ThreatLabz-Report 2022 zur aktuellen Ransomware-Lage

Ransomware-Angriffe nahmen im Zeitraum zwischen Februar 2021 und März 2022 um weitere 80 % zu. Das ergab eine Analyse aller in der Zscaler Cloud beobachteten Ransomware-Payloads. Ein noch stärkerer Zuwachs von 117 % im Vergleich zum Vorjahr wurde bei Angriffen mit Doppelerpressung verzeichnet, d. h. geschäftskritische Daten werden vor der Verschlüsselung exfiltriert und bei Nichtzahlung des Lösegelds veröffentlicht.

Im ThreatLabz-Report 2022 zur aktuellen Ransomware-Lage werden Erkenntnisse aus der Auswertung von Informationen vorgestellt, die im Laufe eines Jahres aus einer Vielzahl von Quellen erfasst wurden. Insbesondere handelt es sich dabei um Daten aus den über 200 Mrd. Transaktionen und 150 Mio. blockierten Bedrohungen, die täglich über die Zscaler Zero Trust Exchange verarbeitet werden. Aus den Ergebnissen geht eindeutig hervor, dass Ransomware sich unter Cyberkriminellen weiterhin steigender Beliebtheit erfreut. Die Mehrzahl der erfolgreichen und zunehmend lukrativen Angriffskampagnen lässt sich drei wichtigen Trends zuordnen: 

• Supply-Chain-Angriffe unter Ausnutzung von Geschäftsbeziehungen zu vertrauenswürdigen Anbietern. Diese Angriffe zeichnen sich durch ein besonders hohes Schadenspotenzial aus, da sie sich häufig gegen Dutzende (teilweise auch Hunderte oder gar Tausende) von Organisationen auf einmal richten.
• Ransomware-as-a-Service bezieht sich auf die massenhafte Verbreitung von Ransomware über Affiliate-Netzwerke. Hacker, die auf unbefugte Netzwerkzugriffe spezialisiert sind, arbeiten dabei Hand in Hand mit etablierten Ransomware-Gruppen und erhalten einen bestimmten Anteil der Gewinne.
• Angriffe mit mehrfacher Erpressung, bei denen mehrere Taktiken wie Datendiebstahl, Distributed Denial of Service (DDoS), Kommunikation mit Kunden usw. zum Einsatz kommen, um möglichst hohe Lösegelder einzustreichen. Alle drei Trends haben dazu beigetragen, sowohl den Umfang als auch die Erfolgsquote von Ransomware-Angriffen zu steigern.

In diesem Report geben die Experten von ThreatLabz ausführlich Einblick in die aktuelle Bedrohungslage. Es werden Datentrends, Zukunftsprognosen und Empfehlungen zum Schutz vor Ransomware-Angriffen präsentiert. Der Report geht detailliert auf die Angriffsphasen, Opferprofile und betriebswirtschaftlichen Auswirkungen der elf virulentesten Ransomware-Typen ein, die im Folgenden aufgeführt werden:

• Conti   
• LockBit   
• PYSA/Mespinoza   
• REvil/Sodinokibi   
• Avaddon   
• Clop   
• Grief   
• Hive   
• BlackByte   
• AvosLocker   
• BlackCat/ALPHV

Prozentuale Veränderung der Häufigkeit von Angriffen mit Doppelerpressung (nach Branchen)

 

 Die wichtigsten Ergebnisse im Überblick

 

• Die Häufigkeit von Ransomware-Angriffen nahm im Vergleich zum Vorjahr um 80 % zu, wie die Analyse aller in der Zscaler-Cloud beobachteten Ransomware-Payloads ergab.
   
• Bei Ransomware-Angriffen mit Doppelerpressung wurde ein Zuwachs um 117 % verzeichnet. Besonders stark betroffen waren hier die Branchen Gesundheitswesen (+643 %), Gastronomie (+460 %), Bergbau (+229 %), Bildungswesen (+225 %), Medien (+200 %) und Fertigung (+190 %).

• Knapp 20 % der Angriffe mit Doppelerpressung entfielen auf die Fertigung, die damit wie bereits im Vorjahr wieder die Liste der am stärksten betroffenen Branchen anführte.
   
• Supply-Chain-Angriffe sind auf dem Vormarsch. Durch Ausnutzen der Geschäftsbeziehungen potenzieller Opfer zu vertrauenswürdigen Zulieferern gelingt es Ransomware-Angreifern, Dutzende von Organisationen mit einem Schlag zu treffen – einschließlich solcher, die über robuste Schutzmechanismen zur Abwehr externer Angreifer verfügen. Im vergangenen Jahr machten mehrere groß angelegte Supply-Chain-Angriffe u. a. auf Kaseya und Quanta Schlagzeilen. Teilweise nutzten Angreifer dabei die Log4j-Schwachstelle aus.
   
