Digitale Erpressung hat sich zum erfolgreichsten und effizientesten Erwerbsmodell für Cyberkriminelle entwickelt. Angriffe werden zunehmend vielseitiger und ausgeklügelter.
Illustration: Absmeier, Geralt
Digitale Erpressung hat sich laut den Sicherheitsforschern von Trend Micro zum erfolgreichsten und effizientesten Erwerbsmodell für die Kriminellen entwickelt, auch hinsichtlich des Umfangs der Aktionen. Groß oder klein, jeden trifft es und jeder muss zahlen. Dies liegt vor allem an der Ransomware, der bei Kriminellen derzeit beliebtesten Waffe, um weltweit Bargeld von ihren Opfern – vor allem Unternehmen und Organisationen – zu erpressen. Bei Ransomware-Angriffen infizierten die Akteure geschäftskritische Systeme und störten somit den täglichen Betrieb der Opfer, um so großen Unternehmen ihren Willen aufzuzwingen.
Digitale Erpressung 2018 und darüber hinaus
Digitale Erpressung stellt auch künftig für Unternehmen und Organisationen ein erhebliches Risiko dar. Wie Trend Micro bereits in den Sicherheitsvorhersagen 2018 (siehe weiter unten) dargelegt hat, werden Cyberkriminelle auch weiterhin die großen Ziele ins Visier nehmen und dort Chaos und Schaden anrichten, vor allem in den Office-Bereichen. Zu diesem Schluss kommen die Sicherheitsforscher auf Basis der Ähnlichkeiten zwischen den größten Ransomware-Angriffen des letzten Jahres, bei denen die Schadsoftware selbst so aufgesetzt war, um nach Office- und Server-Datenbankdateien zu suchen.
Das bedeutet jedoch nicht, dass die Endanwender außen vor bleiben, denn Cyberkriminelle werden zweifelsohne auch weiterhin einen weitgestreuten Ansatz wählen und Ransomware en masse aussenden, um eventuell ein Nutzersystem zu treffen, dass mit einem Office-Netzwerk verbunden ist.
Die Forscher gehen auch davon aus, dass künftig nicht allein Ransomware für die digitale Erpressung eingesetzt wird und auch nicht nur Datenbankdateien, Server und Systeme angegriffen werden. Digitale Erpressung wird neben den geschäftskritischen Dokumenten von Unternehmen auch Produktionsstätten und Roboter in Fertigungsstraßen treffen. Diese Fabriken und Maschinen schließen unweigerlich auch Altsysteme und diverse Hardware mit ein, und diese Komponenten sind nur schwer, wenn überhaupt, upzudaten oder zu patchen. Damit werden sie aber zur leichten Beute für Angreifer, die alte Schwachstellen ausnutzen können.
Auch gibt es Angreifergruppen, die digitale Schmutzkampagnen und Propaganda gegen Prominente und Unternehmen einsetzen [3]. In der heutigen Zeit, wo Kunden-Feedback und soziale Medien über den Erfolg entscheiden können, scheuen Angreifer nicht davor zurück, Bewertungs-Sites und soziale Medien dafür zu missbrauchen, um den Ruf einer Firma oder eines Prominenten zu schädigen – und erst dann die Kampagne zu stoppen, wenn das Opfer das Lösegeld gezahlt hat.
Schließlich wird digitale Erpressung auch weiterhin Phishing-Angriffe und Social Engineering-Techniken nutzen, um die Computer und Systeme nichts ahnender Mitarbeiter und Führungspersonen mit Ransomware zu infizieren, oder um einen Backdoor für Datendiebstahl zu installieren. Die Rolle von Ransomware für die digitale Erpressung zeigen die größten Vorfälle des letzten Jahres:
WannaCry (Mai 2017)
Der WannaCry-Ausbruch war das größte Cyberkriminalitätsereignis 2017. Die Schadsoftware missbrauchte eine erst kürzlich entdeckte Windows Server Message Block (SMB)-Schwachstelle und konnte darüber nicht nur Systeme infiltrieren und kritische Dateien infizieren, sondern auch die SMB-Freigaben scannen, um sich im gesamten Netzwerk auszubreiten. Nicht genug damit, gab es auch Varianten, die speziell darauf zugeschnitten waren, um geschäftsbezogene Dateien, etwa Datenbanken und Archive, zu verschlüsseln. Das bedeutete, Unternehmen mussten zahlen oder ihren Betrieb auf unbestimmte Zeit einstellen.
