Ransomware. Sie ist das neue digitale Schreckgespenst. In den Vereinigten Arabischen Emiraten zeigte eine Branchenumfrage vom Juni 2021 das Ausmaß, in dem das Land (und damit auch die gesamte Region) von Ransomware betroffen ist. Etwa 37 % der Befragten gaben an, in den letzten zwei Jahren Opfer geworden zu sein. Erstaunliche 84 % entschieden sich für die Zahlung des Lösegelds, nur dass die meisten von ihnen - 90 % derjenigen, die zahlten - unter zweiten Angriffen zu leiden hatten, die oft von denselben bösen Akteuren ausgingen.
Noch besorgniserregender ist, dass die Branche insbesondere im letzten Jahr eine Zunahme von RansomOps beobachtet hat. Während Ransomware-Angriffe dem "Spray and Pray"-Modell folgen (z. B. WannaCry), sind RansomOps ausgefeiltere, sehr gezielte Angriffe im APT-Stil, die oft mit Nationalstaaten in Verbindung gebracht werden, aber auch der Modus Operandi böser Akteure sein könnten, die versuchen, die finanziellen Auswirkungen auf ein bestimmtes Ziel zu maximieren. Allein im Mai gab es den Vorfall mit der US-amerikanischen Colonial Pipeline, einen Angriff auf das irische Gesundheitsministerium und einen DarkSide-Angriff auf den deutschen Chemiedistributor Brenntag, bei dem das Unternehmen 4,4 Millionen US-Dollar auszahlte. Kürzlich wurde das Angebot des US-amerikanischen Unternehmens Kaseya für virtuelle Systemadministratoren (VSA) mit der Ransomware REvil über einen Angriff in der Lieferkette infiziert, bei dem ein Routine-Update mehrere Anbieter von verwalteten Diensten und potenziell Tausende von nachgeschalteten Kunden infizierte.
CISOs müssen sich weiterhin an die Zunahme hybrider Arbeitsformen anpassen und sich mit Umgebungen mit mehreren Netzwerken und ungeprüften persönlichen Computern auseinandersetzen, die beide verlockende Einfallstore für Ransomware darstellen. Während Sie diese Zeilen lesen, nutzen Tausende bösartiger Akteure bewährte Ransomware-Stämme - oder entwickeln die nächsten Varianten -, um riesige Summen von ahnungslosen Zielen zu erpressen. Sie nehmen sich Zeit und erledigen ihre Arbeit.
Ransomware 101
Die Angreifer bewerten die potenziellen Kunden zunächst aus der Ferne, indem sie ihr Geschäftsmodell untersuchen und feststellen, wie schädlich eine Ausfallzeit für sie wäre. Auf dieser Grundlage schätzen die Angreifer ab, wie wahrscheinlich eine Zahlung ist, und berechnen die optimale Höhe des Lösegelds. Das Eindringen selbst kann ausgelagert oder in "fertiger" Form im Dark Web für nur 300 US-Dollar gekauft werden. Sobald die Ransomware-Angreifer in den Bereich ihres Ziels eingedrungen sind, setzen sie ihre Bewertung fort und prüfen Anwendungen und Daten auf Verschlüsselung. Und dann kommt der Schmerz.
In einer digitalen Welt bedeutet die totale Verschlüsselung von Prozessen und Dateien für jedes Unternehmen, das von einer solchen Kampagne betroffen ist, den vollständigen Stillstand des Geschäftsbetriebs. Die Sicherheitsteams werden sofort in Aktion treten, aber in vielen Fällen werden sie einen schweren Stand haben. Sie müssen den laufenden Angriff stoppen und gleichzeitig den digitalen Betrieb wiederherstellen. Das ist nicht einfach. Ebenso wenig ist es einfach, die Quelle des Angriffs zu ermitteln, um eine Wiederholung zu verhindern.
Und die Zahlung des Lösegelds garantiert nicht die Lieferung des Verschlüsselungsschlüssels. Kurz gesagt, Ransomware-Angriffe sind für viele Unternehmen ein größerer Test für ihre Business-Continuity-Strategien als für jeden anderen Aspekt ihrer Bedrohungslage. Ohne äußerst solide Notfallpläne erleiden Ransomware-Opfer lange Ausfallzeiten, Datenverluste und finanzielle Einbußen.
