An einem Thema kommt in Sachen Cybersecurity niemand mehr vorbei: Ransomware. Meldungen über erfolgreiche Angriffe, Rekord-Lösegeldzahlungen und alarmierende Statistiken dominieren die Medien. Die Akteure hinter den Ransomware-Attacken haben in den letzten Monaten und Jahren an neuen Taktiken, Techniken und Prozeduren (TTP) gefeilt und ihr Arsenal aufgestockt. Dabei hat sich Ransomware zur Dreifach-Bedrohung entwickelt: Daten werden nicht mehr nur verschlüsselt und bis zur Zahlung von Lösegeld unter Verschluss gehalten. Angreifer drohen obendrein mit der Offenlegung der erbeuteten Daten im Darknet sowie mit Distributed-Denial-of-Service (DDoS)-Kampagnen. Die Idee dahinter ist nicht neu. Die tiefgreifenden Veränderungen am Ransomware-Markt haben jedoch dafür gesorgt, dass einschlägige Ransomware-Gruppen sich weiter spezialisieren und immer neue Wege finden, um ihre Opfer zum Zahlen von Lösegeld zu zwingen.
Bei dem Tempo, in dem sich Ransomware weiterentwickelt, ist es sinnvoll, zurück zu den Wurzeln zu gehen. Wie funktioniert Ransomware? Seit wann gibt es diese Form von Cyberbedrohung? Und warum sehen wir derzeit einen solchen massiven Anstieg an Angriffen?
In diesem Blog beleuchten wir einige der Grundlagen. Wir werfen einen Blick auf die Verschlüsselung und Offenlegung von Daten sowie mit Ransomware verbundene Netzwerkangriffe (DDoS). Und wir zeigen, wie Unternehmen sich schützen und den Verlust von Daten verhindern können.
RANSOMWARE-VARIANTE 1: VERSCHLÜSSELUNG DER DATEN
Am Anfang stand Ransomware ausschließlich für die Verschlüsselung von Daten und der Erpressung von Lösegeld. Wem diese Taktik neu ist, möge bitte Wilson, den Volleyball, von uns grüßen – denn anscheinend hat er die letzten Jahre (insbesondere 2020) auf einer einsamen Insel verbracht. Zu Beginn richteten sich die Angriffe sowohl auf Privatpersonen als auch auf Unternehmen. Schnell war aber klar, dass bei Unternehmen einfach mehr zu holen ist. Heute zielt laut Verizon DBIR der Angriff typischerweise auf ein in Nordamerika oder Europa angesiedeltes Unternehmen ab, das vorzugsweise in den Bereichen Fertigung, Energie oder Gesundheitswesen tätig ist.
Der Ablauf von Ransomware-Attacken unterscheidet sich von Gruppe zu Gruppe. Das Modell dahinter ist jedoch so einfach wie perfide: Entweder man zahlt oder die Daten bleiben verschlüsselt. Die Entschlüsselung der Daten ist dabei die größte Herausforderung. Nicht immer bekommen die Opfer nach Zahlung des Lösegelds ihre Daten auch zurück. Oft bleibt den
Unternehmen nichts anderes übrig als ihr Vertrauen in die Cyberkriminellen zu setzen und in kostspielige „Vorleistungen“ zu gehen.
Letztendlich gibt es drei mögliche Endszenarien für Ransomware-Attacken:
- Best-Case-Szenario: Die Opfer zahlen das Lösegeld und bekommen ihre Daten unversehrt zurück.
- Das Lösegeld wird bezahlt, die Entschlüsselung der Daten jedoch schlägt fehl und die Opfer müssen zumindest mit einem teilweisen Datenverlust rechnen.
- Worst-Case-Szenario: Die Angreifer machen sich mit dem Lösegeld aus dem Staub, ohne die Daten zu entschlüsseln.
Mit der Zeit tauchte das Phänomen Ransomware auch in den Nachrichten auf. Die einhellige Empfehlung der Cybersicherheits-Experten lautet dabei, kein Lösegeld zu zahlen.
Insbesondere, wenn Backups vorliegen oder ein Entschlüsselungsprogramm zur Verfügung steht, ist das auch tatsächlich die beste Taktik. Die Cyberkriminellen stehen damit jedoch vor einer schwierigen Entscheidung: Weitermachen wie gewohnt, auch wenn der Profit langsam, aber sicher zurückgeht. Oder den Druck auf Opfer erhöhen und damit die Wahrscheinlichkeit einer Lösegeldzahlung erhöhen. Wenn eine Cyberversicherung vorliegt, stehen die Chancen dazu gar nicht mal schlecht. Da sich in der cyberkriminellen Unterwelt Ransomware mehr und mehr in eine Dienstleistung (Ransomware-as-a-Service) verwandelte, sahen sich viele Akteure gezwungen, neue Geschäftsmodelle zu entwickeln.
