In den USA kämpfen Krankenhäuser aktuell mit einer Welle von Ransomware-Angriffen. Dazu ein Kommentar von Sandra Joyce, Executive VP und Head of Mandiant Threat Intelligence (eine Einheit von FireEye.

»Ransomware ist eine Bedrohung, die wir nicht länger ignorieren dürfen, sie gerät zunehmend außer Kontrolle. Die Hacker, die hinter Ransomware-Kampagnen stehen, schalten mittlerweile die kritischsten Ziele aus. Die Angriffe sind nicht mehr nur eine Herausforderung, sondern so umfangreich und verheerend, dass wir sie nicht länger als bloßes Ärgernis oder Geschäftsrisiko betrachten sollten – sie sind eine ernsthafte Bedrohung für die globale Sicherheit.

Die Covid-19-Pandemie hat die Gefahr von Ransomware deutlich gemacht. Die Bedrohung für Krankenhäuser und ihre Patienten wächst durch den aktuellen Anstieg der Infektionen, der die Krankenhäuser überlastet und wenig Raum für Fehler lässt. Forschungslabors, die an der Entwicklung von Impfstoffen und Therapien arbeiten, wurden ebenfalls ins Visier genommen. Obwohl die Verfügbarkeit dieser Infrastrukturen entscheidend ist, um weltweit menschliches Leid zu lindern, haben einige skrupellose Ransomware-Betreiber keine Zurückhaltung gezeigt. Auch Cyberspionage-Kampagnen aus Russland, Iran und China haben es auf diese Organisationen abgesehen, aber wir bezweifeln, dass letztere die Frechheit hätten, sie mit Ransomware zu blockieren. Ein weiterer beunruhigender Trend, den wir beobachten, ist eine zunehmende Bedrohung der operativen Netzwerke (OT-Netzwerke), die die industriellen Prozesse in unseren kritischen Infrastrukturen steuern.

Destruktive Cyberangriffe staatlicher Akteure erfahren zu Recht große Aufmerksamkeit – Russland, Iran und Nordkorea haben alle Interesse gezeigt, kritische Infrastrukturen anzugreifen und unseren Alltag sowie unsere Lebensgrundlage zu stören. Die weitaus größere Gefahr geht im Augenblick jedoch von Ransomware-Betreibern aus. Diese wird unserer Meinung nach weiter wachsen und sich weiterentwickeln.«

In jüngster Zeit sind wieder etliche Ransomware-Vorfälle, gerade bei den Krankenhäusern, publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma »zahlen oder nicht zahlen« im Vorfeld eines Angriffs an?

Dazu haben wir mit Boris Cipot, Senior Sales Engineer Synopsys, gesprochen.

Wie werden sich die unterschiedlichen Formen von Ransomware-Angriffen vermutlich weiterentwickeln (Abziehen von Daten, kriminelle Auktionsseiten, Public Shaming, Auswirkungen auf die Berichterstattung nach DSGVO usw.) und welches Risiko bergen sie für Unternehmen?

»Ransomware hat sich erheblich weiterentwickelt, und das wird sie auch weiterhin tun. Zumindest solange man damit Geld verdienen kann. Nehmen Sie die Reveton Ransomware als Beispiel. Sie beginnt mit Datenverschlüsselung und sperrt den betreffenden Computer, bis das Lösegeld gezahlt wird. Reveton war in verschiedenen Sprachen lokalisiert, auf lokale Informationen abgestimmt und bot sogar lokale Zahlungsoptionen, um digitale Zahlungen zu ermöglichen. Später kamen Bitcoins hinzu. Darüber hinaus hat sich Ransomware vom einfachen Prinzip des »Ein Verschlüsselungsschlüssel für alle!« endgültig verabschiedet. Hatten Experten dann nämlich den Schlüssel einmal identifiziert, wurde er veröffentlicht und allen Betroffenen zugänglich gemacht. Heute wird ein dynamisch zugewiesenes Schlüsselsystem verwendet, das »unmöglich« oder zumindest extrem schwer zu knacken ist. Diese Entwicklungen gäbe es nicht, wenn Ransomware für die Angreifer nicht ausreichend lukrativ wäre. Unternehmen müssen sich darüber im Klaren sein, dass sie im Fokus von Angriffen bleiben. Und darüber, dass Ransomware so weiterentwickelt werden wird, dass sie maximalen Gewinn verspricht.

