Es ist noch nicht lange her, dass ransomware in erster Linie eine ungezielte, opportunistische und sich schnell ausbreitende Bedrohung war. Im Jahr 2017, WannaCry und seine Server Message Block (SMB) -Netzwerkschwachstelle worm , EternalBlueeinen der größten ransomware Ausbrüche in der Geschichte. Er verbreitete sich weltweit mit Maschinengeschwindigkeit und infizierte über 230 000 Rechner in mehr als 150 Ländern. Während der durch WannaCry verursachte Schaden schwerwiegend war - insbesondere für Organisationen wie den britischen National Health Service (NHS), dem Kosten in Höhe von über 73 Millionen Pfund (95 Millionen US-Dollar) entstanden sind -, konnten die Angreifer nur rund 621.000 US-Dollar in Bitcoin erbeuten, was im Vergleich zu der von ihnen verursachten Störung eine relativ geringe Auszahlung darstellt.
Seitdem hat sich ransomware von einem wahllosen, großvolumigen Ansatz - oft als "spray and pray" bezeichnet - zu einem gezielteren Geschäftsmodell mit geringerem Volumen entwickelt. Die heutigen ransomware Angriffe basieren nicht mehr auf einem einzigen, monolithischen Teil von malware. Stattdessen sind moderne ransomware in der Regel modular aufgebaut und werden von erfahrenen Kriminellen entwickelt oder über Ransomware-as-a-Service (RaaS) Plattformen verkauft. Dieser Wandel hat es ransomware Gruppen ermöglicht, innerhalb eines organisierten, dunklen Ökosystems zu operieren, das mit Lieferketten für Komponenten und Dienstleistungen ausgestattet ist und legitimen Geschäftsstrukturen ähnelt.
Die Fähigkeit, sich schnell anzupassen und zu verändern, hat dazu geführt, dass herkömmliche, auf statischen Signaturen basierende Erkennungsmethoden zunehmend unwirksam werden. Daher müssen sich Sicherheitsteams darauf konzentrieren, Verhaltensweisen und Taktiken von Angreifern zu erkennen, bevor die Verschlüsselung beginnt. Dies ist besonders wichtig, da die heutigen ransomware Gruppen, wie z.B. LockBit und Continicht nur Daten verschlüsseln, sondern sie auch exfiltrieren und damit drohen, sensible Informationen preiszugeben, wenn das Lösegeld nicht gezahlt wird.
Die Komplexität und Langwierigkeit moderner Angriffe ransomware
Im Gegensatz zu früheren Angriffen sinddie heutigen ransomware Kampagnen - wie sie von Gruppen wie Maze durchgeführt werden -vielschichtig und erstrecken sich über längere Zeiträume. Die Angreifer dringen zunächst in das System ein, kundschaften es aus und exfiltrieren Daten, lange bevor die Verschlüsselung beginnt. Dieser erweiterte Zeitrahmen bietet Verteidigern die Möglichkeit, die Bedrohung zu erkennen und darauf zu reagieren - wenn sie wissen, wo und wie sie suchen müssen.
Merkmale eines Angriffs ransomware
Zielwahl und Aufklärung
Angreifer beginnen in der Regel mit der Durchführung von Open-Source-Intelligence (OSINT), um Informationen über potenzielle Opfer zu sammeln. Sie bewerten die Fähigkeit des Ziels, den Betrieb ohne wichtige Daten fortzusetzen, und die Wahrscheinlichkeit, dass das Opfer ein Lösegeld zahlt. Die Angreifer berechnen einen Lösegeldbetrag, der sich an der vom Opfer wahrgenommenen "Schmerzgrenze" orientiert - dem Preis, bei dem das Opfer lieber zahlen würde, als sich mit den Folgen einer Nichtzahlung auseinanderzusetzen.
Erster Zugang
Die erste Kompromittierung erfolgt oft durch phishing Kampagnen, die bekannte Schwachstellen ausnutzen, oder durch Initial Access Brokers (IABs). Diese Makler sind darauf spezialisiert, den Zugang zu kompromittierten Netzwerken auf Dark-Web-Märkten für nur 300 US-Dollar zu verkaufen.
Interne Ausspähung und Privilegieneskalation
Sobald die Angreifer in ein Netzwerk eingedrungen sind, verbringen sie Zeit damit, kritische Systeme zu identifizieren und höhere Privilegien zu erlangen. Diese Phase kann Tage oder sogar Wochen dauern, da die Angreifer nach Dateien suchen, die sie exfiltrieren und für eine doppelte Erpressung nutzen können. Erst wenn diese interne Erkundung abgeschlossen ist, starten die Angreifer die ransomware und verschlüsseln Dateien im gesamten Netzwerk.
Doppelte Erpressung
In vielen Fällen verschlüsseln die Angreifer nicht nur die Daten des Opfers, sondern stehlen auch sensible Informationen. Wenn sich das Opfer weigert, das Lösegeld zu zahlen, drohen die Angreifer damit, die gestohlenen Daten online weiterzugeben oder zu verkaufen, was zu behördlichen Strafen, Rufschädigung und weiteren finanziellen Verlusten führen kann.
Lösegeldforderungen und Verhandlung
Ransomware Gruppen stellen detaillierte Lösegeldnotizen zur Verfügung und leiten die Opfer oft an spezielle Verhandlungsportale im Dark Web weiter. In einigen Fällen bieten die Gruppen von ransomware sogar Kundensupport an, um sicherzustellen, dass die Opfer ihre Zahlungen effizient leisten können.
