Home » News » Cybersecurity » Ransomware bleibt Top-Killer – nächste Ransomware-Ära steht schon vor der Tür

Ransomware bleibt Top-Killer – nächste Ransomware-Ära steht schon vor der Tür

Die gute Nachricht: Ransomware-Angriffe konnten im Jahr 2022 häufiger erfolgreich verhindert werden, als noch im Jahr davor – trotz fast ebenso vieler Attacken. Die schlechte Nachricht: Cyberkriminelle expandieren in andere illegale Geschäftsmodelle und schließen sich mit staatlichen Akteuren oder dem organisierten Verbrechen zusammen. Zwei aktuelle Studien geben Aufschluss.

6 Min. Lesezeit
Foto: ©AdobeStock/structuresxx

Zwei aktuelle Studien lassen erkennen, wie die Situation mit Ransomware 2022 aussah und wie sie sich wahrscheinlich in naher Zukunft weiterentwickelt: Der jährliche X-Force Threat Intelligence Index von IBM beleuchtet das Jahr 2022, während sich eine neue Trend Micro-Studie mit den zu erwartenden Veränderungen im Bereich Ransomware beschäftigt. Die IBM-Studie stellt fest, dass der Anteil von Vorfällen mit Ransomware an den registrierten IT-Sicherheitsvorfällen im Jahr 2022 weltweit nur geringfügig (um vier Prozentpunkte) zurückgegangen ist. IT-Sicherheitsexperten waren jedoch erfolgreicher darin, Attacken durch Ransomware zu erkennen und zu verhindern. Trotzdem waren Angreifer weiterhin innovativ: So sei die durchschnittliche Zeit bis zum Abschluss eines Ransomware-Angriffs von zwei Monaten auf weniger als vier Tage gesunken.

Im Trend Micro-Bericht warnen die Bedrohungsexperten vor einer möglichen Revolution der Ransomware-„Branche“: So könnten die Akteure hier künftig gestohlene Daten etwa für Aktienmanipulationen nutzen, mehr Dienstleistungen an die „traditionelle“ organisierte Kriminalität verkaufen, sich mit anderen kriminellen Gruppierungen zusammenschließen oder sogar mit staatlichen Akteuren kooperieren.

Bereits der IBM-Report bringt wenig Erfreuliches zutage. So haben sich Backdoors, die Fernzugriff auf Systeme ermöglichen, im letzten Jahr zur bevorzugten Angriffsmethode der Cyberkriminellen entwickelt. Ungefähr 67 Prozent dieser Backdoor-Fälle bezogen sich auf Versuche, Ransomware zu installieren, bei denen Sicherheitsteams in der Lage waren, die Backdoor rechtzeitig zu erkennen, bevor die Ransomware installiert wurde. Der Anstieg der Backdoor-Nutzung kann teilweise auf ihren hohen Marktwert zurückgeführt werden. X-Force beobachtete, dass die kriminellen Akteure bestehende Backdoor-Zugänge für bis zu 10.000 US-Dollar verkaufen können. Gestohlene Kreditkartendaten werden im Vergleich dazu heute für weniger als 10 Dollar pro Karte verkauft.

Das Ausnutzen von Backdoors war auch in Deutschland eine der drei häufigsten Angriffsmethoden. Die beiden anderen waren die Kompromittierung von geschäftlichen E-Mails (Business E-Mail Compromise) sowie das Kapern von E-Mail-Konversationen (E-Mail-Thread-Hijacking). Europaweit rangierten Backdoors mit 21 Prozent der registrierten Fälle, Verschlüsselungstrojaner (11 Prozent) und das Ausnutzen von Fernzugriffs-Tools (10 Prozent) an der Spitze. Nach dem Überfall Russlands auf die Ukraine stieg das Ausnutzen von Backdoors in Europa signifikant an. Insgesamt war das Vereinigte Königreich mit 43 Prozent aller beobachteten Fälle das am häufigsten angegriffene Land in Europa. Deutschland lag mit 14 Prozent auf dem zweiten Platz, Portugal mit 9 Prozent auf dem dritten.

Der IBM Security X-Force Threat Intelligence-Index erfasst fortlaufend die neuen und bestehenden IT-Security-Trends und Angriffsmuster – aus Milliarden von Datenpunkten von Netzwerk und Endgeräten, Incident Response Einsätzen und anderen Quellen.