Wie gehen CISOs und Vorstände das Dilemma »zahlen oder nicht zahlen« im Vorfeld eines Angriffs an?

»Das hängt davon ab, was auf dem Spiel steht. Wenn sich der Angreifer Zugang zu wertlosen Daten verschafft hat, kann ein Unternehmen es sich vermutlich sparen, ein Lösegeld zu zahlen. Wenn es sich bei den Daten aber um geistiges Eigentum des Unternehmens handelt, wird die ohnehin schwierige Diskussion noch komplizierter. Man muss die gesamte operative Struktur bedenken, die mit dem jeweiligen Angriff verbunden ist. Werden die Daten gebraucht, damit das Unternehmen seine Geschäftstätigkeit aufrechterhalten kann? Sind Kunden und / oder Partner betroffen? Spielen Kunden und/oder Partner eine Rolle bei der Entscheidung? Dieses Dilemma lässt sich nicht einfach mit Ja oder Nein aus der Welt schaffen und hängt nicht zuletzt auch vom geforderten Betrag ab.«

Was passiert, wenn ein Unternehmen sich entschließt, kein Lösegeld zu zahlen? Welche Schritte zur Wiederherstellung muss man bei einer fortgeschrittenen Bedrohung einkalkulieren?

»Wenn es bei der Wiederherstellung nur darum geht, verlorene Daten aus einem Backup abzurufen, das vor einigen Stunden oder einem Tag erstellt worden, haben wir quasi das Best-Case-Szenario vor uns. Wenn die Daten jedoch in irgendeiner Weise mit anderen Personen verbunden sind oder vertrauliche Informationen über Kunden und Partner (wie Benutzernamen, Passwörter, Verträge usw.) preisgeben, ist der Weg zur Wiederherstellung deutlich schwieriger. Bei der Wiederherstellung nach einem Angriff geht es ja nicht nur darum, die Daten wiederherzustellen, sondern auch den Ruf des Unternehmens. Mit der Wiederherstellung beseitigen Sie gleichzeitig die Gefahren, die eine Datenschutzverletzung dieser Art für alle betroffenen Parteien, inklusive von Kunden und Partnern, mit sich gebracht hat.«

Gibt es Anhaltspunkte für die Ansicht auf den Vorstandsetagen, ein »Lösegeldtopf« sei die bessere, einfachere oder billigere strategische Option als in adäquate Sicherheitsmaßnahmen zu investieren?

»Meines Wissens nach nicht, und das sollte auch so bleiben. Wenn Daten nicht ausreichend geschützt werden, stellt das die gesamte Existenz des Unternehmens in Frage. Sie möchten ja selbst entscheiden, welche Daten weniger schützenswert sind als andere und bei denen man das Risiko einer Veröffentlichung eingehen kann. Das hält einen Angreifer aber letztlich nicht ab, wertvolle Kundendaten oder geistiges Eigentum ins Visier zu nehmen und damit entsprechend hohe Lösegeldforderungen zu verbinden. Sich auf eine solche Strategie zu verlassen, ist absurd. Unternehmen sollten ihre Infrastruktur, ohne Wenn und Aber schützen.«

Wie entscheidet ein Unternehmen, ob es nach einem erfolgreichen Angriff zahlt oder nicht, unabhängig von der Strategie vor dem Angriff? Und wie gestaltet sich der Prozess der Vorfallsreaktion bis zu dem Punkt, an dem die Entscheidung für die Lösegeldzahlung fällt?