RANSOMWARE – VARIANTE 2: OFFENLEGUNG DER DATEN
Die Drohung, gestohlene Daten öffentlich zu machen, gibt es so lange, wie es das Internet gibt. Während der 1990er Jahre wurden Daten oft bei Streitigkeiten zwischen verschiedenen Gruppen ins Netz gestellt. Ziel war es, den Gegner aus der Anonymität des Internets zu holen und ihn bloßzustellen. Dieses „Doxing“ (abgeleitet von „Docs“) gibt es auch heute noch. Hacktivisten und Einzelakteure versuchen damit immer wieder Personen, Unternehmen oder Organisationen an den öffentlichen Pranger zu stellen, wenn diese durch (vermeintliche) Fehltritte und skrupelloses Verhalten auffallen.
In Kombination mit Ransomware erlebt diese Methode jetzt so etwas wie ihren zweiten Frühling. Ransomware-Akteure wählen dabei in der Regel zuerst die interessantesten, sprich sensibelsten Daten heraus, ehe sie das Gesamtpaket verschlüsseln. Kommt das Opfer der Zahlungsaufforderung nicht nach, lässt sich mit den gestohlenen Daten die Schlinge enger ziehen. Die Methode funktioniert auch deshalb so gut, weil mit der Veröffentlichung von kritischen Daten der Ransomware-Angriff selbst ins Licht der Öffentlichkeit rückt und viele Unternehmen einen Reputations- und Vertrauensverlust befürchten.
Die Exponierung von hochsensiblen und vertraulichen Informationen, geistigem Eigentum, Finanzdaten oder personenbezogenen Daten von Kunden und Mitarbeitern ist für viele Unternehmen der Tropfen, der das Fass zum Überlaufen bringt. Besonders in hart umkämpften, wettbewerbsstarken Branchen wird hier allzu oft das Lösegeld zähneknirschend in Kauf genommen. Die Ransomware-Gruppe REvil gehört zu den unangenehmsten und rücksichtslosesten Akteuren, die mit der Methode aus Verschlüsselung und Veröffentlichung Geld verdienen.
RANSOMWARE – VARIANTE 3: ANGRIFF AUF DAS NETZWERK (DDOS)
Als Erpressungsmittel sind Distributed-Denial-of-Service-Angriffe (DDoS) nicht neu. Erste Aktivitäten dieser Art finden sich bereits 2015. Seitdem erfreute sich DDoS anhaltender Beliebtheit. In den letzten Jahren wurde die Angriffsmethode vor allem mit bekannten
Gruppen wie Armada Collective, Anonymous und Fancy Bear in Verbindung gebracht. Die Ziele und Motive der Angreifer waren dabei oft so unterschiedlich, dass es schwer fiel, DDoS einer Kategorie zuzuordnen. Tatsächlich steckten hinter vielen Aktionen Trittbrettfahrer, die DDoS zur Erpressung nutzten, während die „echten“ Fancy Bears sich auf ihre Spionage- Arbeit konzentrierten. Mittlerweile kommt DDoS immer häufiger in Kombination mit Ransomware zum Einsatz.
DDoS ist schon deshalb interessant, weil bei einem Angriff immer eine ganzes Netzwerk von Rechnern beteiligt ist, die theoretisch über die ganze Welt verteilt sein könnten. Eine eindeutige Identifizierung von IPs ist damit schwierig. Auch ist es kaum möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen. Selbst bewährte Netzwerksicherheitsmethoden helfen nur wenig, wenn Botnets mit im Spiel sind. Die „verteilten“ Angriffsquellen sind das wesentliche Unterscheidungsmerkmal zu normalen Denial-of-Service-Angriffen.
