Ein ungeschütztes Gerät reicht: Remote-Ransomware-Angriffe steigen massiv
Remote-Verschlüsselungstechniken ermöglichen es den Angreifern, aus der Ferne auf Systeme zuzugreifen und sie zu verschlüsseln, ohne physisch vor Ort zu sein. Die herkömmlichen Schutzmechanismen sind darauf ausgelegt, Ransomware-Angriffe zu identifizieren, indem sie bestimmte Verhaltensmuster oder Signaturen erkennen.
Für Remote-Verschlüsselungstechniken sind sie oft blind.
Sophos hat den neuen Bericht „CryptoGuard: Ein asymmetrischer Ansatz im Kampf gegen Ransomware“ veröffentlicht. Darin werden die Ergebnisse der CryptoGuard-Abwehrtechnologie vorgestellt. Es wird darauf hingewiesen, dass die erfolgreichsten und aktivsten Ransomware-Gruppen wie Akira, ALPHV/BlackCat, LockBit, Royal und Black Basta gezielt auf die Nutzung von Fernverschlüsselungstechniken für ihre Angriffe umgestiegen sind. Diese sogenannte „Remote Ransomware“ wird von Cyberkriminellen genutzt, um über kompromittierte und oft unzureichend geschützte Endgeräte auf andere mit demselben Netzwerk verbundene Geräte zuzugreifen und deren Daten zu verschlüsseln. Seit 2022 wurde für Remote-Angriffe ein Wachstum von 62 Prozent verzeichnet.
Mark Loman, Vice President Threat Research bei Sophos, betont die Schwachstelle, die Remote-Verschlüsselung für Unternehmen darstellt: „Unternehmen können tausende gut geschützte Computer haben, aber ein ungeschütztes Gerät reicht aus, um das gesamte Netzwerk zu kompromittieren. Angreifer sind sich dessen bewusst und suchen gezielt nach dieser einen Schwachstelle, die in den meisten Unternehmen zu finden ist.“
Die Herausforderung bei der Fernverschlüsselung besteht darin, dass traditionelle Anti-Ransomware-Schutzmechanismen die schädlichen Aktivitäten nicht erkennen können, die auf Remote-Geräten ablaufen. Loman erwähnt die Geschichte der ersten erfolgreichen Ransomware, CryptoLocker, die vor zehn Jahren die Remote-Verschlüsselung mittels asymmetrischer Verschlüsselung (Public-Key-Kryptographie) nutzte. Seitdem haben Angreifer die Verwendung von Ransomware weiter eskaliert, auch befeuert durch fortlaufende Sicherheitslücken in Organisationen weltweit und das Aufkommen von Kryptowährungen.
Sophos‘ Ansatz zur Ransomware-Verteidigung konzentriert sich auf asymmetrische Abwehrstrategien. Loman erklärt: „Als wir das erste Mal sahen, wie CryptoLocker vor zehn Jahren die Remote-Verschlüsselung ausnutzte, wussten wir: diese Taktik wird in den nächsten Jahren eine Herausforderung für die Verteidigung. Viele Lösungen fokussieren sich auf das Aufspüren schadhafter Binärprogramme oder deren Ausführung. Im Fall von Fernverschlüsselung aber erfolgen diese Schritte auf einem anderen (ungeschützten) Computer als auf dem, dessen Dateien verschlüsselt werden. Der einzige Weg das zu stoppen, ist die genaue Beobachtung und Schutz der Dateien.“
Der Sicherheitsexperte weiter: „Remote Ransomware ist ein bekanntes Problem für Organisationen und trägt generell zur Langlebigkeit von Ransomware bei. Da das Lesen von Daten über eine Netzwerkverbindung langsamer ist als von der lokalen Festplatte, haben wir gesehen, dass Angreifer wie LockBit oder Akira strategisch nur einen Teil einer Datei verschlüsseln. Dieses Prinzip strebt nach maximalem Effekt in minimaler Zeit, zudem reduziert es das Fenster für die Verteidiger, um die Attacke zu bemerken und zu reagieren. Der Sophos-Ansatz zur Anti-Ransomware-Technologie stoppt sowohl die Fernattacke als auch die Teilverschlüsselung der Dateien“.
Den neuen Report gibt es hier.
