Ransomware-Angriffe: Auf was sich Unternehmen einstellen sollten

• Die Folgen von Ransomware sind am stärksten in den USA zu spüren. Dort verzeichneten die Forscher von Zscaler in den letzten zwölf Monaten fast die Hälfte der Ransomware-Angriffe.
• Die Kunst-, Unterhaltungs- und Freizeitbranche erlebte den größten Anstieg von Ransomware-Angriffen mit einer Wachstumsrate von über 430 Prozent.
• Die Fertigungsbranche ist mit fast 15 Prozent der gesamten Ransomware-Angriffe nach wie vor der am stärksten betroffene Industriezweig. Dahinter folgt der Dienstleistungssektor, auf den im vergangenen Jahr etwa 12 Prozent der gesamten Ransomware-Angriffe entfielen.
• In diesem Jahr wurden 25 neue Ransomware-Familien identifiziert, die Angriffe mit doppelter Erpressung oder Erpressung ohne Verschlüsselung einsetzen.

Der diesjährige Report „ThreatLabz Ransomware 2023“ von Zscaler verfolgt die anhaltende Zunahme komplexer Ransomware-Angriffe und beleuchtet die jüngsten Trends, wie Ausrichtung auf öffentliche Einrichtungen und Organisationen mit Cyber-Versicherungen, das Wachstum von Ransomware-as-a-Service (RaaS) und verschlüsselungslose Erpressung. Seit April 2022 hat ThreatLabz im Rahmen erfolgreicher Ransomware-Angriffe den Diebstahl von mehreren Terabyte an Daten festgestellt. Diese wurden dann zur Erpressung von Lösegeld verwendet.

„Ransomware-as-a-Service hat zu einem stetigen Anstieg von ausgefeilten Ransomware-Angriffen beigetragen. Die Malware-Autoren operieren zunehmend unter dem Radar, indem sie auf verschlüsselungslose Angriffe setzen, die mit einer großen Menge an gestohlenen Daten einhergehen. Organisationen sollten herkömmliche Sicherheitsprodukte hinter sich lassen und zu einer ganzheitlichen Zero Trust-Plattform migrieren. Diese trägt zu einer Reduktion der Angriffsfläche bei, verhindert Kompromittierung und dämmt die Auswirkungen erfolgreicher Angriffe ein sowie beugt der Datenexfiltrierung vor“, sagt Deepen Desai, Global CISO und Head of Security Research bei Zscaler.

Ransomware-Angriffe werden immer ausgefeilter

Die Entwicklung von Ransomware ist durch das umgekehrte Verhältnis zwischen der Raffinesse der Angriffe und der Einstiegshürde für neue cyberkriminelle Gruppen bestimmt. Die Einstiegshürde sank, während die Cyberangriffe immer ausgefeilter wurden, was auf die zunehmende Verbreitung von RaaS zurückzuführen ist. Bei diesem Geschäftsmodell verkaufen die Bedrohungsakteure ihre Dienste für 70 bis 80 Prozent der Ransomware-Gewinne über das Dark Web. Dieses Modell hat in den letzten Jahren weiter an Popularität gewonnen, was die Häufigkeit von Ransomware-Angriffen verdeutlicht, die um fast 40 Prozent gestiegen ist. Ein weiterer Trend von Cyberangriffen 2023 ist das Wachstum der verschlüsselungslosen Erpressung. Hierbei bevorzugen Angreifer die heimliche Datenexfiltration gegenüber störenden Verschlüsselungsmethoden.

Die wichtigsten Länder im Visier von Ransomware

Die USA waren am häufigsten Ziel von Ransomware-Angriffen mit doppelter Erpressung, denn 40 Prozent aller Opfer waren in dieser Region beheimatet. Kanada, Großbritannien und Deutschland kombiniert, hatten zusammen weniger als die Hälfte der Angriffe im Vergleich zu den USA. Zu den am weitesten verbreiteten Ransomware-Familien, die Zscaler ThreatLabz beobachtet hat, gehören BlackBasta, BlackCat, Clop, Karakurt und LockBit. Diese stellen alle eine erhebliche Bedrohung für finanzielle Verluste, Datenverletzungen und Betriebsunterbrechungen für Mitarbeitende und Unternehmen jeder Größe dar.

Im vergangenen Jahr war die am häufigsten angegriffene Branche weltweit die Fertigungsindustrie, die für ihre Abhängigkeit von geistigem Eigentum und kritischer Infrastruktur bekannt ist. Beides sind attraktive Ziele für Ransomware-Gruppen. Alle von Zscaler verfolgten Ransomware-Gruppen zielten auf Unternehmen in dieser Branche ab. Sie hatten unter anderem Unternehmen im Visier, die in der Produktion von Waren für die Automobil-, Elektronik- und Textilindustrie tätig sind. Die BlackBasta-Ransomware-Familie war besonders an Fertigungsunternehmen interessiert und führte mehr als 26 Prozent ihrer Angriffe auf diese Branche durch.

