Ransomware – und (k)ein Ende in Sicht
Dem aktuellen Ransomware-Report 2021 aus dem Hause Sophos zufolge nahm die Anzahl an Ransomware-Attacken etwas ab. Jedoch gehen Hacker gezielter vor, Angriffe werden immer raffinierter. Der erhöhte Anteil an Remote-Work führt zudem dazu, dass Angriffe auf IT-Outsourcing-Dienste sowie mobile Geräte im Trend sind. Ein richtiges Gegenmittel gibt es bislang noch nicht gegen Ransomware, jedoch haben Wissenschaftler:innen jüngst eine Methode vorgestellt, mit der Angriffe auf Firmware-Ebene gestoppt werden sollen. Im heutigen Beitrag sehen wir uns Sophos Ransomware-Report genauer an und blicken auf die Methode, mit der Wissenschaftler:innen Ransomware stoppen wollen.
Sophos Ransomware-Report 2021
Für den Ransomware-Report 2021 aus dem Hause Sophos befragte das Marktforschungsinstitut Vanson Bourne 5.400 mittelständische Betriebe in 30 Ländern. Darin zeigt sich eine erstaunliche Tendenz: Wenngleich Sicherheitsexperten davor warnen, Lösegelder zu zahlen, da im Nachhinein nicht klar ist, ob die Daten wirklich entschlüsselt werden, zahlen immer mehr Unternehmen. Im Jahre 2020 waren gerade 26 Prozent bereit, Lösegelder zu zahlen, im Jahr 2021 haben bereits 32 Prozent der Opfer Lösegelder gezahlt. Die Erhebung zeigt, dass es um keine Peanuts geht: Deutsche Unternehmen haben Hackern im Durchschnitt 1 Millionen Euro gezahlt, um verschlüsselte Daten zu entschlüsseln!
Aus der Welt ist das Problem mit Zahlung des Lösegelds jedoch nicht: Die Sophos-Studie untermauert, was Sicherheitsexperten aussagen, nämlich dass Unternehmen, die Lösegeld zahlten, lediglich 65 Prozent ihrer Daten zurückerhielten. Nur acht Prozent der Opfer war nach Lösegeldzahlung in der Lage, alle Daten komplett zu entschlüsseln.
Ransomware bei jedem dritten Mittelständler
Die Studie zeigt außerdem, dass Ransomware eine der häufigsten Attacken auf Unternehmen ist: 37 Prozent der befragten mittelständischen Unternehmen weltweit, also etwa jeder Dritte, war im vergangenen Jahr von Ransomware betroffen. Hierzulande waren sogar 46 Prozent, also fast die Hälfte, mit Ransomware-Angriffen konfrontiert.
Immerhin: Die Anzahl der Angriffe mit Ransomware nahm ab. Mit 54 Prozent in 2017 und 51 Prozent in 2020 waren mehr Unternehmen betroffen als in 2021 (37 Prozent). Laut den Studienautoren liegt dieser sinkende Trend an besseren Vorbereitungen seitens der Unternehmen: Unternehmen wären in der Lage gewesen, Angriffe zu stoppen, bevor die Datenverschlüsselung begann.
Ransomware-Angriffe werden gezielter
Grund zur Entwarnung ist dies nicht: die zurückgehenden Zahlen seien, wie man bei Sophos nach einer Analyse des Angriffsverhaltens feststellte, auch auf die Professionalisierung der Cyberkriminellen zurückzuführen. Viele Hacker würden sich nicht mehr auf groß angelegte und automatisierte Attacken, sondern auf gezielte manuelle Angriffe fokussieren, und derartige Angriffe haben ein immenses Schadenspotenzial.
Vermehrt kommt es den Studienautoren zufolge auch zu sogenannten Extortion-Attacken: Die Angreifenden verschlüsseln hierbei keine Daten, sondern sie drohen mit dem Veröffentlichen von sensiblen Unternehmensdaten, wenn kein Lösegeld gezahlt wird. Damit sind Extortion-Angriffe nicht nur weniger aufwendig, sondern meist auch lukrativer: Mit Verweis auf drastische Geldstrafen beim Verletzen des Schutzes personenbezogener Daten treiben die Kriminellen ihre Forderungen massiv in die Höhe.