• Ransomware-as-a-Service greift zunehmend um sich. Der Trend zur Zusammenarbeit zwischen Ransomware-Gruppen und kriminellen Partnern, die sich auf unbefugte Netzwerkzugriffe spezialisieren, hält weiter an. Für einen Anteil an den Gewinnen (in der Regel rund 80 % des erbeuteten Lösegelds) verschaffen diese Hacker sich im Gegenzug Zugriff auf die IT-Umgebungen großer Organisationen und implementieren den von der Ransomware-Gruppe bereitgestellten Schadcode. Im vergangenen Jahr wurde die Mehrzahl der aktivsten Ransomware-Typen (8 von insgesamt 11) primär über derartige RaaS-Modelle verbreitet.
   
• Die Strafverfolgungsbehörden greifen härter durch. Insbesondere Ransomware-Gruppen, die es auf systemrelevante Sektoren abgesehen hatten, standen im vergangenen Jahr weltweit im Visier der Strafverfolgungsbehörden. So wurden 2021 Vermögenswerte von drei der berüchtigtsten Ransomware-Gruppen der letzten zwei Jahre beschlagnahmt.

• Ransomware-Gruppen treten unter neuen Namen auf. Auf den zunehmenden Druck seitens der Strafverfolgungsbehörden haben viele Ransomware-Gruppen mit einem Rebranding reagiert, d. h. sie treten unter neuen Namen auf, wenden aber weiterhin die gleichen (bzw. sehr ähnliche) Taktiken an.
   
• Ukraine-Konflikt: Weltweit herrscht Alarmstufe eins. Im direkten Zusammenhang mit dem Konflikt in der Ukraine wurden bereits mehrere Angriffskampagnen verzeichnet, bei denen teilweise eine Kombination aus mehreren Taktiken eingesetzt wurde (z. B. HermeticWiper und PartyTicket-Ransomware). Bisher richteten sich diese Aktivitäten primär gegen Ziele in der Ukraine. Jedoch warnen Regierungsbehörden vor einer Zunahme der Angriffe auf ausländische Organisationen im weiteren Verlauf des Konflikts.
   
• Zero Trust ist und bleibt die beste Verteidigungsstrategie. Die beste Chance auf Minderung des Risikos von Sicherheitsverletzungen und Schadensbegrenzung im Fall eines erfolgreichen Angriffs bieten sogenannte Defense-in-Depth-Strategien. Dazu gehören Maßnahmen zur Verkleinerung der Angriffsfläche, Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe sowie die kontinuierliche Überwachung der gesamten IT-Umgebung mit Überprüfung sämtlicher Daten.

 

 

Schutz vor Ransomware

Das Zero-Trust-Konzept ist gleichermaßen wirksam gegen einfache Ransomware-Angriffe und Angriffe mit mehrfacher Erpressung, eigenständig agierende Gruppen und groß angelegte RaaS-Angriffe unter Mitwirkung von Affiliate-Netzwerken. Es empfiehlt sich als Strategie, die in sämtlichen Angriffsphasen – von der Reduzierung von Sicherheitsrisiken im Vorfeld über die Prävention und Erkennung versuchter Angriffe bis hin zur Schadensbegrenzung nach einem erfolgreichen Erstzugriff – zur Minimierung der potenziellen Folgewirkungen eingesetzt werden kann. Zur effektiven Abwehr von Ransomware-Angriffen haben sich insbesondere folgende Maßnahmen bewährt:

1. Verkleinern der externen Angriffsfläche: Im Vorfeld von Ransomware-Angriffen führen die Akteure zumeist Reconnaissance-Maßnahmen zur Erkundung der IT-Umgebung ihrer potenziellen Opfer durch. Dabei halten sie insbesondere Ausschau nach Sicherheitslücken sowie nach Möglichkeiten zur gezielten Kalibrierung des Angriffs. Je mehr Anwendungen im Internet exponiert sind, desto anfälliger ist eine Organisation für Angriffe. Eine Zero-Trust-Architektur bietet wirksamen Schutz für interne Anwendungen, indem sie für Angreifer unsichtbar gemacht werden.
2. Durchsetzung einheitlicher Sicherheitsrichtlinien zur Verhinderung des Erstzugriffs: Für Organisationen mit dezentralen Belegschaften ist die Implementierung einer SSE-Architektur (Security Service Edge) ein unverzichtbares Muss. Nur so lassen sich einheitliche Sicherheitsrichtlinien für sämtliche User innerhalb und außerhalb des Unternehmensnetzwerks durchsetzen. 
3. Sandboxing zum Erkennen unbekannter Payloads: Angesichts der rapiden Entwicklung neuer Ransomware-Varianten und Payloads gewährt die signaturbasierte Erkennung keinen ausreichenden Schutz. Eine KI-gestützte Inline-Sandbox, die in der Lage ist, das Verhalten von Dateien zu analysieren, erkennt auch Ausweichmanöver und bislang unbekannte Varianten.
4. Implementierung einer ZTNA-Architektur (Zero Trust Network Access): Durch granulare User-to-Application- und Application-to-Application-Segmentierung und minimale Rechtevergabe über dynamische Zugriffskontrollen kann die laterale Bewegungsfreiheit innerhalb der IT-Umgebung radikal eingeschränkt werden. Dadurch lässt sich der Schaden begrenzen, der im Fall eines erfolgreichen Angriffs durch Verschlüsselung bzw. Diebstahl von Daten entstehen kann. 
5. Einsatz von Inline Data Loss Prevention: Um Doppelerpressungsversuche zu vereiteln, kann die Exfiltration vertraulicher Daten durch Einsatz geeigneter Data Loss Prevention-Tools und -Richtlinien verhindert werden.
6. Regelmäßige Software-Aktualisierung und Mitarbeiterschulungen: Durch umgehendes Installieren von Sicherheitspatches und regelmäßige Mitarbeiterschulungen lassen sich Sicherheitslücken schließen, die Cyberkriminelle ansonsten geschickt auszunutzen wissen.
7. Notfallplanung: Mit einer Cyber-Versicherung, einem Plan für die Datenwiederherstellung und einem Notfallplan im Rahmen des unternehmensweiten BCDR-Konzepts (Business Continuity and Disaster Recovery) sind potenzielle Opfer von Ransomware-Angriffen für den Ernstfall gewappnet.