„Die Verlagerung hin zur Erkennung von Cyberangriffen und zur rechtzeitigen Reaktion hat es den Verteidigern ermöglicht, Angreifer früher in der Angriffskette abzufangen. Damit konnten sie die weitere Verbreitung von Ransomware zumindest vorübergehend eindämmen“, so Charles Henderson, Leiter der IBM Security X-Force. „Aber es ist nur eine Frage der Zeit, bevor das heutige Backdoor-Problem die Ransomware-Krise von morgen wird. Angreifer finden immer neue Wege, um der Erkennung zu entgehen. Gute Verteidigung ist nicht mehr genug. Um das endlose Wettrennen mit Angreifern zu beenden, müssen Unternehmen eine proaktive, bedrohungsbezogene Sicherheitsstrategie verfolgen.“

Zu den wichtigsten Ergebnissen des X-Force Threat Intelligence Index 2023 gehören:

  • Erpressung bleibt die beliebteste Methode der Angreifer.
  • Die häufigste Auswirkung von Cyberattacken im Jahr 2022 war Erpressung. Hierzu wurden in erster Linie Ransomware oder die Kompromittierung von geschäftlichen E-Mails genutzt. Europa war die wichtigste Zielregion für diese Art von Taten. 44 Prozent der beobachteten Erpressungsfälle fanden hier statt, da Bedrohungsakteure die aktuellen geopolitischen Spannungen ausnutzten. In Deutschland war Erpressung die wichtigste Auswirkung der von X-Force behobenen Vorfälle.

  • Cyberkriminelle nutzen E-Mail-Konversation als Angriffsmittel.
  • Das sogenannte Thread-Hijacking verzeichnete im Jahr 2022 einen deutlichen Anstieg. Angreifer nutzten kompromittierte E-Mail-Konten, um sich im laufenden Mailverkehr einzuklinken, dann als ursprüngliche Teilnehmer auszugeben und als diese zu antworten. X-Force verzeichnete einen Anstieg der monatlichen Versuche um 100 Prozent im Vergleich zu den Daten aus dem Jahr 2021.

  • Altbekannte Exploits, die immer noch funktionieren.
  • Der Anteil der bekannten Exploits im Vergleich zu den Schwachstellen sank von 2018 bis 2022 um 10 Prozentpunkte. Das liegt aber daran, dass die Anzahl der insgesamt bekannten Schwachstellen ein weiteres Allzeithoch erreichte. Die Zahlen des aktuellen Reports zeigen, dass ältere Schadprogramme wie WannaCry und Conficker weiterhin existieren und sich verbreiten konnten.

Erpressungsdruck auf Fertigungsindustrie steigt

Cyberkriminelle zielen häufig auf die anfälligsten Branchen, Unternehmen und Regionen mit Erpressungsmaschen ab. Sie wenden dann hohen psychologischen Druck an, um Opfer zur Zahlung zu zwingen. Die Fertigungsindustrie war die am meisten erpresste Branche im Jahr 2022, und das bereits das zweite Jahr in Folge. In Deutschland war sie mit ca. 25 Prozent der beobachteten Fälle die mit am stärksten betroffene Branche. Der Grund: Fertigungsunternehmen sind angesichts der extrem geringen Ausfalltoleranz in den laufenden Produktionsprozessen ein attraktives Ziel für Erpressung.

Ransomware ist eine bekannte Erpressungsmethode, aber die Angreifer suchen immer neue Wege, zum Ziel zu kommen. Eine ihrer neuesten Strategien besteht darin, mitbetroffene Opfer wie zum Beispiel Kunden und Geschäftspartner über gestohlene Daten zu informieren. Durch die Einbindung dieser Mitgeschädigten erhöhen die Erpresser den Druck auf die betroffene Organisation. Die Kriminellen werden auch weiterhin mit solchen Taktiken experimentieren, um die potenziellen Kosten und psychologischen Auswirkungen eines Cyberangriffs zu erhöhen. Daher ist es wichtig, dass Unternehmen über vorbereitete Reaktionspläne verfügen, die auch die Auswirkungen eines Angriffs auf mitbetroffene, externe Opfer wie Kunden und Geschäftspartner berücksichtigen.

Thread-Hijacking im Aufwärtstrend

Die Zahl der registrierten Fälle von E-Mail-Thread-Hijacking ist im letzten Jahr stark angestiegen. Die monatlichen Hijacking-Versuche haben sich im Vergleich zu den Daten aus 2021 verdoppelt. Im Laufe des letzten Jahres stellte X-Force fest, dass Angreifer diese Taktik verwendet haben, um Emotet, Qakbot und IcedID zu verbreiten – Schadsoftware, die häufig zu Ransomware-Infektionen führt. Thread-Hijacking gehörte auch in Deutschland gemeinsam mit Backdoors und dem Kompromittieren von Geschäftsmails zu den drei am häufigsten registrierten Angiffsarten. Alle drei wurden hier von der X-Force gleich häufig beobachtet.

Da Phishing die Hauptursache für Cyberangriffe im letzten Jahr war und Thread-Hijacking stark anstieg, ist es klar, dass Angreifer das Vertrauen in E-Mails ausnutzen. Unternehmen sollten Mitarbeiter auf Thread-Hijacking aufmerksam machen, um das Risiko zu verringern, dass sie zu Opfern werden.