EREBUS (Juni 2017)
Kurz danach kam EREBUS: Die Schadsoftware konnte Webserver der südkoreanischen Hosting-Firma NAYANA infiltrieren. Die Infektion breitete sich auf 153 Linux-Servern und 3.400 Geschäfts-Websites aus. Zwei Dinge zu EREBUS waren beunruhigend. Erstens war es ganz klar die Linux-Version einer Ransomware, die im September 2016 zum ersten Mal gesichtet wurde. Zweitens war sie wie schon WannaCry auf die Suche nach Datenbankdateien ausgerichtet, die sie dann verschlüsselte, um den größtmöglichen Schaden anrichten zu können. All dies in Kombination mit den eingesetzten mehrfachen Verschlüsselungsmethoden macht diese Ransomware definitiv zu einer sehr gefährlichen Bedrohung.
PETYA (Juni 2017)
Die neue Variante von PETYA betraf eine Menge europäischer Nutzer. Sie nutzte den EternalBlue Exploit, denselben übrigens, den WannaCry für die netzwerkweite Verbreitung schon verwendete. Immer mehr große Unternehmen berichteten über Angriffe, wobei ein Unternehmen eine Schadenssumme von bis zu 300 Mill. $ nannte. Weitere Analysen zeigten, dass PETYA zahlreiche fortgeschrittene Routinen für die Datenextraktion besaß (etwa eine angepasste Mimikatz) und den MBR des befallenen Systems modifizierte, bevor die Dateien verschlüsselt wurden. Ein paar Monate später tauchte PETYA in neuer Variante wieder auf. Bad Rabbit beschädigte wichtige Transportinfrastrukturteile in Russland und in der Ukraine.
Weitere Details und Zahlen zur digitalen Erpressung bietet das Whitepaper »The Future of Digital Extortion« [2].
Es gibt aber dennoch eine Reihe von Möglichkeiten für Nutzer und Unternehmen, die Geräte und Systeme vor dieser Art von Bedrohungen zu schützen. Der Einsatz von Sicherheitslösungen ist unabdingbar, um die üblichen Infektionswege durch unerlaubten Zugriff auf Systeme und Netzwerke zu vermeiden. Ebenso wichtig ist das regelmäßige Updaten und Patchen von Maschinen und Software, um Sicherheitslücken zu schließen.
Zudem müssen Unternehmen in ein geeignetes Training von Mitarbeitern und dem Management investieren. Auch müssen Firmen sich auf die kommende europäische Datenschutz-Grundverordnung (DSGVO) vorbereiten, um den Umgang mit Kundendaten – und auch den eigenen – entsprechend zu gestalten und zu sichern.
[1] Weitere Informationen finden sich hier auf dem Trend Micro Blog: https://blog.trendmicro.de/digitale-erpressung-gefahr-auch-2018/
[2] Den vollständigen Forschungsbericht in englischer Sprache finden Sie hier: https://documents.trendmicro.com/assets/wp-digital-extortion-a-forward-looking-view.pdf
[3] https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/fake-news-cyber-propaganda-the-abuse-of-social-media
IT-Sicherheitsvorhersagen für 2018
Zuverlässiges Patching von Schwachstellen ist weiterhin unerlässlich.
Cyberangriffe sind ein zunehmend lukratives Geschäftsmodell. In den IT-Sicherheitsvorhersagen 2018 prognostiziert die IT-Sicherheitsfirma Trend Micro die Vorgehensweise kommender Angriffe, damit Unternehmen sich besser vor diesen schützen können. Alte Bekannte wie Ransomware, Business E-Mail Compromise sowie IoT-Angriffe stehen weiterhin hoch im Kurs. Dazu kommen neue Bedrohungen durch Umgehung oder Ausnutzen von Technologien wie Blockchain oder Maschinenlernen.