Die steigenden Kosten für ransomware
Wenn Unternehmen von einem Angriff auf ransomware betroffen sind, ist der Betrieb sofort lahmgelegt. Geschäftskritische Systeme werden als Geiseln gehalten, und die Notfallteams müssen sich beeilen, um die Ausbreitung des Angriffs zu stoppen und die Systeme wiederherzustellen. Selbst wenn das Unternehmen bereit ist, das Lösegeld zu zahlen, gibt es keine Garantie, dass die Angreifer einen gültigen Entschlüsselungsschlüssel zur Verfügung stellen werden. Dateien, die nicht entschlüsselt werden können, müssen aus Backups wiederhergestellt werden, was zu einem möglichen Datenverlust seit dem letzten Backup und längeren Ausfallzeiten führt.
RansomwareDie Auswirkungen von Angriffen haben an Umfang und Kosten zugenommen. Bei den heutigen Angriffen geht es nicht nur um die Verschlüsselung von Dateien, sondern auch um Datendiebstahl, Betriebsunterbrechungen, Rufschädigung und Geldstrafen. Laut einem Bericht von Coveware aus dem Jahr 2023hat die durchschnittliche Lösegeldzahlung 408.644 US-Dollar erreicht, was die zunehmende finanzielle Belastung für Unternehmen verdeutlicht ransomware .
Entschärfung von und Reaktion auf ransomware Angriffe
Eine wirksame Schadensbegrenzung erfordert ein Verständnis der Angriffsmuster von ransomware und die Fähigkeit, während des Lebenszyklus eines Angriffs schnell zu handeln. Eine frühzeitige Erkennung und Reaktion kann die Auswirkungen eines ransomware Angriffs erheblich reduzieren.
Schnelle Wirtsisolierung
Sobald ein infizierter Host identifiziert wurde, ist eine sofortige Isolierung entscheidend. Dies kann erreicht werden, indem die infizierten Systeme unter Quarantäne gestellt, aus dem Netzwerk entfernt und alle Prozesse gestoppt werden, die an der Verbreitung von ransomware beteiligt sind. In vielen Fällen können Automatisierungstools, wie z. B. Orchestrierungsplattformen,verwendet werden, um Systeme schnell und effizient zu isolieren.
Überwachung des privilegierten Zugriffs
Ransomware können nur mit den Rechten des kompromittierten Benutzers oder der Anwendung ausgeführt werden. Durch die Überwachung der Konten, die Zugriff auf kritische Systeme haben, können Sicherheitsteams abnormales Verhalten frühzeitig erkennen und verhindern, dass die ransomware Dateien verschlüsselt. Umfassende Kenntnisse über den privilegierten Zugriff können Angreifer daran hindern, sich seitlich durch das Netzwerk zu bewegen und ihre Privilegien zu erweitern.
Verhaltensbasierte Erkennung
Moderne ransomware Angriffe beinhalten mehrere Vorläuferaktivitäten, wie z. B. interne Erkundung, seitliche Bewegungen und Datenexfiltration. Anstatt sich nur auf die Identifizierung bestimmter ransomware Varianten zu konzentrieren, sollten Sicherheitsteams auf unveränderliche Verhaltensweisen der Angreifer im gesamten Netzwerkverkehr achten. Dieser verhaltensbasierte Erkennungsansatz ist proaktiver und ermöglicht es Teams, frühe Stadien eines Angriffs zu erkennen, bevor die Verschlüsselung beginnt.
Künstliche Intelligenz (KI) und Automatisierung
Fortschritte bei KI-gesteuerte Sicherheitslösungen verändern die Erkennung und Reaktion von ransomware . KI kann riesige Mengen an Netzwerkdaten analysieren, um subtile Indikatoren für das Verhalten von ransomware zu erkennen, die Menschen oder herkömmliche Tools möglicherweise übersehen. Durch die Verstärkung von SOC-Teams mit KI können Unternehmen Angriffe schneller erkennen und stoppen und so das Ausmaß des Schadens begrenzen.
Bleiben Sie proaktiv gegen die Bedrohung Ransomware
Um die Auswirkungen moderner ransomware Angriffe zu verringern, müssen Sicherheitsteams von reaktiven Strategien auf verhaltensorientierte Erkennung umstellen. Dieser proaktive Ansatz konzentriert sich auf die Identifizierung verdächtiger Aktivitäten in einem frühen Stadium des Angriffslebenszyklus. Mit KI, die herkömmliche Sicherheitstools ergänzt, können Unternehmen das Verhalten von ransomware in Echtzeit erkennen, was ihnen einen entscheidenden Vorteil bei der Verhinderung von Angriffen verschafft, bevor ein großer Schaden entsteht.
Ransomware wird auch in Zukunft ein wirksames Instrument für Cyberkriminelle sein, die versuchen, Unternehmen auszunutzen und um ihre wertvollen digitalen Vermögenswerte zu erpressen. Zeit und kontextbezogenes Verständnis sind entscheidend, um ransomwarezu besiegen - frühes Handeln kann eine ausgewachsene Katastrophe verhindern.
Wie Vectra AI helfen kann
Die Vectra AI Plattform nutzt KI-gesteuerte Verhaltensanalysen, um das Verhalten von Angreifern in einem frühen Stadium des ransomware Lebenszyklus zu erkennen. Durch die Fokussierung auf Aufklärung, seitliche Bewegungen und Verschlüsselungsaktivitäten ermöglicht es Vectra den Sicherheitsteams, ransomware zu stoppen, bevor sie katastrophalen Schaden anrichten. Möchten Sie sehen, wie Vectra AI zur Sicherheit Ihres Unternehmens beitragen kann? Fordern Sie eine selbstgeführte Demo und entdecken Sie die Leistungsfähigkeit von KI in der ransomware Verteidigung.