Gezielte Ransomware-Attacken gegen Unternehmen

Nach Einschätzung der Experten von Sicherheitsexperten gibt es im Bereich Ransomware (Erpressungssoftware) einen alarmierenden Trend. Immer mehr Cyberkriminelle richten ihre Erpresser-Angriffe nicht mehr gegen Heimanwender, sondern bedrohen gezielt einzelne Unternehmen. Kaspersky Lab konnte acht verschiedene Gruppen ausmachen, die weltweit vor allem Finanzinstitutionen mit Krypto-Ransomware (Verschlüsselungssoftware) angreifen. Dabei kommt es in Einzelfällen zu Lösegeldforderungen in Höhe von mehr als einer halben Million US-Dollar.

 

Zu den acht identifizierten Gruppen gehören die Autoren der PetrWrap-Malware [1], die sich weltweit gegen Finanzinstitute richtet, die berüchtigte Mamba-Gruppe sowie sechs weitere namenlose Gruppen. Die auf Ransomware spezialisierten Akteure haben es verstärkt auf Unternehmen abgesehen, nachdem sie zuvor Heimanwender attackiert und dabei auch Affiliate-Programme genutzt hatten. Der Grund für die Neuausrichtung: die zu erwartende Schadenshöhe für den laufenden Geschäftsbetrieb nach einem Ransomware-Angriff erhöht die Bereitschaft von Unternehmen, das geforderte Lösegeld zu bezahlen. Für Cyberkriminelle sind derartige Angriffe lukrativer als Massenangriffe auf Heimanwender.

Bei ihren Attacken gehen alle Gruppen ähnlich vor. Über Server-Schwachstellen oder Spear-Phishing-E-Mails wird die Malware in die Unternehmensnetzwerke eingeschleust. Sie versucht sich dort dauerhaft festzusetzen und sucht nach geschäftsrelevanten Datenressourcen, die dann verschlüsselt werden. Für die Entschlüsselung wird Lösegeld verlangt.

 

Mamba und PetrWrap mit eigener Handschrift

Manche Gruppen zeichnen sich auch durch eigene Vorgehensweisen aus. So nutzt etwa die Mamba-Gruppe eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software DiskCryptor; die Entschlüsselungssoftware wird mit Hilfe eines legitimen Programms für Windows Remote Control installiert. Dieses Vorgehen ist für die Sicherheitsfachleute der Unternehmen nur schwer zu erkennen. In manchen Fällen beträgt die Lösegeld-Forderung pro Endgerät ein Bitcoin, was etwa der Summe von knapp 1.000 Euro entspricht (Stand Ende März 2017).

Auch PetrWrap nutzt eigene Tools und setzt sich bis zu sechs Monate lang im Netzwerk fest. Diese Ramsomware-Angriffe richten sich vorwiegend gegen Großunternehmen mit vielen Netzknoten.

 

»Wir müssen darauf gefasst sein, dass gezielte Ransomware-Attacken auf Unternehmen weiter zunehmen und zu nennenswerten Schäden führen werden«, prognostiziert Anton Ivanov, Senior Security Researcher, Anti-Ransom, bei Kaspersky Lab. »Dieser Trend ist alarmierend, weil die Akteure ihren Kreuzzug gegen neue und finanzkräftige Opfer gerade erst begonnen haben.

Es gibt da draußen noch sehr viel mehr potenzielle Opfer, für die Angriffe mit Ransomware noch verheerendere Folgen haben könnten.«

 

Organisationen sollten daher die folgenden Empfehlungen berücksichtigen:

  • Daten mit regelmäßigen Backups sichern, so dass sich Dateien im Notfall wiederherstellen lassen.
  • Eine Sicherheitslösung [3] einsetzen, die mit verhaltensbasierter Erkennung arbeitet. Malware, inklusive Ransomware, kann dann rechtzeitig durch ihr Verhalten als solche erkannt werden. So lassen sich auch noch unbekannte Samples identifizieren.
  • Die Website NoMoreRansom.org [4] hilft Opfern von Ransomware, Daten auch ohne Lösegeldzahlung zurück zu bekommen.
  • Jede installierte Software auf Endpoints, aber auch auf Netzknoten und Servern, sollte geprüft werden und immer auf dem neuesten Stand sein.
  • Security-Assessments (zum Beispiel Sicherheits-Audits, Penetrationstests oder Gap-Analysen) können Schwachstellen identifizieren und schließen. Haben externe Lieferanten und Dritte Zugriff auf das Unternehmensnetzwerk, sollten deren Sicherheitsrichtlinien ebenfalls überprüft werden.
  • Das Fachwissen beziehungsweise die Intelligence externer Sicherheitsanbieter unterstützten Organisationen bei der Prognose zukünftiger Angriffe.
  • Speziell die Mitarbeiter im operativen Bereich und alle Ingenieure im Unternehmen sollten sensibilisiert werden und über aktuelle Ransomware-Gefahren Bescheid wissen.
  • Und nicht zuletzt muss eine wirksame Sicherheitsstrategie Angriffe abwehren können, bevor Malware kritische Firmenressourcen überhaupt erreichen kann.

 

Kaspersky Lab hat Tools für die Opfer von Ransomware unter NoRansom.kaspersky.com bereitgestellt.

Mehr Informationen zu gezielten Ransomware-Angriffen finden sich im folgenden Blogpost: https://securelist.com/blog/sas/77877/ransomware-in-targeted-attacks

 

[1] https://securelist.com/blog/sas/77877/ransomware-in-targeted-attacks

[2] https://securelist.com/blog/research/77762/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks/

[3] https://go.kaspersky.com/Anti-ransomware-tool.html

[4] https://www.nomoreransom.org/de/index.html

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Europol-Initiative »No More Ransom«

Prävention: Abwehr von Ransomware-Attacken auf Unternehmen

Fast 40 Prozent der Unternehmen waren Opfer von Ransomware-Attacken

Isolated Recovery & Ransomware – wahre Kosten und realer Nutzen

Infografik: 2016 das Jahr der Ransomware

Die neue Dimension der Cyber-Security

Sechs Sicherheitsprognosen für 2017

Ransomware – Das Millionengeschäft der Cybererpresser

Ransomware: Jahresanalyse zu Cybererpressung gegen Unternehmen und Heimanwender

Threat Report bringt Licht ins Dunkel aktueller Cyberattacken

Ransomware: Jedes zweite Unternehmen von Erpresser-Malware betroffen