Der Weg zur Milderung
Frühzeitige Erkennung ist der Schlüssel zur Schadensbegrenzung. Wenn infizierte Hosts umgehend isoliert werden, können sich Bedrohungsjäger an die Arbeit machen und die Prozesse abtöten, die die Replikation anfachen. Idealerweise sollte dies Automatisierungswerkzeugen überlassen werden, da menschliches Eingreifen in Echtzeit wenig dazu beiträgt, die rasante Ausbreitung von Ransomware einzudämmen. Plattformen, die einen Überblick über das gesamte Netzwerk haben, sind am besten in der Lage, automatische Entscheidungen zu treffen, die Schäden und Verluste wirksam verhindern.
Eine wichtige netzwerkweite Strategie, die bei der Erkennung von Ransomware erfolgreich ist, besteht darin, das Verhalten aus der Vogelperspektive zu betrachten, anstatt aktiv nach bekannten Ransomware-Varianten im Paketverkehr oder in Prozessen zu suchen. Diese Strategie ist proaktiv und konzentriert sich auf die Aufdeckung erster Erkundungs- und Eindringungsaktivitäten böser Akteure, anstatt darauf zu warten, dass die Nutzlast abgeworfen wird.
Darüber hinaus können robuste Identitätsmanagement-Richtlinien helfen, die Flut einzudämmen, wenn sichergestellt ist, dass nur einige wenige Personen Zugang zu den sensibelsten Bereichen der IT-Infrastruktur haben. Ransomware muss sich mit den Anmeldeinformationen begnügen, die dem Benutzer oder der Anwendung ausgestellt wurden, die ihr den Start ermöglicht hat. Wenn die Aktivitäten von Konten mit hohen Zugriffsrechten streng überwacht werden, können die Sicherheitsteams außerdem schneller handeln, um eine Ransomware-Invasion abzuwehren.
Eine neue Kampftaktik: KI-gestützte Erkennung und Reaktion auf Bedrohungen
Diese Best Practices sind Teil eines KI-gesteuerten Ansatzes zur Erkennung von und Reaktion auf Bedrohungen. Indem wir das Ransomware-Problem aus einem verhaltensorientierten Blickwinkel betrachten, lassen wir die "Zu-spät-zu-spät"-Taktik der Suche nach der Ransomware selbst hinter uns. Tools, die diesen Ansatz verfolgen, analysieren den Netzwerkverkehr eingehend und sind in der Lage, die Aktivitäten von Angreifern zu verfolgen, die zwischen lokalen, Rechenzentrums-, IaaS- und SaaS-Umgebungen wechseln. Modelle des maschinellen Lernens ergänzen bereits das Fachwissen von Sicherheitsteams und liefern überzeugende Ergebnisse. Nur Modelle wie diese haben den Umfang und die Leistungsfähigkeit, um große Mengen an Telemetriedaten zu verarbeiten und sie in Echtzeit mit Unmengen historischer Daten zu vergleichen, um riskante Aktivitäten zu erkennen.
Diese verhaltensbasierten Bedrohungserkennungsplattformen sind für die Erkennung und Reaktion in cloud, Rechenzentren, IoT und Unternehmensnetzwerken bestimmt. Frühzeitige Erkennung, die Beseitigung von Fehlalarmen und die Verringerung der Alarmmüdigkeit sind wichtige Merkmale der Technologie, ebenso wie die Validierung wichtiger Industriestandards wie MITRE D3FEND-, die dazu beiträgt, das Vertrauen der Kunden eines Unternehmens zu stärken.
Ransomware ist für Cyberkriminelle äußerst lukrativ und wird in absehbarer Zeit wohl nicht aus der Bedrohungslandschaft verschwinden. Eine schnelle und genaue Erkennung - die derzeit nur durch KI-basierte Ansätze zur Erkennung und Reaktion auf Bedrohungen möglich ist - ist der beste Verbündete, den regionale Wirtschaftsakteure in diesem Kampf haben können.