Auf Eis gelegt: Ransomware entschlüsselt
Ransomware ist eine der fatalsten Cyberbedrohungen, mit denen Unternehmen jeder Grösse heute konfrontiert sind. Denn diese Cyberattacken können den Geschäftsbetrieb buchstäblich einfrieren.
Was oft mit einem einfachen Klick auf einen Link in einer harmlos anmutenden E-Mail beginnt, kann zu einem kompletten Stillstand des Geschäftsbetriebs führen – bis das Lösegeld gezahlt wird und leider häufig auch darüber hinaus. Denn auch die Zahlung des Lösegelds ist keineswegs ein Garant dafür, dass die Daten entschlüsselt und Systeme wieder freigegeben werden. Laut Proofpoints aktueller State-of-the-Phish-Untersuchung berichten 66 Prozent aller befragten Unternehmen über einen aus Sicht der Cyberkriminellen erfolgreichen Ransomware-Angriff während der vergangenen zwölf Monate. Von den 34 Prozent, die einer Zahlung nachkamen, erhielten aber lediglich 60 Prozent daraufhin wieder Zugriff auf ihre Daten beziehungsweise Systeme. 32 Prozent konnten erst nach erneuter (einer zweiten) Zahlung wieder auf ihre Daten zugreifen. Bei 8 Prozent der Unternehmen führte der Ransomware-Angriff zu einem dauerhaften Verlust der Daten. Im Vergleich zum Vorjahr fällt vor allem auf, dass sich Nachforderungen mehr und mehr zu etablieren scheinen. Deren Zahl nahm im Jahresvergleich um satte 320 Prozent zu.
Vier Trends
Obwohl jeder Ransomware-Angriff einzigartig ist, lassen sich bei der Analyse der publik gewordenen Attacken der vergangenen Monate vier Trends beobachten, die all diese Angriffe gemeinsam hatten:
Es ist eine zunehmende Spezialisierung in der Angriffskette zu beobachten. So fällt auf, dass hier in einem mehrstufigen Verfahren sogenannte Initial Access Broker die Opfer mit einer ersten Payload kompromittieren. Diese Kompromittierung erfolgt sehr oft über den Angriffsvektor E-Mail, wobei beispielsweise ein Malware-Downloader wie The Trick, Dridex oder Buer Loader zum Einsatz kommt. Ist der Zugang etabliert, wird dieser – meistbietend – an Ransomware-Betreiber verkauft.
Ein zweiter deutlich erkennbarer Trend ist, dass nicht mehr länger breit gestreute und vollständig automatisierte Angriffe vorherrschen. Heute führen Ransomware-Betreiber umfangreiche Überwachungsmassnahmen durch, um hochwertige Ziele zu identifizieren. Dabei werden sowohl technische Schwachstellen evaluiert, aber auch die Wahrscheinlichkeit, dass das Opfer Lösegeld in der geforderten Höhe zahlen wird.
Die Analyse jüngster Angriffe zeigt zudem, dass insbesondere Unternehmen und Organisationen solcher Branchen ins Visier genommen werden, bei denen die Auswirkungen einer längeren Betriebsunterbrechung besonders kritisch zu sehen ist.
Und viertens darf die Rolle der E-Mail nicht unterschätzt werden. Wie im ersten Punkt kurz erläutert, spielt sie eine entscheidende Rolle bei der Verbreitung von Ransomware, insbesondere bei grösseren Unternehmen.
Technologie, Menschen und Prozesse als Dreizack der Ransomware-Abwehr
Die meisten Ransomware-Angriffe beginnen, wie erläutert, mit einer E-Mail, die versucht, über die Kompromittierung mit einem Malware-Downloader die Tür zur Organisation zu öffnen. Es lässt sich viel erreichen, indem das Einfallstor «E-Mail» mit fortschrittlichen E-Mail-Sicherheitstechnologien genauestens kontrolliert wird. Denn wenn der Malware-Downloader schon im ersten Schritt blockiert wird, dann hat auch die Ransomware selbst keine Chance. Die zweite Spitze des Dreizacks sind die Mitarbeitenden in den Unternehmen selbst, die mit entsprechenden Schulungen nicht nur informiert, sondern tatsächlich darauf trainiert werden müssen, moderne Angriffe zu identifizieren und zu vermeiden. Und schliesslich gilt es jetzt einen Notfallplan zu erstellen, der die Prozesse beschreibt, sollte es doch einmal zu einem erfolgreichen Ransomware-Angriff kommen.
===========
Durch simulierte Angriffe kommt es zu einer verstärkten Lernerfahrung
Awareness-Trainings sollen langfristig zur IT-Sicherheit beitragen. Das klappt jedoch nur dann, wenn die Mitarbeitenden aktiv in die Cyberabwehr eingebunden werden. Wie das gelingt und was eine gute Ransomware-Abwehr ausmacht, erklärt Werner Thalmeier, VP EMEA Systems Engineering and Technical Sales, Proofpoint. Interview: Marc Landis
Sie beschreiben Technologie, Menschen und Prozesse als Dreizack der Ransomware-Abwehr. Welcher dieser drei «Zacken» ist der wichtigste? Und Warum?
