Ihre wichtigsten Assets: Welche Benutzer greifen mit welchen Konten zu welcher Zeit zu? Finden ungewöhnliche Aktivitäten statt, die auf einen möglichen Cyberangriff hindeuten könnten?Schulen Sie Ihre Mitarbeiter, damit diese gefährliche Situationen erkennen, beziehungsweise vermeiden können.Stellen Sie sicher, dass Ihre Betriebssysteme, ihre Software-Lösungen und ihre Security-Tools auf dem neuesten Stand sind respektive regelmäßig aktualisiert werden. (fm) Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren