Die Zunahme von Ransomware mit vierfacher Erpressung und wie Sie sich davor schützen

Es ist allgemein bekannt, was Ransomware ist, aber kennen Sie auch die neuesten Taktiken, mit denen Cyberkriminelle Sie zur Zahlung zwingen wollen?

Die Zeiten sind vorbei, in denen Dateien bei einem Verschlüsselungsangriff einfach nur gesperrt wurden und Lösegeld in Form von einer Krypto-Währung als Gegenleistung für einen Entschlüsselungsschlüssel gefordert wurde, mit dem die Dateien wieder entsperrt werden können. Heute nutzen Cyberkriminelle häufig weitere Taktiken, um den Druck zu erhöhen, sodass Sie – selbst wenn Sie Ihre Systeme nach einem Verschlüsselungsangriff wiederherstellen können – genötigt sind, das Lösegeld trotzdem zu zahlen.

Dieser Artikel erläutert, was diese neuen Taktiken so gefährlich macht und wie Sie Ihr Unternehmen davor schützen können.

Ransomware-Gruppen haben ihre Angriffe weiterentwickelt und setzen nun auf raffiniertere Methoden, um Unternehmen noch stärker zu schädigen. Die Begriffe doppelte, dreifache und vierfache Erpressung beschreiben die neuen Taktiken, mit denen Cyberkriminelle Geld von ihren Opfern erpressen – selbst wenn diese ihre verschlüsselten kritischen Daten und Systeme wiederherstellen können. Die folgenden drei Taktiken finden immer häufiger Anwendung:

• Bei herkömmlichen Ransomware-Angriffen mit einfacher Erpressung werden die Dateien der Opfer verschlüsselt und Lösegeld gefordert, um diese wieder zu entschlüsseln. Meist können die Opfer die starke Verschlüsselung ihrer Dateien nicht aushebeln und müssen das Lösegeld zahlen, um den Entschlüsselungsschlüssel zu erhalten. Diese Taktik funktioniert jedoch seit einiger Zeit nicht mehr, da Unternehmen effektive Data Protection – in Form von gut implementierten und getesteten Backup-Technologien und -Prozessen – einsetzen, um verschlüsselte Systeme und Daten wiederherzustellen. Zudem können einige Opfer ihre Dateien entschlüsseln, ohne Lösegeld zahlen zu müssen, da durch die gemeinsame Arbeit von Strafverfolgungsbehörden, Technologieanbietern und der Benutzer-Community Entschlüsselungsschlüssel verfügbar sind, die infolge früherer Angriffe aufgedeckt wurden.

• Ransomware-Angriffe mit doppelter Erpressung sind eine immer häufiger genutzte Taktik, entstanden als Reaktion auf die erfolgreiche Wiederherstellung aus Backups, da verschlüsselte Daten auf diese Weise gerettet und die Geschäftsabläufe auch ohne Lösegeldzahlung wieder aufgenommen werden konnten. Bei dieser Taktik müssen die Cyberkriminellen große Mengen sensibler Daten unbemerkt exfiltrieren, bevor es zur Ausführung des Verschlüsselungsangriffs kommt. Die Lösegeldforderung enthält nun die Drohung, dass die Daten veröffentlicht werden, wenn das Opfer nicht zahlt. Dies kann äußerst wirkungsvoll sein, da die Veröffentlichung der Daten für das betroffene Unternehmen schwerwiegende Folgen haben kann: Vertrauensverlust bei der Kundschaft sowie bei Partnerfirmen, Beeinträchtigung des Aktienkurses bei börsennotierten Unternehmen sowie die Offenlegung wettbewerbsrelevanter Daten (z. B. unveröffentlichte Produkt-, Vertriebs- und Marketingpläne) und verfänglicher Informationen (z. B. sensible E-Mails). Außerdem müssen Unternehmen in regulierten Branchen möglicherweise mit Strafen für Compliance-Verstöße rechnen. So verlangt die europäische DSGVO von allen Unternehmen mit Kundschaft in der EU, dass sie die Vertraulichkeit und den Zugriff auf deren Daten schützen. Der HIPAA-Standard sieht Geldstrafen für US-Gesundheitsdienstleister vor, die es versäumen, Patientendaten zu schützen.