Werner Thalmeier: Um eine starke Abwehr aufzubauen, ist die Kombination aus Technologie, Menschen und Prozessen unerlässlich. Während alle drei wichtig sind, lässt sich jedoch zweifelsohne eine Priorisierung vornehmen. Die E-Mail ist ein so weit verbreiteter Angriffsvektor, dass man zuerst mittels technologischer Mittel die Flut von Bedrohungen stoppen muss, die Mitarbeitende tagtäglich erreichen. Wurde diese Flut in einem ersten Schritt effektiv eingedämmt, müssen Mitarbeitende darin geschult werden, zielgerichtete Bedrohungen zu erkennen und ihre individuelle Verantwortung zu verstehen. Die Prozesse tragen letztlich dazu bei, eine Rückkoppelung zu schaffen. Wenn Mitarbeitende Bedrohungen erkennen und aktiv melden können, können diese Mails sodann automatisiert aus den Postfächern aller Mitarbeitenden zurückgerufen werden, wodurch sich das Risiko für das Unternehmen insgesamt weiter reduziert.
Welche Technologien eignen sich, um E-Mails sicher zu machen?
Im Bereich der E-Mail-Bedrohungen gibt es grosse Unterschiede. Beispielsweise lässt sich bestimmte, bereits bekannte Malware technologisch noch relativ einfach identifizieren und damit auch vor der Zustellung an die Postfächer stoppen. Andere Bedrohungsformen hingegen kommen ganz ohne Schadcode aus – etwa der CEO Fraud (auch Chefmasche genannt). Hier trennt sich dann in puncto Sicherheitstechnologie die Spreu vom Weizen. Manche Firmen überlegen, beim CEO-Betrug rein auf die Sensibilisierung und Schulung der Mitarbeitenden zu vertrauen. Obgleich hier Security Awareness sicherlich wichtig ist, darf man unserer Ansicht nach allerdings den schwarzen Peter nicht nur den Mitarbeitenden zuschieben. Gerade E-Mails, die einen vertrauenswürdigen Absender imitieren, sind oft so gut gemacht, dass sie trotz umfassender Schulung nur schwer als Fälschungen zu enttarnen sind. Bei der Wahl einer Technologie ist es deshalb wichtig, darauf zu achten, dass sowohl bekannte als auch unbekannte Bedrohungen abgefangen werden, darunter gängige E-Mail-Bedrohungen wie Phishing und Malware, aber auch CEO Fraud.
Wie können Mitarbeitende sensibilisiert werden, dass sie moderne Angriffe identifizieren und vermeiden können?
Wir beobachten häufig, dass Sicherheitsschulungen – bildlich gesprochen – wie eine One-Size-Fits-All-Mütze über alle Mitarbeitenden gestülpt werden. Und das in schöner Regelmässigkeit einmal oder zweimal pro Jahr. Wenn das Ziel jedoch ist, das Risiko erfolgreicher Angriffe zu senken, ist dieser Ansatz wenig erfolgversprechend. Hier gilt es zuerst festzustellen, mit welchem Status quo man es zu tun hat. Wie stellt sich die Bedrohungslandschaft dar? Mit welchen Bedrohungen wird die Belegschaft oder werden einzelne Mitarbeiter angegriffen? Und wie sieht es analog dazu bei den Kenntnissen rund um Cybersicherheit, Datensicherheit und Compliance aus? Erst dann können passgenaue Schulungen zugewiesen werden, die für den Mitarbeiter selbst höchst relevant sind und auch effektiv dazu beitragen, das Sicherheitsniveau zu verbessern. Durch simulierte Angriffe – hier werden echte Angriffs-Mails als Vorlagen verwendet – kommt es zu einer verstärkten Lernerfahrung. Indem Mitarbeitende aktiv in die Abwehr von Cyberangriffen eingebunden werden, wenn sie etwa über eine Schaltfläche verdächtige Mails melden können und auch Feedback zu ihrer Meldung erhalten, entsteht eine Cybersicherheitskultur im Unternehmen.
Wie sieht ein generischer Notfallplan aus, der hilft, einen Ransomware-Angriff abzuwehren?
Wir empfehlen hier einen Sechs-Punkte-Plan – um Angriffe abzuwehren, aber auch um handlungsfähig zu bleiben, sollte ein Angriff doch einmal erfolgreich sein: Erstens: Gateways zum Unternehmen absichern. Zweitens: Fokus auf Angriffsvektoren. Drittens: Diebstahl von Zugangsdaten engmaschig prüfen und verhindern. Viertens: Offline-Backups (wieder) einführen. Fünftens: In Backup-Analyse-Software investieren. Und sechstens: Ransomware-Leitfaden prüfen – und sofern noch nicht vorhanden, alles andere beiseitelassen und sofort einen solchen Leitfaden erstellen! Einige der Punkte sind sicherlich selbsterklärend, doch zum dritten Punkte würde ich gerne noch etwas anmerken: Wir beobachten immer häufiger, dass der Diebstahl von Anmeldedaten beziehungsweise die Übernahme von Cloud-Accounts zum initialen Startschuss für andere Angriffe wie Datendiebstahl, Manipulation von Daten oder die Installation von Ransomware wird. Der (versuchte) Diebstahl von Zugangsdaten ist damit ein Frühindikator dafür, dass Angriffe auf das eigene Unternehmen geplant sind. Deshalb ist hier grösste Aufmerksamkeit geboten.
Apple präsentiert generatives KI-Modell OpenELM
Hamster entrinnt dem Regenbogen-Labyrinth
Ein Puck, sie zu binden
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
visiONstage – wo Business auf Zukunft trifft
Bitdefender startet Förderprogramm für Start-ups
Die Stimmen zu den Best of Swiss Web Awards 2024
IBM übernimmt Hashicorp
Protonmail lanciert Dark Web Monitoring