»In Fällen, bei denen eine einzelne Person zum Opfer geworden ist, wird das Lösegeld normalerweise gezahlt, um eine öffentliche Demütigung zu vermeiden. Wenn größere Organisationen Opfer einer Ransomware-Attacke geworden sind (etwa Städte, Universitäten, Unternehmen) und das Lösegeld hoch ist, sollten professionelle Vermittler und Verhandlungsführer in die Diskussion einbezogen werden. Wenn viel auf dem Spiel steht, muss man die letztendlich erfolgreiche Bekämpfung eines Angriffs gewährleisten können. Außerdem ist der Prozess weit komplexer als nur das Lösegeld zu zahlen und die Geschäfte wie gewohnt weiterzuführen. Man muss untersuchen, wie es zu dem Angriff gekommen ist, und dafür sorgen, dass alle, die gefährdet sind, benachrichtigt werden, und man sollte Maßnahmen zur Behebung erwägen, um weitere Sicherheitsverletzungen zu vermeiden. Eine zusätzliche wichtige Überlegung ist, ob die Daten lediglich verschlüsselt und unlesbar gemacht worden sind, oder die Daten heruntergeladen wurden und sich somit in den Händen des Angreifers befinden. Nicht selten veröffentlicht ein Angreifer einige der betreffenden Daten, um die Glaubwürdigkeit des Angriffs zu belegen.«

Angenommen, ein Unternehmen hat sich entschlossen zu zahlen – wie sieht das aus Sicht der Incident Response aus und wie läuft eine Ransomware-Verhandlung in der Realität ab?

»In jedem Fall (unabhängig davon, ob das Lösegeld bezahlt wurde oder nicht) muss man angemessen mit dem Vorfall gehen. Dafür gibt es Regeln. Das Opfer muss den Angriffsvektor identifizieren, Schwachstellen beheben und alle Betroffenen benachrichtigen. All das muss innerhalb eines gesetzlich festgelegten Zeitrahmens geschehen. Bei weitreichenderen Vorfällen werden in der Regel externe Berater zu Rate gezogen.«

Kann man sich darauf verlassen, dass die Entschlüsselung funktioniert, und zwar so, dass eine ordnungsgemäße Protokollierung und forensische Beweissicherung möglich ist und man sicherstellen kann, dass die Daten nicht durch schlechte Kodierung beschädigt wurden?

»Man kann nie zu 100 % sicher sein, dass alle Schlüssel zur Freigabe der Daten funktionieren. Während des Verschlüsselungsprozesses können Fehler auftreten, die zu beschädigten Dateien oder Daten führen.«

Kann man Cyberkriminelle beim Wort nehmen, dass gestohlene Daten gelöscht und nicht verkauft oder weiter genutzt werden?

»Hier sprechen Sie ein großes Dilemma an. Eine Möglichkeit, es zu betrachten, ist das Geschäftsmodell des Angreifers. Wenn der Angriff nicht funktioniert, wird er zukünftige Kunden verlieren. Sein Ziel ist es, Geld zu verdienen. Daher sollten Unternehmen nicht auf professionelle Verhandlungsführer und Vermittler verzichten. Sie wissen, wie man mit solchen Situationen umgeht und wie man die Bedingungen der Vereinbarung am besten verhandelt.«

Wie sieht es mit der ethischen Seite solcher Verhandlungen aus? Ist das nicht eine Einladung zu weiteren Angriffen, die man dann sogar mitfinanziert

»Sich von einem Angriff zu erholen, ist eine Möglichkeit, Resilienz für zukünftige Angriffe aufzubauen. Wenn ein Angreifer eine neue Technik eingesetzt hat, um sich in den Besitz der Daten seiner Opfer zu bringen, sollte man diese Erkenntnisse über alle geeigneten Sicherheitskanäle verbreiten, um ähnliche Angriffe zu verhindern. Leider werden die gewonnenen Erkenntnisse längst nicht immer einbezogen. Wir haben oft genug Fälle beobachtet, bei denen Daten aufgrund einer Fehlkonfiguration im System ungeschützt waren. Dadurch war es den Angreifern möglich mit erweiterten Zugriffsberechtigungen innerhalb der kompletten Infrastruktur zu operieren.«

270 Artikel zu „Ransomware Lösegeld“

NEWS | IT-SECURITY | TIPPS

Unveränderbare Backups – Effektive Strategie gegen immer raffiniertere Ransomware

1. Oktober 2020

Allein die Erwähnung von Ransomware reicht aus, um dem erfahrensten IT-Profi Schauer über den Rücken zu jagen. Ransomware-Angriffe nehmen in einem noch nie dagewesenen Ausmaß zu, ebenso wie der Grad ihrer Ausgereiftheit. Dazu gehören der Einsatz von Methoden zum Diebstahl von Zugangsdaten und mehrstufige Angriffe, die von einem einzigen anfänglichen Exploit an zu weitreichenden Störungen…