Ransomware-Attacken nehmen dramatisch zu

Nicht nur, dass Ransomware-Angriffe im Vergleich zum Vorjahr geradezu dramatisch zugenommen haben und die Lösegeldsummen immer weiter in die Höhe schnellen. Cyberkriminelle nehmen außerdem zunehmend kritische Infrastrukturen ins Visier und versuchen über Angriffe auf die Software-Lieferkette, ihre Kampagnen zu optimieren und maximalen Schaden anzurichten. Zu diesen Ergebnissen kommt das Sicherheitsunternehmen Barracuda Networks, das 121 Ransomware-Vorfälle der vergangenen 12 Monate ausgewertet hat – das entspricht einer Steigerung um 64 Prozent innerhalb eines Jahres.

Viele der Angriffe gehen auf das Konto bekannter Ransomware-Banden, zu nennen wäre hier etwa REvil mit 19 Prozent der untersuchten Angriffe und DarkSide mit 8 Prozent. Zu beobachten ist, dass sich die Kriminellen nicht mehr darauf beschränken, ihre Malware über schadbringende Links und Anhänge zu verbreiten. Die Angriffsmuster entwickeln sich weiter: Zunächst stehlen die Angreifer über Phishing-Angriffe Anmeldedaten, um dann mit ihnen die vom Opfer genutzten Webanwendungen anzugreifen. Ist eine Anwendung kompromittiert, lässt sich Ransomware und anderer Schadcode einschleusen.

Der pandemiebedingte Trend zum Homeoffice hat den Kriminellen in die Hände gespielt: Webportale, über die Remote-Arbeiter in das Unternehmensnetz gelangen, ermöglichen unter Umständen auch Unbefugten den Zugriff. Potenzielle Einfallstore beschreiben die Top 10 der OWASP-Bedrohungen für die Anwendungssicherheit. Arbeitet man sie ab, verringert sich das Risiko eines erfolgreichen Angriffs. Gefährlich sei es außerdem, bei Remote-Arbeitern nur auf ein VPN zu setzen. Denn viele Anmeldedaten in Form geleakter Passwörter befänden sich im Dark Web, schreibt Barracuda. Auf diesem Weg erfolgte etwa der Angriff auf die Colonial Pipeline im Mai, bei dem sich Hacker mit einem kompromittierten Passwort über ein VPN-Konto Zugang zum Netzwerk verschafften.

Cyberkriminelle sind verhandlungsbereit

Bei den Lösegeldforderungen ist ein drastischer Anstieg zu beobachten – die durchschnittliche Forderung beträgt nun 10 Millionen US-Dollar. Zwei interessante Beobachtungen in diesem Zusammenhang: Zum einen beginnen Kriminelle damit, alternative Zahlungsmethoden anzubieten, da Bitcoin zunehmend im Fokus der Strafverfolgungsbehörden steht. Die REvil-Bande schwenkte etwa auf Monero um. Zum anderen sind Cyberkriminelle offenbar zu Verhandlungen bereit, was die Höhe anbelangt. Eine Win-Win-Situation: Die Kriminellen lassen sich darauf ein, um überhaupt Geld zu erhalten, die Opferunternehmen nutzen ihre Optionen, Millionen zu sparen. JBS handelte eine Lösegeldzahlung in Höhe von 22,5 Millionen US-Dollar auf 11 Millionen US-Dollar herunter, und der deutsche Chemiedistributor Brenntag reduzierte die geforderte Summe von 7,5 auf 4,4 Millionen US-Dollar.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der September-iX: Wie schlägt sich Low Code in der Praxis?

Zunehmend weigern sich Unternehmen jedoch, auf Lösegeldforderungen einzugehen, berichtet Barracuda Networks, was ebenso wie der verstärkte Kampf der Strafverfolgungsbehörden gegen die Erpressungsbranche ein "ermutigendes Zeichen" sei. Um sich vor solchen Angriffen zu schützen, empfiehlt der Autor der Studie erstens den Schutz von Zugangsdaten durch Awareness-Schulungen von Mitarbeitern, aber auch durch technische Maßnahmen wie Multifaktorauthentifizierung, zweitens die Absicherung aller Infrastrukturzugriffspunkte und SaaS-Anwendungen, beispielsweise durch Zero-Trust-Konzepte, und drittens schließlich eine Datensicherung sämtlicher kritischer Informationen mit Disaster- und Recovery-Funktionen. Weitere Details zur Studie finden sich in einem Blogbeitrag von Barracuda Networks.

(ur)