Ransomware-Angriffe: aktuelle Trends

Im Jahr 2021 beobachtete ThreatLabz 19 Ransomware-Familien, die bei ihren Cyberangriffen einen doppelten oder mehrfachen Erpressungsansatz verfolgen. Diese Zahl ist inzwischen auf 44 beobachtete Ransomware-Familien gestiegen. Diese Art von Angriffen ist deshalb so beliebt, weil die Angreifer nach der Verschlüsselung der gestohlenen Daten mit deren Veröffentlichung drohen, um den Druck auf die Opfer zu erhöhen. Die zunehmende Beliebtheit von verschlüsselungslosen Erpressungsangriffen mit Überspringen des Verschlüsselungsvorgangs beruht auf der gleichen Taktik. Dabei wird den betroffenen Unternehmen gedroht, die gestohlenen Daten online zu veröffentlichen, wenn diese die Lösegeldzahlung verweigern.

Diese Taktik beschert den Ransomware-Gruppierungen schnellere und größere Gewinne, da die Softwareentwicklungszyklen und der Entschlüsselungssupport entfallen. Außerdem sind diese Angriffe schwieriger zu entdecken. Zudem beachten diese Behörden weniger, da sie keine wichtigen Dateien und Systeme sperren oder mit der Wiederherstellung verbundene Ausfallzeiten verursachen. Daher stören verschlüsselungslose Erpressungsangriffe ihre Opfer in der Regel nicht in ihrem Geschäftsbetrieb, was wiederum zu einer geringeren Meldequote führt. Ursprünglich begann der Trend zur verschlüsselungslosen Erpressung mit Ransomware-Gruppen wie Babuk und SnapMC. Im Laufe des letzten Jahres übernahmen eine Reihe neuer Familien diese Taktik, darunter Karakurt, Donut, RansomHouse und BianLian.

Maßnahmen zur Reduzierung der Sicherheitsrisiken

Zum Schutz vor Ransomware trägt ein mehrschichtiger Verteidigungsansatz dazu bei, das Gesamtrisiko zu verringern und die Wirksamkeit von Angriffen in jeder Phase zu reduzieren – von der anfänglichen Kompromittierung über die seitliche Bewegung und die Datenexfiltration bis hin zur Ausführung der Payload. Die Zero-Trust-Exchange-Plattform von Zscaler sorgt durch das Zero-Trust-Rahmenwerk für umfassenden Schutz. Darüber hinaus empfehlen sich folgende vier Maßnahmen zur Risikoreduktion:

1. Verhindern der Erstinfektion: Durch die Umsetzung konsistenter Sicherheitsrichtlinien mit umfangreicher SSL-Inspektion, Browser Isolation, inline Sandboxing und richtlinienbasierter Zugriffskontrolle können Organisationen den Zugang zu Webseiten mit Schadcode unterbinden. Sie blockieren auf diese Weise Kanäle für das Zustandekommen der Erstinfektion und verhindern, dass Schadcode User erreicht.
2. Kompromittierte User und Insider Bedrohungen stoppen: Durch eine Kombination von inline Application Inspection und Identity Threat Detection & Response (ITDR) mit integrierten Täuschungskapazitäten können Organisationen potenzielle Angreifer aufspüren, in die Irre führen und stoppen. Unabhängig davon, ob es sich um interne oder externe Angreifer handelt.
3. Die Angriffsfläche reduzieren und laterale Bewegungen eliminieren: Angreifer werden daran gehindert, sich innerhalb des Unternehmensnetzes fortzubewegen, wenn Anwendungen vom Internet abgekoppelt werden und eine Zero Trust Network Access (ZTNA)-Architektur zum Einsatz kommt. Auf diese Weise werden User direkt mit Anwendungen und Anwendungen untereinander verbunden, ohne das Netzwerk, wodurch sich Sicherheitsvorfälle eindämmen lassen.
4. Schutz vor Datenverlust: Die Implementierung von Inline Data Loss Prevention mit vollständiger TLS-Inspektion sorgt für die sorgfältige Überwachung von Daten im Transit und ohne Bewegung und unterbindet Datendiebstahlsversuche. Das regelmäßige Update von Software und umfangreiche Schulungsmaßnahmen helfen zudem, den Angreifern einen Schritt voraus zu bleiben.

Zur Methodik der Studie

ThreatLabz hat Daten aus der Zscaler Security Cloud ausgewertet, die täglich mehr als 500 Billionen Signale überwacht und acht Milliarden Bedrohungen pro Tag blockiert. Hierbei werden täglich mehr als 250.000 Sicherheits-Updates durchgeführ. ThreatLabz analysierte ein Jahr lang globale Phishing-Daten aus der Zscaler-Cloud von April 2022 bis April 2023. Damit konnte das Team wichtige Trends, gefährdete Branchen und Regionen sowie neue Taktiken ermitteln. In diesem Jahr ergänzte das ThreatLabz-Team seine eigene Analyse von Ransomware-Samples und Angriffsdaten mit externer Sicherheitsintelligenz.

Mit der Zero Trust Exchange und die Umsetzung der Sicherheits-Best-Practices von Zscaler können Unternehmen ihre Mitarbeiter, Workloads, IoT- & OT-Geräte und B2B-Connectivity schützen. Damit sind ihre wertvollen Daten sicher geschützt angesichts der sich schnell entwickelnden Bedrohungslandschaft. Die SSE-basierte Plattform ist über mehr als 150 Rechenzentren verteilt und ist die weltweit größte Inline-Cloud-Sicherheitsplattform. (sg)

Lesen Sie auch: Cyberangriff: 8 Schritte, um den ersten Angriff zu bewältigen