Düstere Zukunft mit Erpressung

Die Trend Micro-Studie beschäftigt sich mit den zu erwartenden Veränderungen im Bereich Ransomware. Demnach entwickeln Bedrohungsakteure ihre Methoden als Reaktion auf die Verteidigungsstrategien von Unternehmen, Erfolge der Strafverfolgungsbehörden und staatliche Sanktionen weiter. Möglich werde dies beispielsweise durch die Skalierung von Angriffen aufgrund einer verstärkten Automatisierung, einer vermehrten Ausrichtung auf IoT- und Cloud-Umgebungen sowie einer verbesserten operativen Sicherheit (OpSec) und Monetarisierung auf Seiten der Angreifer.

Der Bericht des japanischen Cybersecurity-Anbieters nennt verschiedene Trigger, die dazu führen können, dass Ransomware-Akteure ihr Geschäftsmodell verändern. Als solche kommen entweder viele kleinere Veränderungen innerhalb der IT-Landschaft oder aber wenige, aber besonders wirkmächtige globale Faktoren in Frage. Beide Varianten können dazu führen, dass Cyberkriminelle zum Beispiel vermehrt auf Supply-Chain-Angriffe setzen, um auf diese Weise ihre Abhängigkeit gegenüber Initial Access Brokers (IABs) zu reduzieren. Ebenso können sie gestohlene Daten beispielsweise für Aktienmanipulationen nutzen, mehr Dienstleistungen an die „traditionelle“ organisierte Kriminalität verkaufen, sich mit anderen kriminellen Gruppierungen zusammenschließen oder sogar mit staatlichen Akteuren kooperieren.

Ein Patentrezept zur Bewältigung dieser Herausforderungen gebe es nicht. IT-Sicherheitsverantwortliche und Behörden sollten sich daher intensiv mit möglichen Veränderungen in den Geschäftsmodellen der Cyberkriminalität auseinandersetzen. Der Bericht von Trend Micro empfiehlt zur Vorbereitung auf diese Zukunftsszenarien eine Reihe von Maßnahmen, darunter:

  • Verstärkte Absicherung von internetbasierten und internen Unternehmenssystemen
  • Migration zu Cloud-Diensten
  • Konzentration der Cyberabwehrbemühungen auf Detection & Response sowie auf Erstzugriffsvektoren
  • Verschärfung der staatlichen Sanktionen gegenüber cyberkriminellen Hauptakteuren und Vermittlern
  • Regulierung von Kryptowährungen, um Transparenz zu erhöhen, Verbraucher vor Betrug zu schützen und Geldwäsche zu erschweren

 

„Veränderung ist die einzige Konstante in der Cyberkriminalität. Früher oder später zwingen wirtschaftliche und geopolitische Kräfte Ransomware-Gruppen dazu, sich entweder anzupassen oder aufzugeben.“, so Richard Werner, Business Consultant bei Trend Micro. „Inmitten dieser unsicheren Bedrohungslandschaft benötigen IT-Security-Teams eine einheitliche Cybersicherheitsplattform, die Transparenz und Kontrolle über die gesamte Angriffsfläche, einschließlich hybrider Cloud-Infrastrukturen, bietet. Die Ergebnisse unserer Studie unterstützen Unternehmen dabei, sich auf diese Zukunft vorzubereiten.“

Quelle: Trend Micro

Foto: Trend Micro

Zeitlinie der Ransomware-Veränderungen

Andere interessante News

Sichere Identitäten in Multi-Cloud-Umgebungen – so geht’s

Unternehmen setzen vermehrt auf Multi-Cloud-Modelle, was sowohl die Komplexität des Cloud-Managements als auch die Sicherheitsanforderungen erhöht. Folgender Bericht identifiziert vier gängige Cloud-Risiken und bietet Lösungen zur Behebung potenzieller Schwachstellen.

Ransomware-Gruppen fokussieren Software-Lieferkette

Mit Hilfe der größten eigenen Datensammlung zu Risiken und Bedrohungen weltweit haben Experten die weit verbreitete Ausnutzung von Schwachstellen in der Lieferkette durch Bedrohungsgruppen untersucht. Eines der wichtigsten Ergebnisse: Drei von vier Verstößen Dritter zielen auf die Lieferkette von Software und Technologie ab.

Industrielle und mobile Drucker: Blinde Flecken in der Sicherheit

Die Druckerflotte von Unternehmen wird immer mehr zum Sicherheitsrisiko und beeinträchtigt deren Effizienz. In den letzten zwölf Monaten hatten über 60 Prozent der Unternehmen weltweit Datenverluste aufgrund unzureichender Druckersicherheit.