News | IT-Security | Ausgabe 7-8-2022 | Security Spezial 7-8-2022

Deep Learning gegen Ransomware-Banden – Im Wettlauf mit der Cybermafia

Egal ob Der Pate, American Gangster oder Scarface – die Bandbreite an Filmen über die smarten Gangster in Anzügen zeigt, wie sehr unter dem Synonym Mafia die organisierte Kriminalität Menschen schon seit Jahrzehnten terrorisiert und gleichzeitig aufregenden Stoff für Blockbuster bietet. Die Mafia gibt es weiterhin, doch haben sich ihre Methoden an die Neuzeit angepasst. Heute kennt man sie auch in der Form von Ransomware-Banden oder als Ransomware-as-a-Corporation-Gruppen, die es auf das wertvollste Kapital von Firmen abgesehen haben: ihre Daten. Damals wie heute stellt sich – besonders für mittelständische Unternehmen – die Frage, wie sie sich vor der Erpressungstaktik einer rebrandeten Mafia schützen können. Moderne Technologien, wie Deep Learning, können hierbei helfen.

Ransomware-Banden: Sie sind die neue Geißel in der Business-Welt. In einem Sicherheitsreport beklagt das amerikanische IT-Sicherheitsunternehmen Deep ­In­stinct im letzten Jahr einen rasanten Anstieg von Ransomware-Attacken um 800 Prozent in den Jahren 2020 bis 2021. Hinter solchen Zahlen des Schreckens steht auch ein Taktikwechsel von Cyberkriminellen, die sich von konventionellen Hackergruppen zu einer Cybermafia des 21. Jahrhunderts transformiert haben, nicht zuletzt begünstig durch ein vielfältiges Angebot, entsprechendes Löse- oder Schutzgeldzahlungen bequem und verdeckt über den Krypto-Finanzmarkt zu erhalten.

Die aktuellen Taktiken der neuen Cybermafia. Zwar ist der Trend, dass sich Cybersecurity-Banden oder Ransomware-as-a-­Corporation-Gruppen (RaaC) einen neuen Namen geben, nicht ganz neu im aktuellen Sicherheitsumfeld – aber er unterliegt derzeit einer hohen Dynamik, um im Wettlauf mit der Strafverfolgung mittels eines »Rebranding« weiterhin unerkannt agieren zu können. Der Einsatz von »Rebranding« zur Verschleierung ihrer Operationen ist eines ihrer ­neuesten Werkzeuge, um unter dem Radar zu bleiben. Durch die Umbenennung können diese Banden etwa von der US-Regierung verhängte Sanktionen umgehen. So wird ihren Opfern vorgegaukelt, dass sie nicht strafrechtlich verfolgt oder mit einer Geldstrafe belegt werden, wenn sie Lösegeld an eine Gruppe zahlen, die bereits mit Sanktionen belegt wurde. Einige Gruppen haben sogar Verbindungen zu national­staatlichen Akteuren und bestimmte Regierungen, die solche kriminellen Aktivitäten weiterhin zulassen, auch um politische Zwecke zu verfolgen.

Mittelständische Unternehmen im Visier. Vor allem ist es für Ransomware-Gruppen hochlukrativ, kleine und mittlere Unternehmen anstelle von Großunternehmen ins Visier zu nehmen. Sie haben in der Regel nicht das Budget, die Kompetenz und das Personal, um eine solche Attacke abzuwehren und nach einem Angriff wieder schnell auf die Beine zu kommen. Stattdessen müssen sie in kürzester Zeit wieder betriebsbereit sein und sind deshalb in der Regel schneller bereit, ein Lösegeld zu zahlen. Eine kürzlich von Deep Instinct veröffentlichte Sicherheitsumfrage hat festgestellt, dass in Deutschland mehr als die Hälfte (51 %) der Befragten angab Lösegeld zu zahlen, um Reputationsverlust und Ausfallzeiten zu verhindern sowie die Daten zurückzubekommen. Allerdings war dies kein erfolgreicher Weg, um die Verluste wieder zu kompensieren, denn von jedem zweiten Betroffenen (51 %), der eine Lösegeldzahlung geleistet hat, wurde festgestellt, dass die kompromittierten Daten trotzdem von den Hackern offengelegt worden sind – und 39 Prozent konnten nicht einmal alle ihre Daten wiederherstellen.

In den Köpfen mancher Menschen mögen diese Angriffe »vorbei« sein, doch in der Realität sieht das anders aus, da Unternehmen oftmals weiterhin erpressbar sind oder Schwachstellen haben, die auch künftig im Fadenkreuz der Angreifer stehen.

Wie kann man der Cybermafia die Stirn bieten? Der Widerstand beginnt am Anfang: Für viele Unternehmen und Führungskräfte stellt sich die Frage, wie sie diese Angriffe von vorne­herein verhindern können. Allerdings gib es einige bewährte Verfahren, die sich leicht umsetzen lassen und die Sicherheit erheblich verbessern:

  • Unternehmen sollten sich im Voraus auf Angriffe vorbereiten, indem Sie einen Notfallplan bereithalten, der sofort einsatzbereit ist. Diese Protokolle sollten jährlich getestet und bei Bedarf upgedatet werden.
  • Auf allen Systemen sollte eine Multi-Faktor-Authentifizierung (MFA) eingeführt werden, wobei die Verwendung eines einzigen Passworts auf mehreren Systemen verhindert werden sollte.
  • Die Angriffsfläche sollte so weit wie möglich eingeschränkt werden, indem Unternehmen über eine solide Backup-Option verfügen, eine Netzwerksegmentierung vornehmen, Sicherheitslücken schließen und Betriebssysteme, Software und Firmware regelmäßig updaten.
  • Unternehmen sollten alle Mitarbeiter zu regelmäßigen Schulungen zum Thema Sicherheit verpflichten und starke Spam-Filter aktivieren, um zu verhindern, dass Phishing-E-Mails die Endbenutzer erreichen.
  • Ein weiterer Schlüssel zu mehr Sicherheit ist die Begrenzung von Fehlalarmen (False Positives), um Ermüdungserscheinungen im IT-Team vorzubeugen. Hierbei können Technologien wie Deep Learning helfen, die das Eindringen in Netzwerke verhindern und gleichzeitig die False-Positive-Rate reduzieren.
  • Ein Cyber-Versicherungsschutz sollte ebenfalls in Erwägung gezogen werden.

Einige wenige Ransomware-Banden können schließlich durch erfolgreiche Ermittlungen der Strafverfolgungsbehörden oder sogar interne Führungswechsel und Machtkämpfe besiegt werden. Doch Entwarnung gibt es nicht: Wie bei einer Hydra tauchen sie nach einer gewissen Zeit unter einem neuen Deckmantel wieder auf. Firmen müssen sensibilisiert sein, dass es, unabhängig vom aktuellen Banden-Namen, bei den jüngsten »Rebrandings« der Cybermafia des 21. Jahrhunderts schließlich nur um eines geht: Viel Geld!

 

Ralph Kreter,
Area VP Central
and Eastern Europe,
Deep Instinct

 

 

Illustration: © Praha/shutterstock.com

Zur Startseite →

← Zurück