KnowBe4 kommentiert: Ransomware hoch zwei, drei und vier

Jelle_Wieringa_neu_klein

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Einige Security-Hersteller sorgen derzeit für Schlagzeilen, da sie die Ransomware-Infektionen als Double, Triple wie von Check Point Software und Quadruple Extortion bezeichnen. Die Begriffe weichen inhaltlich davon ab, wie die unterschiedlichen Vorgehensweisen der Erpresser bewertet werden. Letztlich scheint es aber so zu sein, dass die Cyberkriminellen nicht mehr nur die Daten per Ransomware verschlüsseln, stehlen und mit Veröffentlichung drohen, sondern auch noch per Denial of Service (DoS) den Opfern drohen, sollten sie den Lösegeldforderungen nicht nachkommen. Darüber hinaus werden auch noch im Falle von Supply Chain-Attacken die weiteren Betroffenen Lieferanten, Partner, Kunden und Mitarbeiter von den Kriminellen informiert, um eine weitere Drohkulisse aufzubauen. Zuletzt werden die Informationen noch an die Medien gespielt, sodass über eine Berichterstattung der Fall publik wird. Dies alles zeigt, dass Erpresser zunehmend professioneller vorgehen und der Business Case Ransomware so lukrativ ist, dass ganze Strategien ringsherum erarbeitet und die nötigen Personen beschäftigt werden, die den Business Case dann umsetzen.

Die Ransomware-Welt könnte aus Sicht der Cyberkriminellen also nicht rosiger sein, doch es gibt auch Molltöne, und der aktuelle Report von Coveware deutet den Grund dafür an. In dem Report wurde ein massiver Rückgang der durchschnittlichen Lösegeldzahlungen festgestellt – etwas mehr als 136.000 US-Dollar, ein Rückgang um 38 Prozent gegenüber dem ersten Quartal dieses Jahres. Dennoch stieg der Prozentsatz der Ransomware-Angriffe, bei denen die Gefahr besteht, dass exfiltrierte Daten durchsickern, in diesem Quartal um fünf auf 81 Prozent. Die Summe des erpressten Geldes wird also geringer, die Anzahl der Angriffe steigt jedoch – und das rasant. Immer weniger Opfer wollen jedoch das Lösegeld zahlen, der IT-Hersteller Kaseya will kein Geld gezahlt haben und die Kreisverwaltung Anhalt-Bitterfeld weigert sich beharrlich und hat sogar die Bundeswehr eingeschaltet.

Neben der Verweigerung einer Lösegeldzahlung, die auch die oben beschriebenen neuen Methoden der zwei-, drei- und vierfachen Erpressung rechtfertigen würde, könnte es aber auch andere Faktoren geben. Der Report von Coveware gibt an, dass es neue Ransomware-Varianten gebe, die andere verdrängt haben. Das könne Insidern zufolge mit neuen Gruppen zusammenhängen, die weniger Lösegeld fordern als etablierte Gruppen. Nachdem zum Jahreswechsel die Emotet-Erpresser von den Strafverfolgungsbehörden festgesetzt wurden, scheint nun die Ransomware-Gruppe REvil durch politisch-polizeilichen Druck verschwunden zu sein. Auch wenn es Spekulationen über den Verbleib der Betreiber gibt, die von Urlaub über Gefängnis bis zu neuerlichen Aktivitäten unter dem Deckmantel einer neuen Ransomware reichen, nimmt die Strafverfolgung im Netz Fahrt auf. Ein weiterer Grund – und hier schwingt viel Hoffnung mit – ist, dass Unternehmensleiter weltweit erkannt haben, dass sie ihre Maßnahmen für mehr IT-Sicherheit und Informationssicherheit erhöhen müssen.

Was auch immer der Grund für die gesunkenen Lösegeldzahlungen ist, die Coveware-Analyse zeigt, dass Unternehmen jeder Größe nach wie vor angegriffen werden und Opfer von Ransomware werden können. Unternehmen sollten daher Maßnahmen ergreifen, um sich vor den drei primären Angriffsvektoren zu schützen. Häufigste Ansatzpunkte sollten Schwachstellen in Netzwerk und Software, Fernzugriff über RDP und Schutz gegen Phishing sein. Dafür müssen Unternehmen ihre Mitarbeiter mit einem New School „Security Awareness Training“ schulen, damit diese nicht auf bösartige E-Mail-Inhalte hereinfallen.