• Ransomware-Angriffe mit dreifacher Erpressung verleihen der Bedrohung mit doppelter Erpressung eine neue Dimension: Die Angreifer kontaktieren die Kundschaft sowie die Partnerfirmen des Opfers, um sie darüber zu benachrichtigen, dass ihre beim Opfer gespeicherten sensiblen Daten veröffentlicht werden könnten. Die Angreifer rufen die Kundschaft und Partnerfirmen dazu auf, Kontakt mit dem betroffenen Unternehmen aufzunehmen und es aufzufordern, das Lösegeld zu zahlen. Sollten sie dies nicht tun, könnten sie durch die Veröffentlichung ihrer eigenen Daten ähnliche Konsequenzen erleiden.

Fassen wir die Anwendung dieser Taktiken der Reihe nach zusammen:

Angriffe mit einfacher Erpressung

• Die Ransomware-Betreiber erlangen Erstzugriff, indem sie die externen Schutzmaßnahmen des Opfers kompromittieren und Verschlüsselungs-Malware installieren. Dies erfolgt meistens über Phishing-E-Mails mit schädlichen Links oder Anhängen, die von arglosen Anwender:innen geöffnet werden. Die Malware verschlüsselt unbemerkt die Dateien des betroffenen Systems und präsentiert danach eine Forderung nach Lösegeld in Form von Krypto-Währung (oder einem anderen, schwer nachverfolgbaren Zahlungsmittel wie Gutscheinkarten) als Gegenleistung für den Entschlüsselungsschlüssel.

• Raffiniertere Ransomware-Versionen verbreiten sich über das lokale Netzwerk und verschlüsseln andere Desktop-Rechner, Laptops und Server. Viele Versionen suchen und verschlüsseln Backup-Archive, Schattenkopien und andere Ressourcen, die zur Wiederherstellung verschlüsselter Dateien verwendet werden könnten.

Angriffe mit doppelter Erpressung

• Vor dem eigentlichen Verschlüsselungsangriff exfiltrieren die Ransomware-Betreiber heimlich eine große Menge sensibler Daten und kopieren sie in der Regel extern auf einen von ihnen kontrollierten Cloud-Server. Hierbei werden beispielsweise Living-off-the-Land-Taktiken eingesetzt, bei denen die Cyberkriminellen ein IT-Tool missbrauchen, das normalerweise für legitime Zwecke verwendet wird (z. B. eine Backup-Software), um die Exfiltration möglichst unauffällig durchzuführen. Anschließend erfolgt die Verschlüsselungsphase.

• In der Lösegeldforderung, die nach der Sperrung der Dateien angezeigt wird, wird nun damit gedroht, die sensiblen Daten des Opfers zu veröffentlichen, falls das Lösegeld nicht gezahlt wird.

Angriffe mit dreifacher Erpressung

• Nach den Phasen des Angriffs mit doppelter Erpressung kontaktieren die Ransomware-Betreiber die Kundschaft und Partnerfirmen des Opfers, um sie darüber zu benachrichtigen, das für sie relevante sensible Daten veröffentlicht werden könnten, wenn das Opfer kein Lösegeld zahlt. Diese „Kollateralopfer“ werden aufgefordert, Kontakt zum betroffenen Unternehmen aufzunehmen und es unter Druck zu setzen, das Lösegeld zu zahlen und ihre Informationen zu schützen.

Angriffe mit vierfacher Erpressung

• Zusätzlich zu den drei bisher genannten Taktiken enthält die Lösegeldforderung in diesem Fall die Drohung, die öffentlich zugänglichen Server des Ziels mit einer DDoS-Attacke (Distributed Denial of Service) stillzulegen, wenn das Lösegeld nicht gezahlt wird.

Einfache und doppelte Erpressungstaktiken treten derzeit am häufigsten auf, wobei die dreifache Erpressung immer weiter zunimmt. Die vierfache Erpressung ist nach wie vor die seltenste Taktik. Aktuelle Cyber Security-Analysen zeigen jedoch, dass sie immer mehr an Beliebtheit gewinnt, da die Angreifer neue Wege suchen, die Zahlung des Lösegelds sicherzustellen und zu beschleunigen.

Durch die Zunahme neuer Ransomware-Erpressungstaktiken müssen Unternehmen nicht nur die Abwehrmaßnahmen gegen Ransomware-Angriffe, sondern auch die Wiederherstellungsmöglichkeiten nach einem Angriff verbessern, falls es Cyberkriminellen gelingt, die Abwehrmaßnahmen zu überwinden.

Unternehmen sollte bewusst sein, dass Ransomware-Betrüger sehr opportunistisch vorgehen und Unternehmen jeder Größe, in jedem Land und in jeder Branche ins Visier nehmen. Bestimmte Branchen werden dabei bevorzugt angegriffen. Beispielsweise müssen Einrichtungen des Gesundheitswesens mit gravierenden Folgen rechnen, wenn kritische Systeme ausfallen. Finanzinstitute unterliegen zahlreichen branchenspezifischen und staatlichen Bestimmungen, Bildungseinrichtungen leiden unter knappen Budgets und einer Studentenschaft, die sich nicht um Cyber Security-Probleme kümmert, und Technologieunternehmen drohen erhebliche Rufschäden, wenn bekannt wird, dass sie Opfer von Cyberkriminalität geworden sind. Erfolgreiche Angriffe gibt es jedoch in jedem Sektor. 75 % der erfolgreichen Angriffe treffen kleine und mittlere Unternehmen, da diese häufig nicht über die nötigen Ressourcen und Fachkräfte verfügen, um wirksame Cyber Security-Maßnahmen und Recovery-Prozesse zu implementieren.

Aktuelle Untersuchungen und Medienberichte unterstreichen die zunehmende Häufigkeit, Raffinesse und das Ausmaß von Ransomware-Angriffen:

• Laut einem Cloudflare-Bericht vom Januar stiegen DDoS-Angriffe in Verbindung mit Ransomware im vierten Quartal 2021 um 29 %.

• Bandwidth.com, ein globales Cloud-Kommunikationsunternehmen, meldete Verluste von neun bis zwölf Millionen US-Dollar aufgrund eines DDoS-Angriffs. Dies war nur einer von vielen Angriffen auf Unternehmen, bei denen teilweise Lösegeld in Höhe von mehreren Millionen US-Dollar gefordert wurde.

• The Register berichtete, dass das britische Unternehmen VoIP Unlimited nach einem DDoS-Angriff eine „gigantische Lösegeldforderung“ erhielt, während der kanadische Anbieter VOIP.MS ein DDoS-Lösegeld in Höhe von 4,2 Millionen US-Dollar zahlen sollte. Es dauerte fast zwei Wochen, bis das Unternehmen den Kundendienst wiederherstellen konnte.

• Die Ransomware-Gruppe BlackCat setzt vierfache Erpressungstechniken ein, um die Opfer zur Zahlung von Lösegeld zu zwingen. Vor Kurzem hat die Ransomware-Gruppe ihre Forderung auf 2,5 Millionen US-Dollar erhöht.

Da nicht alle Ransomware-Angriffe gemeldet werden, ist es schwierig, die durchschnittlichen Zahlungen für Ransomware zu schätzen. Die Kosten variieren stark je nach Größe und Typ des betroffenen Unternehmens, der Menge an verschlüsselten Daten und der Lösegeldforderung. Allerdings beläuft sich die Gesamtsumme derzeit auf einen zweistelligen Milliardenbetrag pro Jahr.

Um das Risiko zu minimieren, Opfer von Ransomware-Angriffen jeglicher Art zu werden, müssen Unternehmen sowohl in Cyber Security als auch in Data Protection investieren, damit sie Angriffe nicht nur abwehren, sondern sich auch schnell von erfolgreichen Angriffen erholen können.

Ein umfassender Abwehrplan zur Minimierung von Datenverlusten und Ausfällen durch Ransomware-Angriffe umfasst die folgenden Schritte:

• Sichern Sie Ihre Daten regelmäßig. Bewahren Sie Ihre Backups an einem sicheren Ort auf, der nicht mit Ihrem Netzwerk verbunden ist. Auf diese Weise können Sie Ihre Daten auch dann wiederherstellen, wenn Ihr Netzwerk kompromittiert wurde.

• Implementieren Sie Sicherheitsmaßnahmen wie E-Mail-Filter, Spam-Blocker, Mehrfaktor-Authentifizierung und universelle Entschlüsselungsschlüssel, um das Risiko zu verringern, dass schädliche E-Mails in die Posteingänge der Angestellten gelangen.

• Halten Sie Ihre Software (z. B. Betriebssysteme, Webbrowser und Applikationen) mit den neuesten Sicherheitspatches auf dem aktuellen Stand. Dies verhindert, dass Cyberkriminelle bekannte Schwachstellen ausnutzen und sich Zugang zu Ihren Systemen verschaffen.

• Verwenden Sie Viren- und Malware-Schutz zur Erkennung und Abwehr von Ransomware-Angriffen. Achten Sie darauf, dass die Viren- und Malware-Schutzsoftware stets über die neuesten Definitionen verfügt.

• Implementieren Sie Netzwerksicherheitsmaßnahmen wie Firewalls, Systeme zur Erkennung und Abwehr von Eindringungsversuchen (IDS und IPS) sowie Netzwerksegmentierung, um Cyberkriminelle daran zu hindern, Zugang zu Ihren Systemen zu erhalten.

• Richten Sie DDoS-Schutzmaßnahmen ein, um das Risiko von Angriffen auf öffentlich zugängliche Server zu minimieren.

• Schulen Sie Ihre Angestellten über die Risiken von Ransomware-Angriffen und wie man sie vermeidet. Bringen Sie ihnen bei, wie sie Phishing-E-Mails und verdächtige Links erkennen und mutmaßliche Angriffe melden können.

• Stellen Sie einen Notfallplan für eventuelle Ransomware-Angriffe auf. Dieser sollte Maßnahmen umfassen, mit denen infizierten Systeme isoliert werden, die Verbindung zum Netzwerk getrennt wird und die Strafverfolgungsbehörden informiert werden. Zudem sollten Sie auf die Wiederherstellung von Daten aus Backups vorbereitet sein.

Acronis Cyber Protect ist eine integrierte Cyber Protection-Lösung, die Unternehmen bei der Abwehr aller möglichen Arten von Ransomware unterstützt. Die Lösung kombiniert Machine Learning und künstliche Intelligenz, um Ransomware-Angriffe zu erkennen und zu blockieren. Zudem bietet sie Wiederherstellungsoptionen für den Fall eines Angriffs.

Acronis Cyber Protect erkennt und blockiert Ransomware-Angriffe mithilfe eines mehrschichtigen Ansatzes. Heuristik und signaturbasierte Erkennung identifizieren bekannte Ransomware-Bedrohungen, während Verhaltensanalysen und Machine Learning-Technologien auch bisher unbekannte Bedrohungen erkennen können. Verhaltensänderungen, die auf einen bevorstehenden Angriff hinweisen könnten, werden durch künstliche Intelligenz festgestellt.

Im Falle eines Angriffs bietet Acronis Cyber Protect mehrere Wiederherstellungsoptionen. So kann die Lösung beispielsweise einzelne Dateien oder Ordner, die verschlüsselt wurden, sowie ganze Systeme wiederherstellen. Zudem bietet sie die Möglichkeit, von der Ransomware vorgenommene Änderungen rückgängig zu machen, sodass Sie die Daten auf eine Version vor dem Angriff zurücksetzen können.