Die Rolle von KI und ML beim Schutz vor Ransomware

Ransomware ist eine Bedrohung, die alle angeht – alle Unternehmen aller Größen und Branchen in allen Ländern. Doch das ist nur die erste schlechte Nachricht. Die zweite ist, dass die Bedrohungen zunehmend komplexer, raffinierter und umfangreicher werden. Cyberkriminelle feilen kontinuierlich an neuen Taktiken und setzen auf neue Technologien, um ihre Angriffe noch effektiver zu machen.

Laut dem Acronis Cyberthreats Report waren ganze 30,6 % aller im Jahr 2022 empfangenen E-Mails Spam-Nachrichten und rund 1,6 % enthielten Phishing-Links oder Malware. Bei 76 % aller erfolgreichen Angriffe kam Phishing zum Einsatz, während rund 8 % der Endpunkte versucht haben, auf gefährliche URLs zuzugreifen. Und die Angriffe nehmen an Häufigkeit zu: Der IBM Security X-Force Threat Intelligence Index 2023 zeigte eine Verkürzung der durchschnittlichen Bereitstellungszeit von Ransomware-Angriffen um 94 %. Was im Jahr 2019 noch etwas mehr als zwei Monate brauchte, dauerte 2021 nur noch vier Tage.

Auch die Bedrohungsakteure gehen immer raffinierter vor. Sie optimieren ihre Techniken und Strategien und setzen auf künstliche Intelligenz (KI) sowie Machine Learning (ML), um die Effektivität und Wirkung ihrer Angriffe zu steigern. Ransomware-Angriffe beschränken sich längst nicht mehr auf Verschlüsselung, sondern sie führen doppelte und dreifache Attacken durch, zum Beispiel indem sie erst Daten exfiltrieren und das Opfer anschließend damit erpressen, die Daten bei Nichtzahlung des Lösegelds zu veröffentlichen oder an Kund:innen und Partner preiszugeben. Dadurch wird der Druck auf Ihr Unternehmen weiter erhöht, das Lösegeld zu zahlen.

Zu den neuen Strategien gehören der Einsatz generativer KI-Tools wie ChatGPT zur Erstellung von Phishing-E-Mails, die selbst misstrauische Angestellte täuschen können, und die Verbesserung von Angriffen mithilfe von Maschinenintelligenz. Dadurch werden sowohl die Ransomware-Prävention als auch der eigentliche Ransomware-Schutz erschwert. Deshalb müssen überlegt handelnde Unternehmen ihrerseits auf KI und ML setzen, um der wachsenden Ransomware-Bedrohung Herr zu werden.

Leider sind herkömmliche Ransomware- und Malware-Schutzlösungen nicht in der Lage, aktuelle Cyberbedrohungen effektiv abzuwehren. Da sie lediglich auf Signaturabgleich setzen – der keine bislang unbekannten Zero-Day-Bedrohungen identifizieren kann –, können sie Bedrohungen beim Ersteinsatz nicht erkennen. Malware-Schutzlösungen fällt es schwer, Bedrohungen zu erkennen, die mithilfe von Exfiltration und Verschlüsselung wichtige Informationen erfassen.

Alle Unternehmen, die weiterhin ausschließlich herkömmliche Ransomware- und Malware-Schutzlösungen einsetzen, gefährden damit nicht nur sich selbst, sondern auch ihre Kundschaft und Partner. Zur Abwehr aktueller Ransomware-Bedrohungen ist ein umfassenderer und mehrschichtiger Ansatz erforderlich. Durch die Implementierung fortschrittlicher Technologien, die künstliche Intelligenz, Machine Learning und Verhaltensanalysen nutzen, sind Sie besser vor diesen hochentwickelten und dynamischen Cyberbedrohungen geschützt.

Machine Learning und KI sind ein wichtiger Bestandteil von modernem Ransomware-Schutz, da sie böswillige Verhaltensmuster erkennen können, anstatt einfach nur die Signatur eines Malware-Exemplars mit einer Datenbank bekannter Bedrohungen abzugleichen. Ohne einen solchen verhaltensbezogenen Ansatz ist keine Malware-Schutzlösung in der Lage, die vielen tausend Zero-Day-Malware-Exemplare zu erkennen, die jeden Tag von Bedrohungsakteuren generiert werden.

Machine Learning erstellt eine Basisrichtlinie für sicheres Systemverhalten auf Grundlage früherer und aktueller systemweiter Interaktionsdaten und verbessert auf diese Weise die Identifizierung bislang unbekannter Exploit-Informationen. Da Unternehmen im Laufe der Zeit immer mehr Daten sammeln, können sie mit diesem Ansatz Zero-Day-Bedrohungen zuverlässiger erkennen.

Laut dem IBM Security X-Force-Bericht können Machine Learning-Algorithmen Ransomware-Angriffe mit einer Trefferquote von 85 % erkennen, indem sie den Netzwerkverkehr auf Muster prüfen. Dadurch wird das Risiko von Datenverlusten und Ausfallzeiten erheblich minimiert.

Durch den Einsatz von Ransomware-Schutzlösungen mit KI- und ML-Funktionen können Unternehmen die Möglichkeiten der Technologie nutzen, tatsächlich zu lernen und sich anzupassen. Im Laufe der Zeit können Systeme einen Basisrichtwert für zulässiges Verhalten entwickeln und ihn mit neuen und veränderten Verhaltensweisen und Daten abgleichen. Mit genügend Kontext können Ransomware-Schutzlösungen mit KI- und ML-Funktionen bestimmen, ob ein unerwartetes Verhalten sicher ist.

Angreifer nutzen KI-Tools wie ChatGPT, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu erhöhen. Dazu steigern sie die scheinbare Echtheit und Vertrauenswürdigkeit von Phishing-E-Mails, durchsuchen Applikationen automatisch nach Schwachstellen und optimieren die Koordination mehrstufiger Angriffe.

Wir fragten uns, wie viel Schaden ChatGPT anrichten kann, also stellten wir der KI einfach diese Frage. Das war die Antwort auf die folgende Frage:

Generative KI wie ChatGPT hat das Potential, von Cyberkriminellen missbraucht zu werden, um die Effektivität verschiedener Angriffe wie Ransomware-Attacken zu verbessern. Auch wenn ich keine illegalen oder böswilligen Aktivitäten gutheiße oder unterstütze, kann ich Ihnen erklären, wie sich generative KI in solchen Szenarien einsetzen lässt.

1. Social Engineering: Cyberkriminelle können mit generativer KI realistische Konversationsagenten wie Chatbots simulieren, um arglose Personen zu täuschen und zu manipulieren. Durch das Nachahmen menschlicher Antworten und Verhaltensweisen können diese KI-Agenten Benutzer:innen dazu verleiten, vertrauliche Informationen preiszugeben oder auf schädliche Links zu klicken, was zu einer Ransomware-Infektion führen kann.

2. Phishing-Angriffe: KI-gestützte Chatbots können äußerst überzeugende und personalisierte Phishing-Nachrichten generieren, die Benutzer:innen effektiv zur Preisgabe von vertraulichen Informationen oder zum Herunterladen von schädlichen Anhängen verleiten. Ransomware-Angriffe beginnen häufig mit Phishing-Kampagnen – und KI-generierte Inhalte könnten diese Angriffe noch gefährlicher machen.

3. Verschleierung: Generative KI kann genutzt werden, um polymorphe oder dynamisch veränderte Ransomware-Varianten zu generieren, die von herkömmlichen Sicherheitslösungen noch schwerer erkannt und blockiert werden können. Durch die Nutzung von KI-Algorithmen zum kontinuierlichen Modifizieren des zugrunde liegenden Ransomware-Codes können Cyberkriminelle Varianten erstellen, die herkömmliche Schutzmaßnahmen unterlaufen.

4. Gezielte Angriffe: KI kann dazu eingesetzt werden, enorme Datenmengen zu potenziellen Opfern zu erfassen und zu analysieren. Das gibt Cyberkriminellen die Möglichkeit, noch stärker personalisierte und gezielte Ransomware-Angriffe zu erstellen. Mithilfe von Machine Learning-Techniken können Angreifer die spezifischen Lücken und Schwachstellen einer angegriffenen Umgebung ausnutzen, was ihre Attacken noch erfolgreicher macht.

Da der Einsatz von generativer KI bei cyberkriminellen Aktivitäten ein ständiges Problem darstellt, arbeitet die Sicherheits-Community aktiv an der Entwicklung von Gegenmaßnahmen. Die verantwortungsbewusste Nutzung und Entwicklung von KI-Technologien ist notwendig, um die Risiken durch den potenziellen Missbrauch durch Cyberkriminelle zu minimieren.

Machine Learning-Algorithmen können auf verschiedene Weise eingesetzt werden, um verschiedene Aspekte des Angriffsverlaufs zu optimieren. Auch wenn ich keine illegalen oder böswilligen Aktivitäten gutheiße oder unterstütze, gibt es einige Möglichkeiten, wie sich Machine Learning in Ransomware-Angriffen missbrauchen lässt:

1. Gezielte Angriffe: Machine Learning-Algorithmen können große Datensätze analysieren, um potenzielle Ziele zu identifizieren und Informationen über ihre Schwachstellen, Systeme oder Netzwerke zu sammeln. Wenn die Cyberkriminellen die Zielumgebung verstehen, können sie ihre Ransomware-Angriffe an die spezifischen Schwächen anpassen und dadurch die Wahrscheinlichkeit einer erfolgreichen Infektion und Verschlüsselung erhöhen.

2. Angriffsablauf: Mit Machine Learning lassen sich die Verteilungsmechanismen von Ransomware optimieren, z. B. E-Mail-Phishing-Kampagnen oder schädliche Websites. Angreifer, die ihre Modelle mit enormen Datenmengen trainieren, können ihre potenziellen Opfer genauer ins Visier nehmen. Dadurch erhöhen sie die Wahrscheinlichkeit, dass Benutzer:innen mit schädlichen Inhalten interagieren – und sich letztendlich mit Ransomware infizieren.

3. Verschleierungstechniken: Machine Learning-Algorithmen können Cyberkriminellen bei der Entwicklung von Verschleierungstechniken helfen, mit denen sie Sicherheitsmaßnahmen umgehen. Durch die Analyse von Sicherheitslösungen und ihren Erkennungsmechanismen können Angreifer Modelle zum Generieren von Ransomware-Varianten trainieren, die von klassischen Virenschutz- oder Intrusion Detection-Systemen mit geringerer Wahrscheinlichkeit erkannt werden. Dadurch ist es für die Opfer schwerer, sich zuverlässig zu schützen.

4. Optimierte Verschlüsselung: Mit Machine Learning lassen sich die Verschlüsselungsalgorithmen von Ransomware verbessern, um sie noch raffinierter und zuverlässiger zu machen. Wenn Cyberkriminelle ihre Modelle mit Verschlüsselungsmustern und -techniken trainieren, können sie stärkere Verschlüsselungsmethoden entwickeln, die sich noch schwerer knacken lassen. Dadurch steigt die Wahrscheinlichkeit, dass die Opfer ein Lösegeld zahlen müssen, um ihre Daten wiederherzustellen.

Technologien wie KI und ML stellen im Ransomware-Ökosystem ohne Frage eine echte Gefahr dar. Die Tools erhöhen die Raffinesse und Effektivität von Ransomware-Angriffen und erschweren dadurch die Reaktion und den Schutz. Mit einer zuverlässigen Cyber Security-Infrastruktur, die einen umfassenden Vorfallreaktionsplan umfasst, können Sie starke Präventions- und Abwehrmaßnahmen gegenüber Ransomware-Bedrohungsakteuren aufbauen.

Ransomware ist die größte Bedrohung für Unternehmen aller Größen. Cyberkriminelle entwickeln ihre Taktiken ständig weiter, um neue Möglichkeiten zum Infiltrieren von Systemen und Netzwerken zu finden. Unternehmen, die ihr Risiko minimieren möchten, müssen ihre Abwehr intensiv verstärken, aber auch den Fall einplanen, dass ein Angriff irgendwann tatsächlich Erfolg hat.

Deshalb sind KI- und ML-Tools unverzichtbar, die Ransomware-Angriffe erkennen, verhindern und abwehren. Die rasante Entwicklung von Ransomware macht Möglichkeiten zur gründlichen Analyse von Datenverkehrsmustern, Identifizierung von Anomalien sowie Erkennung potenzieller Angriffe unverzichtbar. Wenn Sie Ransomware-Bedrohungen mithilfe von KI und ML einen Schritt voraus bleiben, sind Sie in einer besseren Position, Ihre wichtigen Informationen und Prozesse zu schützen.

Acronis Cyber Protect ist eine integrierte Cyber Protection-Lösung, die Unternehmen bei der Abwehr aller möglichen Arten von Ransomware unterstützt. Die Lösung kombiniert Machine Learning und künstliche Intelligenz, um Ransomware-Angriffe zu erkennen und zu blockieren. Zudem bietet sie Wiederherstellungsoptionen für den Fall eines Angriffs.

Acronis Cyber Protect erkennt und blockiert Ransomware-Angriffe mithilfe eines mehrschichtigen Ansatzes. Heuristik und signaturbasierte Erkennung identifizieren bekannte Ransomware-Bedrohungen, während Verhaltensanalysen und Machine Learning-Technologien auch bisher unbekannte Bedrohungen erkennen können. Verhaltensänderungen, die auf einen bevorstehenden Angriff hinweisen könnten, werden durch künstliche Intelligenz festgestellt.

Im Falle eines Angriffs bietet Acronis Cyber Protect mehrere Wiederherstellungsoptionen. So kann die Lösung beispielsweise einzelne Dateien oder Ordner, die verschlüsselt wurden, sowie ganze Systeme wiederherstellen. Zudem bietet sie die Möglichkeit, von der Ransomware vorgenommene Änderungen rückgängig zu machen, sodass Sie die Daten auf eine Version vor dem Angriff zurücksetzen können.