Eine effektive Strategie zum Schutz vor Ransomware-Angriffen beinhaltet mehrschichtige Maßnahmen, die sämtliche Phasen des Angriffszyklus abdecken – von Reconnaissance und Erstzugriff über laterale Ausbreitung und Datendiebstahl bis hin zur Ausführung der eigentlichen Ransomware.

Als führende SSE-Plattform (Security Service Edge) gewährleistet die Zero Trust Exchange von Zscaler in sämtlichen Phasen des Angriffszyklus unübertroffen zuverlässigen Schutz vor Ransomware. Dadurch können Organisationen nicht nur das Angriffsrisiko beträchtlich senken, sondern reduzieren auch das Schadenspotenzial im Fall eines erfolgreichen Angriffs.

Mit der Zscaler-Lösung profitieren Organisationen von der nativen Integration marktführender Zero-Trust-Funktionen zur Abwehr und Bekämpfung von Ransomware-Angriffen durch:

• Verkleinern der Angriffsfläche: Die Cloud-native Proxy-basierte Architektur von Zscaler reduziert die Angriffsfläche, indem interne Anwendungen für das Internet unsichtbar gemacht werden, sodass sie nicht mehr als potenzielle Angriffsvektoren ausgenutzt werden können. 
• Verhindern von Erstzugriffen: Zscaler ermöglicht die vollständige Überprüfung und Authentifizierung des gesamten verschlüsselten und unverschlüsselten Traffics, um unbefugte Zugriffe von Bedrohungsakteuren abzuwehren. Durch Browser Isolation und Inline-Sandboxing werden auch Ausweichmanöver und neuartige Bedrohungen zuverlässig erkannt.
• Blockieren lateraler Bewegungen: Zscaler verbindet User und Entitäten direkt mit Anwendungen (statt mit Netzwerken), um ihre laterale Bewegungsfreiheit einzuschränken. Besonders geschäftskritische Anwendungen können durch realistische Decoys zusätzlich geschützt werden.
  Schutz vor Datenverlusten: Durch Überprüfung des gesamten ausgehenden Traffics zu Cloud-Anwendungen werden Datenverluste bei der Übertragung verhindert. Zum Schutz von Daten im Ruhezustand kommen CASB-Funktionen (Cloud Access Security Broker) zum Einsatz, mit denen sich Sicherheitsrisiken zuverlässig erkennen und beheben lassen.

Der ThreatLabz-Report 2022 zur aktuellen Ransomware-Lage mit wertvollen Erkenntnissen zu den kritischsten Bedrohungen und Praxisempfehlungen für wirksame Schutzmaßnahmen kann kostenlos heruntergeladen werden.

 

Über ThreatLabZ

ThreatLabz ist als Forschungsabteilung von Zscaler für die Früherkennung neuer Bedrohungen zuständig. Dieses erstklassige Team sorgt dafür, dass die Tausenden von Organisationen, die weltweit mit der globalen Zscaler-Plattform arbeiten, jederzeit geschützt sind. Neben der Erforschung und Verhaltensanalyse von Malware-Bedrohungen tragen die ThreatLabz-Experten auch zur Entwicklung neuer Prototypen für Advanced Threat Protection auf der Zscaler-Plattform bei und führen regelmäßig interne Revisionen durch, um sicherzustellen, dass Zscaler-Produkte und -Infrastrukturen die geltenden Sicherheitsstandards erfüllen. Detaillierte Analysen neuer Bedrohungen werden regelmäßig unter research.zscaler.com veröffentlicht.

 

Unser Newsletter informiert Organisationen über aktuelle Forschungsergebnisse der ThreatLabz-Experten.