Die Ransomware kommt aus der Cloud – und zielt aufs Active Directory

Ransomware-Attacken nutzen zunehmend die Cloud als Einfallstor in Unternehmen, hat eine aktuelle Umfrage der CyberRisk Alliance unter 300 US-Unternehmen ergeben. Den Grund dafür sehen die Forscher in der starken Zunahme von Heimarbeit aufgrund von Corona in den letzten beiden Jahren.

43 Prozent der Befragten sind 2020 und 2021 mindestens einmal Opfer einer Ransomware-Attacke geworden. Davon hat über die Hälfte (58 Prozent) ein Lösegeld bezahlt. Knapp ein Drittel gab an, dass Daten gestohlen wurden, die später im Darknet auftauchten.

Die Angreifer haben sich auf den Corona-bedingten Trend zum Homeoffice und der damit einhergehenden stärkeren Nutzung der Cloud eingestellt: Jeweils rund ein Drittel der Angriffe erfolgte über Cloud-Anwendungen (SaaS), über Cloud-Infrastruktur und -Plattformen (IaaS, PaaS) oder über Heimarbeitsplätze. Jeweils ein Viertel der Befragten hat Angriffe über die Software Supply Chain, das DNS oder über Dritte, zu denen eine Vertrauensstellung bestand, erlebt.

Nachdem die Angreifer einmal Zugang zum Unternehmensnetz hatten, stürzten sich 95 Prozent auf das Active Directory. Am häufigsten nutzen sie ungepatchte Schwachstellen auf anderen Systemen aus, um weitere Rechner im Netz anzugreifen (lateral movement). Auch Methoden zur Rechteausweitung (privilege escalation) und das Ergaunern von Zugangsdaten (Credential Exfiltration) kamen bei den Angriffen häufig zum Einsatz.

Aus der neuen iX: Wie Sie sich effektiv vor Ransomware schützen

Früher oder später muss jedes Unternehmen einen Ransomware-Angriff überstehen. Dabei helfen einfache Schutzmaßnahmen bereits ungemein, den Schaden zu minimieren. Und richtig vorbereitet, kann ein Incident-Response-Team den Notbetrieb aufrechterhalten. Mehr zu diesem Thema erfahren Sie jetzt in der iX 3/2022.

(odi)