Tom Emmons von Akamai untersuchte kürzlich die Geschichte von DDoS und verglich frühere Aktivitäten und Vorfälle mit den DDoS-Angriffen von heute. Der historische Vergleich ist auch deshalb interessant, weil Akamai als der weltweit größte Serviceprovider für CDN- Dienste (Content Delivery Network) gilt. Die Untersuchung zeigt, dass der Durchschnittspreis von sogenannten DDoS-Stresser-Kits gesunken ist. Das deckt sich auch mit den Beobachtungen von Digital Shadows: So hat unser Team Kits ausgemacht, die genauso viel kosteten wie ein Big-Mac-Menü bei McDonalds. Der niedrige Preis sorgt für niedrige Einstiegshürden und zieht somit auch Amateur-Hacker und Neulinge an. Für Akteure, die gerade an ihrem nächsten Ransomware-Raubzug arbeiten, stellen DDoS-Kits keine große Investition dar und werden als zusätzliches Druckmittel gerne mitgenommen. Dass DDoS-as-a- Service verfügbar ist, macht diese Entscheidung noch leichter.
Es gibt aber auch eine gute Nachricht: DDoS verursachen zwar vorübergehende Bandbreitenprobleme in einem Netzwerk. Es gibt aber Wege, diese Angriffe abzuschwächen, wenn sie frühzeitig erkannt und proaktiv angegangen werden – beispielsweise mit Hilfe von Anbieterlösungen und Netzwerkkonfigurationen. Im Zusammenhang mit Ransomware stellt sich eher die Frage, ob Netzwerkverfügbarkeit und Datenintegrität im Ernstfall tatsächlich zu den wichtigsten Prioritäten zählen.
NICHTS IST SO BESTÄNDIG WIE DER WANDEL – AUCH BEI RANSOMWARE
Erst kürzlich kündigte die Ransomware-Gruppe Babuk an, bei ihren Angriffen künftig auf ein reines Erpressungsmodell überzugehen. Im Mai 2021 sorgte der Ransomware-Angriff auf die Colonial-Pipeline für Schlagzeilen in der Presse, für Benzin-Engpässe in rund einem Dutzend US-Bundesstaaten und für eine Welle an Neuerungen auf Marktplätzen im Darknet. Es wird sich zeigen, wie sich die Ransomware-Landschaft verändert, wenn das Bewusstsein für diese Art von Bedrohung auch in der Bevölkerung steigt.
Es ist höchste Zeit, dass der private wie öffentliche Sektor sich intensiv mit dem Problem Ransomware auseinandersetzt. Ein Ende der digitalen Erpressung ist nur unter folgenden Bedingungen möglich: 1.) Cyberkriminelle entdecken eine andere, profitablere Angriffsmethode für sich (wahrscheinlich). 2.) Die Ransomware-Gruppen bekehren sich zum Guten und stoppen ihre Angriffe (eher unwahrscheinlich). 3.) Regierungen und Strafverfolgungsbehörden verhaften jeden Cyberkriminelle im Netz (ebenfalls unwahrscheinlich). Oder 4.), Unternehmen und Organisationen machen ihre Hausaufgaben und sorgen für eine ganzheitliche Cybersicherheit (hoffentlich). Ob die kürzlichen Bemühungen von Seiten der Politik und die öffentlichen Debatten einen Effekt auf Ransomware und ihre
Methoden haben werden, bleibt abzuwarten. Heute in einem Jahr, werden wir wahrscheinlich wissen, ob auch 2022 zum Ransomware-Jahr erklärt werden wird.
Zum Schluss noch ein Bemerkung: Wir sprechen viel zu selten über die Angriffe, die erfolgreich verhindert werden konnten. Sei es durch vorab getroffene Sicherheitsmaßnahmen, Cyber Threat Intelligence-Tools, dem Einschreiten durch Strafverfolgungsbehörden oder einer Kombination all dieser Dinge. Hut ab vor diesem Erfolg! Auch diese Geschichten sollten erzählt und an die nächste Generation im Security Operations Center weitergegeben werden.
Vielleicht ist es auch Zeit, über mehr Transparenz bei Ransomware-Vorfällen zu sprechen. Und über die Art und Weise, wie betroffene Unternehmen und Organisationen in der Öffentlichkeit dargestellt werden. Denn je mehr wir über Angreifer und ihre TTPs erfahren, desto besser können wir uns alle verteidigen. Das Sammeln, Bewerten und Zusammenstellen von Cyber Threat Intelligence (CTI) bleibt dabei eine der Hauptaufgaben.
Neugierig geworden? Dann testen Sie SearchLight sieben Tage lang kostenlos in der Demo- Version. Oder Sie werfen einen Blick auf den Ransomware Q1/2021 Report von Digital Shadows, mit allen Daten und Trends.