Cyberangriffe hatten im Jahr 2017 Konjunktur – sehr zum Leidwesen vieler Unternehmen. Dabei erfolgten viele folgenschwere Angriffe über bereits bekannte Schwachstellen, für die schon Patches verfügbar waren. Trend Micro geht in seinen Sicherheitsvorhersagen für 2018 davon aus, dass dieses Muster im Jahr 2018 noch zunehmen wird. Da viele Unternehmen ihr digitales Angebot ausbauen und weitreichend vernetzt sind, bieten sie eine immer größere Angriffsfläche. Patch-Management und Mitarbeiterschulungen sollten deshalb für die Verantwortlichen oberste Priorität haben, um wertvolle Unternehmensdaten zu schützen.
Da Informationstechnologie und Operative Technologie (IT/OT) immer weiter zusammenwachsen, sind Anwendungen und Plattformen von Unternehmen zusätzlichen Risiken ausgesetzt. Die Prognosen ergeben außerdem vermehrte Schwachstellen in IoT-Geräten, die dadurch entstehen, dass Hersteller grundlegende Sicherheitsmaßnahmen oder Industriestandards ignorieren. Insgesamt bietet die zunehmende Vernetzung Cyberkriminellen neue Möglichkeiten, um alte Schwachstellen auszunutzen und in Firmennetzwerke einzudringen.
Alte Bekannte und neue Herausforderungen
»Bei Trend Micro suchen wir stets nach den Bedrohungen, die die größten Auswirkungen auf Unternehmen haben werden. Wir prognostizieren dann, welche Schwachstellen dabei von besonderer Bedeutung sein werden«, sagt Martin Rösler, Senior Director Threat Research bei Trend Micro. »Viele verheerende Cyberangriffe hätten verhindert werden können, wenn man rechtzeitig bekannte Schwachstellen geschlossen hätte. Diese Entwicklung wird sich im nächsten Jahr fortsetzen, da Unternehmen immer mehr Angriffsfläche bieten. Dieser Umstand bleibt eine der zentralen Herausforderungen für Unternehmen. Verantwortliche sollten daher das Schwachstellen-Management bei der IT-Sicherheitsplanung priorisieren. Dies gilt besonders auch im Hinblick auf die bevorstehende Implementierung der EU-Datenschutz-Grundverordnung.«
Ransomware wird auch weiterhin ein »Erfolgsmodell« sein. Die Experten erwarten einen Zuwachs an gezielten Ransomware-Angriffen, bei denen Kriminelle einzelne Organisationen ins Visier nehmen und deren Geschäfte lahmlegen, um dadurch größere Lösegeldforderungen zu erzwingen. Business E-Mail Compromise (BEC) wird bei Angreifern ebenfalls zunehmend beliebter, da der »Return on Investment« im Erfolgsfall relativ hoch ist.
»Der Privatsektor wird weiterhin von einer Vielzahl an Cyberbedrohungen unter Beschuss genommen«, sagt Edwin Martinez, Chief Information Security Officer bei CEC Entertainment. »Institutionen müssen weiterhin relevante Daten austauschen damit wir diesen Cyberbedrohungen besser begegnen und sensible Daten bestmöglich schützen können.«
Bedrohungsakteure werden auch neue Technologien wie Blockchain und Maschinenlernen nutzen, um ihre Aktivitäten besser vor herkömmlichen Cyber-Sicherheitsmaßnahmen verstecken zu können. Aus diesem Grund empfiehlt Trend Micro eine mehrschichtige, generationsübergreifende Sicherheitsstrategie, die neuste Sicherheitstechniken mit bewährten Taktiken verbindet.
Die vollständigen Sicherheitsvorhersagen für 2018 finden Sie hier: https://documents.trendmicro.com/assets/rpt/rpt-paradigm-shifts.pdf
Cybersecurity beginnt schon im IT Service Management: Vier Schritte für mehr Schutz vor Ransomware
Tipps zur Ransomware-Prävention – Online-Erpressern in 2018 nicht auf den Leim gehen
Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend