Back to Blog ブログ一覧へ戻る

Sind Ransomware-Schäden unumkehrbar?

By
Andreas Riepen
|
October 14, 2021

Ransomware-Angriffe auf Unternehmen nehmen nicht ab und werden im Gegenteil immer raffinierter. Im Gegenzug investieren die Unternehmen viel Geld, Ressourcen, Arbeitsaufwand und Zeit, um dieser Plage Herr zu werden. Die Ransomware-Betreiber haben in den letzten Monaten ihre Prozesse erheblich weiterentwickelt und begnügen sich nicht mehr damit, Dateien und Daten nur zu verschlüsseln. Wenn es bisher zu einer Ransomware-Attacke kam, die Dateien und Daten verschlüsselte und dadurch umfangreiche Betriebsunterbrechungen verursachte, griffen die betroffenen Unternehmen einfach auf ihre Backup-Daten zurück. Leider genügt die bloße Sicherung von Daten nicht mehr, um nach einem Angriff wieder auf die Beine zu kommen, denn häufig lässt sich der verursachte Schaden nicht wieder vollständig rückgängig machen.

Die Bedrohungsakteure setzen zunehmend auf hochentwickelte und persistente Attacken, um ihre finanziellen Gewinne aus einer Eindringung, einem Hack oder einer Kompromittierung zu maximieren, und nutzen Ransomware für Angriffe, die über das Verschlüsseln von Dateien hinausgehen. Sie bewegen sich innerhalb von Unternehmensnetzwerken und führen Reconnaissance durch, um an verschiedenste vertrauliche Geschäftsdaten zu gelangen. Wie ein aktueller Bericht von Mandiant zeigte, interessieren sich die Angreifer vor allem für Abfindungsvereinbarungen, Verträge, medizinische Datensätze, Verschlüsselungszertifikate und ähnliche sensible Informationen.1 Vor dem Verschlüsseln exfiltrieren die Akteure diese Daten über verschlüsselte Kanäle, um Perimeter-Schutzmaßnahmen zu unterlaufen, deren Bedienung und Pflege aufwändig ist.

Durch diese Datenkompromittierungen erhalten die Angreifer mehr Macht, Kontrolle und Druckmittel, da sie dem angegriffenen Unternehmen mit erheblichen Risiken und irreparablem Schaden drohen können. Für die Opfer besteht die Gefahr, das Vertrauen der Kunden, die Markenreputation sowie die Mitarbeitermoral schwer zu beschädigen. Zudem drohen erhebliche Bußgeldzahlungen und Sammelklagen. Ransomware-Attacken steigern auch die Betriebs- und Regulierungskosten und schränken die geschäftliche Flexibilität sowie die Wettbewerbsfähigkeit erheblich ein, die durch den Einsatz neuer und innovativer digitaler Technologien beschleunigt wird.

Die Angreifer missbrauchen die gestohlenen Daten auf perfide Weise und nutzen Daten-Leak-Websites im Dark Web, auf die sie über das Tor-Netzwerk zugreifen, oder Social-Media-Websites wie Facebook, um ihre Opfer öffentlich bloßzustellen. Um die Wirksamkeit ihres Angriffs zu steigern, übergeben die Ransomware-Betreiber Teile der gestohlenen Kunden- oder Unternehmensdaten an bekannte Medienkanäle und Technik- sowie Cyber-Sicherheitsmagazine. Dadurch erhalten sie breite Aufmerksamkeit und können ihren Drohungen weiteres Gewicht verleihen.  

Es ist kaum möglich, die Exfiltration der gehackten Daten zu verhindern, und der entstandene Schaden lässt sich fast nie beheben. CrowdStrike warnt vor neuen Vorgehensweisen, bei denen Bedrohungsakteure Daten hosten, die von anderen Angreifern gestohlen wurden. Dadurch ist es für die Opfer sehr schwer, sich mit den Angreifern darüber zu verständigen, dass die gestohlenen Daten wiederhergestellt oder ihre Veröffentlichung verhindert wird.2

In einigen Fällen richten die Angreifer durchsuchbare Datenbanken mit gestohlenen personenbezogenen Daten ein. Sie verschärfen die Situation zusätzlich, indem sie regelmäßig Daten veröffentlichen, was das Interesse der Medien weckt und entsprechende Berichte nach sich zieht.2 Angreifer nehmen auch interne Mitarbeiter ins Visier und rufen sie an oder drohen ihnen. Unternehmen werden weiter unter Druck gesetzt, indem ihre Geschäftspartner über Details zur Kompromittierung informiert werden. Diese Drohungen untergraben die Mitarbeitermoral und schaden Geschäftsbeziehungen.

Können Sie Schäden durch Ransomware verhindern?

Ransomware-Akteure setzen auch weiterhin auf Innovationen und Weiterentwicklung. Nach der Ersteindringung bewegen sie sich ungehindert im Unternehmensnetzwerk, führen über Tage oder Monate Reconnaissance durch, nutzen Verschlüsselung zur Vermeidung der Entdeckung und exfiltrieren Daten, um so an verschiedenste vertrauliche Informationen zu gelangen. Laut einem Bericht von M-TRENDS 2021 für Mandiant nutzten 81 % der neu entdeckten Malware-Familien keine öffentlich verfügbaren Tools und Code.1 Das ist ein klarer Hinweis darauf, dass signaturbasierte Schutzmaßnahmen nicht mehr ansatzweise genügen, um heutige Ransomware-Angriffe abzuwehren. Wie kann ein Angriff gestoppt werden, nachdem er die Sicherheitstools überwunden hat?

Bei mehr als der Hälfte der Kompromittierungen, die im Jahr 2020 von Mandiant untersucht wurden, nutzten die Angreifer Verschleierungsmaßnahmen wie Verschlüsselung oder Codierung, um die Entdeckung zu erschweren.1 Herkömmliche Sicherheitstools bieten nur einen eingeschränkten Überblick und setzen auf eine vorgegebene Liste mit vertrauenswürdigen Services, Anwendern und Anwendungen, ohne kontinuierlich zu überprüfen, ob diese sich normal verhalten. Angreifer können ihre Attacken jedoch in mehreren Phasen durchführen, die weit über die Erstkompromittierung hinausgehen. Dazu gehören Persistenz, Rechteerweiterung, interne Reconnaissance und Suche, Lateral Movement, Zugriff mit Anmeldedaten, Command & Control, Schutzumgehung, Exfiltration und mehr. Bei der Überprüfung aller Bedrohungsuntersuchungen aus dem Jahr 2020 stellten Mandiant-Experten fest, dass Angreifer 63 % der MITRE ATT&CK-Techniken nutzen.

Herkömmliche Sicherheitstools bieten nur eingeschränkten Schutz während des Erstzugriffs oder der Exfiltrationsphase eines Angriffs. Zudem erfordert die Nutzung und Pflege dieser Tools ständigen manuellen Aufwand. Hinzu kommt, dass diese Tools Agenten benötigen und häufig Geschäftsprozesse unterbrechen, was ihre Sicherheitseffizienz weiter verringert.  

Unternehmen müssen der Komplexität der digitalen Angriffsfläche, der Raffinesse von Ransomware-Betreibern, den Einschränkungen herkömmlicher Sicherheitstools sowie dem chronischen Fachkräftemangel im Cyber-Sicherheitsbereich Rechnung tragen.

Die VECTRA Cognito-Plattform stoppt Ransomware

Die KI-unterstützte und hochleistungsfähige Cyber-Sicherheitslösung von VECTRA ist die erste Wahl für Unternehmen, die Ransomware erkennen und stoppen möchten, noch bevor sie unumkehrbare und permanente Schäden für das Geschäft und die Kunden verursacht.

Mit VECTRA können Sie Ransomware stoppen, bevor sie Dateien verschlüsseln und Daten exfiltrieren kann, da die agentenlose und KI-gestützte Cognito-Plattform kontinuierlich und automatisch unscharfe, zeitlich versetzte Erkennungen aus verschiedenen Netzwerken, Konten und Hosts zusammenführt. Dadurch erhalten Ihre SOC-Teams vollkommen neue Möglichkeiten, raffinierte Ransomware-Angriffe zuverlässig abzuwehren.

Im folgenden Video demonstriere ich Ihnen, wie die VECTRA Cognito-Plattform alle Phasen eines Ransomware-Angriffs kontinuierlich überwacht und die Attacke stoppt, noch bevor Dateien verschlüsselt und Daten exfiltriert werden können. Die Cognito-Plattform deckt automatisch gefährdete Konten und Hosts im Unternehmensnetzwerk sowie der Cloud auf und überwacht das Angreiferverhalten: Command & Control-Kommunikation über verschlüsselte HTTS-Tunnel, LDAP- und RPC-Aufrufe zur Erkundung des Netzwerks, Reconnaissance auf der Suche nach privilegierten Konten sowie RPC-Aufrufe für laterale Bewegungen innerhalb flacher Netzwerke.

Die VECTRA COGNITO-Plattform bietet einen umfassenden Überblick über das digitale Netzwerk Ihres Unternehmens von der lokalen Umgebung bis zur Cloud, von der Hybridumgebung bis zur Multi-Cloud, vom Büro bis zum Mitarbeiter im Homeoffice, IaaS zu SaaS und IoT zu OT. Zudem sucht die Plattform kontinuierlich und automatisch nach Bedrohungen, Ransomware sowie Angreifern in verschiedenen Phasen des Angriffsablaufs. VECTRA Cognito ist eine agentenlose Lösung mit branchenführender KI, die stets aktiv und intelligent die Vielzahl heutiger raffinierter Ransomware-Angriffe erkennt und abwehrt.

Wenn Sie wissen möchten, wie Sie Ransomware effektiv stoppen können, lernen Sie die VECTRA-Lösung hier kennen.

Quelle:

(1) M-TRENDS 2021 https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html

(2) CrowdStrike Global Threat Report 2021 https://www.crowdstrike.de/ressourcen/reports/global-threat-report/