Illustration: Absmeier xwolfde

Am heutigen World Backup Day rückt das Thema Ransomware mehr denn je in den Fokus, ist sie doch ein Haupttreiber für die Modernisierung der Backup-Lösungen in vielen Unternehmen. Palo Alto Networks und das Crypsis Incident Response Team haben sich zusammengetan, um die Ransomware-Bedrohungslandschaft im Jahr 2020 zu analysieren. Der jüngste Ransomware Threat Report, der vor 14 Tagen erstmals vorgestellt wurde, enthält Details zu den wichtigsten Ransomware-Varianten, durchschnittliche Ransomware-Zahlungen, Ransomware-Vorhersagen und umsetzbare nächste Schritte zur sofortigen Reduzierung des Ransomware-Risikos.

Zum heutigen World Backup Day fasst Palo Alto Networks die zentralen Ergebnisse des Reports zusammen:

Cyberkriminelle verdienen und fordern mehr Geld als je zuvor

Die folgenden Daten stammen aus den USA, Kanada und Europa. Das durchschnittlich gezahlte Lösegeld für Unternehmen stieg von 115.123 US-Dollar im Jahr 2019 auf 312.493 US-Dollar im Jahr 2020, ein Anstieg von 171 Prozent im Vergleich zum Vorjahr. Darüber hinaus verdoppelte sich das höchste gezahlte Lösegeld von fünf Millionen US-Dollar (2019) auf zehn Millionen US-Dollar (2020). In der Zwischenzeit werden die Cyberkriminellen immer gieriger. Von 2015 bis 2019 lag die höchste Ransomware-Forderung bei 15 Millionen US-Dollar, im Jahr 2020 stieg sie auf 30 Millionen US-Dollar.

Bemerkenswert ist, dass die Lösegeldforderungen für Maze im Jahr 2020 durchschnittlich 4,8 Millionen US-Dollar betrugen, ein deutlicher Anstieg im Vergleich zum Durchschnitt von 847.344 US-Dollar für alle Ransomware-Familien im Jahr 2020. Cyberkriminelle wissen, dass sie mit Ransomware Geld verdienen können und werden mit ihren Forderungen immer dreister.

Organisationen im Gesundheitswesen im Fadenkreuz

Die Welt änderte sich mit COVID-19, und Ransomware-Betreiber nutzten die Pandemie, um Organisationen auszuspionieren – insbesondere das Gesundheitswesen, das im Jahr 2020 am häufigsten Ziel von Ransomware war. Die Ransomware-Betreiber waren bei ihren Angriffen dreist und versuchten, so viel Geld wie möglich zu verdienen. Sie wussten, dass Organisationen im Gesundheitswesen ihren Betrieb aufrechterhalten mussten, um COVID-19-Patienten zu behandeln und Leben zu retten. Kliniken konnten es sich nicht leisten, auf ihre Systeme zu verzichten, und waren eher bereit, Lösegeld zu zahlen.

Trend zur doppelten Erpressung

Ein üblicher Ransomware-Angriff besteht darin, dass der Ransomware-Betreiber Daten verschlüsselt und das Opfer zur Zahlung eines Lösegelds zwingt, um sie zu entsperren. Bei einer doppelten Erpressung verschlüsseln und stehlen die Ransomware-Betreiber Daten, um das Opfer weiter zu zwingen, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden. Diese Hosting-Standorte werden von den Ransomware-Betreibern erstellt und verwaltet. Mindestens 16 verschiedene Ransomware-Varianten drohen jetzt damit, Daten preiszugeben oder Leak-Sites zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen.

Die Ransomware-Familie, die sich diese Taktik am häufigsten zunutze machte, war NetWalker. Von Januar 2020 bis Januar 2021 ließ NetWalker Daten von 113 Opferorganisationen weltweit durchsickern und übertraf damit andere Ransomware-Familien bei weitem. RagnarLocker lag an zweiter Stelle und ließ Daten von 26 Opfern weltweit durchsickern. Das US-Justizministerium hatte im Januar 2021 bekannt gegeben, internationale Strafverfolgungsmaßnahmen zu koordinieren, um die NetWalker-Ransomware-Bande zu zerschlagen. Die von den NetWalker-Betreibern verwaltete Dark-Web-Domain, auf der die geleakten Daten gehostet wurden, ist nicht mehr zugänglich.

Schritte zur Reduzierung der Ransomware-Gefahr

Die Abwehr von Ransomware-Angriffen ist ähnlich wie der Schutz vor anderer Malware. Ransomware stellt jedoch ein viel höheres Risiko für Unternehmen dar.

Erstzugang bei Angriffen

Der Erstzugang ist bei allen Ransomware-Varianten relativ einheitlich. Unternehmen sollten ihre Benutzer für die E-Mail-Sicherheit sensibilisieren und schulen sowie Möglichkeiten zur Erkennung und Beseitigung bösartiger E-Mails in Betracht ziehen, sobald diese in das Postfach eines Mitarbeiters gelangen. Unternehmen sollten auch sicherstellen, dass sie ein ordnungsgemäßes Patch-Management durchführen und überprüfen, welche Dienste möglicherweise dem Internet ausgesetzt sind. Remote-Desktop-Dienste sollten korrekt konfiguriert und abgesichert werden, wobei nach Möglichkeit das Prinzip der geringsten Privilegien angewandt werden sollte, mit einer Richtlinie zur Erkennung von Mustern, die mit Brute-Force-Angriffen verbunden sind.

Backup- und Wiederherstellungsprozess

Unternehmen sollten weiterhin ihre Daten sichern und einen geeigneten Wiederherstellungsprozess einrichten. Ransomware-Betreiber werden gezielt Backups vor Ort verschlüsseln, daher sollten Unternehmen sicherstellen, dass alle Backups sicher offline gehalten werden. Wiederherstellungsprozesse müssen implementiert und mit wichtigen Beteiligten geprobt werden, um Ausfallzeiten und Kosten für das Unternehmen im Falle eines Ransomware-Angriffs zu minimieren.

Sicherheitskontrollen

Die effektivsten Formen des Schutzes vor Ransomware sind Endpunktsicherheit, URL-Filterung oder Web-Schutz, erweiterte Bedrohungsabwehr (unbekannte Bedrohungen/Sandboxing) und Anti-Phishing-Lösungen, die in allen Unternehmensumgebungen und auf allen Geräten eingesetzt werden. Diese Lösungen garantieren zwar keinen vollständigen Schutz, aber sie reduzieren das Risiko einer Infektion durch gängige Varianten drastisch und bieten Überbrückungsmaßnahmen, so dass eine Technologie eine Durchsetzungslinie bietet, wenn eine andere möglicherweise nicht effektiv ist.

Der vollständige 2021 Unit 42 Ransomware Threat Report enthält weitere Untersuchungen und Best Practices, die Unternehmen implementieren können.

362 Artikel zu „Backup Recovery“

NEWS | IT-SECURITY | SERVICES | TIPPS

Sichern Sie das Datengedächtnis Ihres Unternehmens: Täglich grüßt das Backup- und Recovery-Murmeltier

20. Februar 2021

Sie besitzen sicherlich seit Jahren oder Jahrzehnten eine beachtliche Anzahl an Versicherungen. Doch spätestens bei der Durchsicht der eigenen Unterlagen zum Jahresabschluss beschleicht Sie in Anbetracht der vielen Abschlüsse und deren Kosten der Gedanke, warum Sie eigentlich diese Versicherungen Jahr für Jahr bezahlen, ohne sie ein einziges Mal in Anspruch genommen zu haben. Sie fackeln…