Erpressungsangriffe verursachen Geschäftsunterbrechungen

Zscaler, Inc. (NASDAQ: ZS), führender Anbieter von Cloud-Sicherheit, hat heute seinen neuen Ransomware-Report vorgestellt, der eine Analyse der wichtigsten Ransomware-Trends und Details zu den produktivsten Ransomware-Akteuren, ihren Angriffstaktiken und den am stärksten bedrohten Branchen enthält. Das Forschungsteam des Zscaler ThreatLabz analysierte über 150 Milliarden Plattformtransaktionen und 36,5 Milliarden blockierte Angriffe zwischen November 2019 und Januar 2021, um Ransomware-Varianten und ihre Herkunft zu identifizieren und diese zu stoppen. Der Report zeigt ein wachsendes Risiko durch „Double-Extortion“-Angriffe, die zunehmend von Cyber-Kriminellen genutzt werden, um den Geschäftsablauf von Unternehmen zu stören, indem Daten als Geiseln für Lösegelderpressungen verschlüsselt werden.

„In den letzten Jahren ist die Bedrohung durch Ransomware-Infektionen immer gefährlicher geworden. Neue Methoden wie doppelte Erpressung und DDoS-Attacken machen es Cyberkriminellen leicht, große Organisationen zu sabotieren und deren Ruf nachhaltig zu schädigen“, sagt Deepen Desai, CISO und VP of Security Research bei Zscaler. „Unser Team geht davon aus, dass Ransomware-Angriffe zunehmend zielgerichteter ausgeführt werden, wobei Cyberkriminelle die Unternehmen mit einer höheren Wahrscheinlichkeit einer Lösegeldzahlung ins Visier nehmen. Wir haben die jüngsten Ransomware-Angriffe analysiert, bei denen Cyberkriminelle beispielsweise den Cyber-Versicherungsschutz des Opfers sowie kritische Supply Chain-Anbieter kannten, wodurch die Unternehmen erst ins Fadenkreuz gerieten. Daher ist es für Unternehmen wichtig, das Risiko von Ransomware besser zu verstehen und die richtigen Vorkehrungen zu treffen, um Angriffe zu vermeiden. Das beginnt beim Patchen von Schwachstellen, regelmäßigem Backup von Daten und reicht bis zur Schulung von Mitarbeitern, verdächtige E-Mails zu erkennen. Darüber hinaus sollten Strategien zur Vermeidung von Datenverlusten implementiert und eine Zero-Trust-Architektur eingesetzt werden, um die Angriffsfläche zu minimieren und laterale Bewegungen der Angreifer zu verhindern.“
 

Double-Extortion als neue, bevorzugte Methode 

Seit Ende 2019 beobachtet das ThreatLabz eine wachsende Vorliebe für „Double-Extortion“-Angriffe bei einigen der aktiveren und erfolgreicheren Ransomware-Familien. Diese Angriffe zeichnen sich durch eine Kombination aus der Verschlüsselung sensibler Daten durch böswillige Akteure und der Exfiltration der bedeutsamsten Dateien aus, um Lösegeld zu fordern. Betroffene Organisationen werden selbst wenn sie ihre Daten aus Backups wiederherstellen können, dadurch bedroht, dass die gestohlenen sensiblen Daten veröffentlicht um der Erpressung Nachdruck zu verleihen. Ende 2020 stellte das Team fest, dass diese Taktik durch synchronisierte DDoS-Angriffe erweitert wurde, die die Webseiten der Opfer überlasten und damit zusätzlichen Druck auf die Organisationen ausüben.

Laut Zscaler ThreatLabZ waren in den letzten zwei Jahren verschiedene Branchen von solchen Ransomware-Angriffen mit doppelter Erpressung betroffen. Zu den am häufigsten angegriffenen Branchen zählen:

1. Fertigungsindustrie (12,7 %) 
2. Dienstleistungen (8,9 %) 
3. Transport (8,8%) 
4. Einzel- und Großhandel (8,3%) 
5. Technologie (8 %)

Die aktivsten Ransomware-Familien

Im Laufe des letzten Jahres hat ThreatLabz sieben „Familien“ von Ransomware identifiziert, die häufiger anzutreffen waren als andere. Im Report 2020 wurden die Ursprünge und Taktiken der folgenden hochaktiven Gruppen betrachtet:

Maze/Egregor: Erstmals wurde Maze im Mai 2019 entdeckt. Auf diese Familie gehen die meisten Angriffe mit doppelter Erpressung zurück (273 Vorfälle), bis sie anscheinend im November 2020 ihren Betrieb einstellte. Angreifer nutzten Spam-E-Mail-Kampagnen, Exploit-Kits wie Fallout und Spelevo sowie gehackte RDP-Dienste, um Zugriff auf Systeme zu erhalten und erfolgreich hohe Lösegelder zu kassieren, nachdem Dateien von IT- und Technologieunternehmen verschlüsselt und gestohlen worden waren. Zu den wichtigsten Zielbranchen von Maze gehörten Hightech (11,9 %), Fertigung (10,7 %) und Dienstleistungen (9,6 %). Allerdings hat sich Maze verpflichtet, das Gesundheitswesen während der COVID-19-Pandemie zu verschonen. 

Conti: Erstmals im Februar 2020 entdeckt und mit 190 Angriffen die zweithäufigste Angriffsfamilie, teilt Conti den Code mit der Ryuk-Ransomware und scheint deren Nachfolger zu sein. Conti verwendet die Windows Neustart Manager-API bevor Dateien verschlüsselt werden, da die Malware dadurch an mehr Dateien als Teil des Doppelerpressungsansatzes gelangt. Opfern, die das Lösegeld nicht zahlen wollen oder können, finden ihre Daten regelmäßig auf der Conti-Datenleck-Website veröffentlicht. Die drei am stärksten betroffenen Branchen sind die Fertigungsbranche (12,4 %), der Dienstleistungssektor (9,6 %) und das Transportwesen (9,0 %).

Doppelpaymer: Erstmals im Juli 2019 bemerkt und mit 153 dokumentierten Angriffen, zielt Doppelpaymer auf eine Reihe von Branchen ab und fordert oft hohe Lösegelder im sechs- und siebenstelligen Bereich. Zunächst infiziert Doppelpaymer Rechner mit einer Spam-E-Mail, die entweder einen bösartigen Link oder einen bösartigen Anhang enthält, und hat bis zur Abschlatung Emotet- oder Dridex-Malware in infizierte Systeme nachgeladen. Die drei am häufigsten angegriffenen Branchen waren die Fertigungsindustrie (15,1 %), der Einzel- und Großhandel (9,9 %) und Behörden (8,6 %).

Sodinokibi: Sodinokibi, auch bekannt als REvil oder Sodin, wurde erstmals im April 2019 entdeckt und tritt mit 125 Angriffen zunehmend häufiger auf. Ähnlich wie Maze nutzt Sodinokibi Spam-E-Mails, Exploit-Kits und kompromittierte RDP-Konten; außerdem werden häufig Schwachstellen in Oracle WebLogic ausgenutzt. Sodinokibi begann im Januar 2020 mit der Verwendung von Doppelerpressungstaktiken und hatte die größten Auswirkungen auf die Bereiche Transport (11,4 %), Fertigung (11,4 %) und Einzelhandel/Großhandel (10,6 %).

DarkSide: DarkSide wurde erstmals im August 2020 entdeckt, nachdem in einer Pressemitteilung die Dienste angepriesen wurden. DarkSide nutzt ein „Ransomware-as-a-Service“-Modell und setzt doppelte Erpressungsmethoden ein, um Informationen zu stehlen und zu verschlüsseln. Die Gruppe veröffentlicht ein Manifest möglicher Ziele und schreibt dazu, dass sie keine Gesundheitsorganisationen, Bestattungsdienste, Bildungseinrichtungen, gemeinnützige Organisationen oder Regierungsstellen angreift. Stattdessen sind die primären Ziele der Dienstleistungssektor (16,7 %), die Fertigungsbranche (13,9 %) und Transportdienste (13,9 %). Ähnlich wie bei Conti werden die Daten derjenigen, die das Lösegeld nicht zahlen können, auf der DarkSide-Leak-Website veröffentlicht. Inzwischen wurden die DarkSide-Server zwar abgeschaltet, die Ransomware-Betreiber sind jedoch noch auf freiem Fuß und könnten mit einer neuen Ransomware zurückkehren.

Im Rahmen der Zenith Live 2021 im Juni erläutert Deepen Desai mehr Hintergrund in seinem Vortrag „ThreatLabZ: Insights from the Front Lines of the World's Largest Security Cloud“. Eine Anmeldung zur Teilnahme ist unter diesem Registrierungslink hier möglich.