Varonis-Studie: Attacken um 148 Prozent gestiegen
Einem Blogbeitrag von Sicherheitsanbieter Varonis zufolge, der detaillierte Studienergebnisse enthält, sind Angriffe in der Corona-Krise aufgrund der Remote-Arbeit um 148 Prozent gestiegen! Dabei haben die Analysten des Incident Responsse Teams von Varonis Systems folgende Trends beobachtet:
- IT-Outsourcing-Dienste missbraucht: Ransomware-Gruppen verlagern ihren Fokus auf Managed Service Provider (MSPs) und damit auf Plattformen, auf die viele Kunden zugreifen. So gelingt es Angreifenden, nicht nur einen Dienstleistenden, sondern zusätzlich dessen Kunden zu kompromittieren.
- Angriffe auf anfällige Branchen: Den Sicherheitsforschenden zufolge fokussierten sich Angreifende auf von der Corona-Krise betroffene Branchen, etwa das Gesundheitswesen, aber auch Kommunen oder Bildungseinrichtungen. Gefährdet seien den Analysten zufolge jene Mitarbeitenden, die mit privaten Geräten vom Homeoffice aus arbeiten.
- Weiterentwickelte Ransomware: Auch Kriminelle feilen an ihren Techniken. Wie schon die Sophos-Studie zeigte, entwickeln Cyberkriminelle sich weiter. Sie optimieren Techniken und Taktiken, gehen mit anderen Gruppen Verbindungen ein und arbeiten intensiver zusammen. Auch die Schadsoftware selbst wird ständig weiterentwickelt. Frühere Ransomware-Varianten haben schnell und einfach so viele Daten wie möglich verschlüsselt. Heutige Angriffe sind zielgerichteter, wie schon weiter oben ausgeführt.
- Angriffe auf Mobilgeräte: Verstärkt nutzen Cyberkriminelle auch Funktionen von Mobilgeräten aus, um Ransomware zu verbreiten. Viele mobil optimierte Ransomware-Varianten können Browserfenster oder Apps mit Lösegeldforderungen versehen, sodass das Mobilgerät unbrauchbar wird.
- RaaS nimmt zu: Ransomware-as-a-Service, kurz: RaaS, ist eine Art Dienstleistungsservice, bei dem Kriminelle Ransomware buchen können. Fertig entwickelte Ransomware-Tools ermöglichen es auch weniger versierten Angreifenden, ihre Opfer stark zu treffen. Hinzu kommt die für die Kriminellen praktische Tatsache, dass Angriffe sich so schwerer zurückverfolgen lassen – Strafverfolgungsbehörden haben es schwer, wenn Angriffe dezentral stattfinden. Die Tool-Entwickler erhalten Anteile an den Lösegeldern, sodass sich RaaS für beide Seiten lohnt, während die Gefahr für Unternehmen und Privatpersonen steigt.
Lösung in Sicht: Ransomware auf Firmware-Ebene stoppen
Derzeit ist es schwer, sich gegen Ransomware zu wappnen – es hilft nur ein Arsenal aus verschiedenen Sicherheitsmechanismen, welches wir Ihnen in unserem Beitrag „REvil in Aktion: Ransomware-Angriffe nehmen zu“ vorgestellt haben. Ein einziges Tool zum Schutz gegen Ransomware existiert nicht. Doch eine Gruppe südkoreanischer und US-amerikanischer Forschenden könnte jetzt auf einen Ansatz gestoßen sein, der in einem Paper in der Fachzeitschrift IEEE Transactions on Computer nachzulesen ist:
Dafür ist es unabdingbar, dass das System auf SSD-Speicher, nicht auf magnetische Festplatten setzt. Die SSD-Firmware, so die Idee der Forschenden, könnte selbstständig erkennen, ob das System mit Ransomware angegriffen wurde. Werden bei der Datenverschlüsselung bekannte Muster erkannt, ließe sich durch die Firmware die Datenverschlüsselung unterbrechen. Nicht nur bereits laufende Angriffe sollen unterbrochen werden können. Sondern das System „nutzt die Betriebseigenschaften einer SSD, die alte Datenversionen aufbewahrt“, wie es im Paper heißt. So gelänge es, „Originaldateien ohne zusätzliche Kopien [zu] sichern und infizierte Dateien bei Bedarf sofort zurück[zu]setzen“. Zu einem Datenverlust käme es also nicht.
Die Forschenden haben ihre Idee mit verschiedenen Ransomware-Varianten geprüft. Tatsächlich beeindruckt das Ergebnis: Alle Versuche der Datenverschlüsselung wurden automatisiert gestoppt. Sind doch Schäden entstanden, ließen sich diese binnen Sekunden beseitigen. Ein interessanter Ansatz, der – so bleibt zu hoffen – der Beginn einer guten Wehrhaftigkeit gegen Ransomware sein könnte.
Schreibe einen Kommentar