Ransomware-Angriffe sorgen fast täglich für Schlagzeilen. Dabei verfügen viele der Cyberkriminellen nicht über besondere Fähigkeiten, sondern nutzen Ransomware-as-a-Service. Die Erpressung mittels Schadsoftware hat sich längst zu einem Geschäftsmodell gemausert, wie unsere zweite Ausgabe des Microsoft-Sicherheitsberichts Cyber Signals zeigt. Der Report wirft ein Schlaglicht auf die wichtigsten Sicherheitstrends und Erkenntnisse, die Microsofts Expert*innen in den vergangenen Monaten gesammelt haben.
Cyber-Kriminelle versuchen, den Eindruck zu erwecken, dass sich die gesamte Ransomware-Szene aus hochkompetenten und äussßerst innovativen Akteuren zusammensetzt. Tatsächlich schaffen es Ransomware-Angriffe auch regelmäßig in die Schlagzeilen. Die Wahrheit jedoch ist, dass es bei Ransomware zunehmend – wie wir es auch von anderen Wirtschaftszweigen kennen – um Geschäftspartnerschaften und bequeme Transaktionen geht, die der Gig-Economy ähnlich sind. Man kann sich dieses Ransomware-as-a-Service-Modell (RaaS) als eine Vereinbarung zwischen einem Betreiber und seinen Partnern vorstellen. Der eine entwickelt und betreibt die für Erpressungen benötige Malware sowie die entsprechende Angriffsinfrastruktur, die Partner wiederum heuern an, um diese Ransomware gegen bestimmte Ziele einzusetzen. Diese Partner beziehen ihrerseits dann Informationen über die Zielperson von sogenannten Initial Access Brokern (IAB) und anderen Quellen, die Ranglisten mit gefährdeten Organisationen erstellen. Dazu gehören zum Beispiel solche mit ungeschützten Anmeldedaten oder mit Malware in ihren Netzwerken.
RaaS senkt die Einstiegshürden in die Cyberkriminalität drastisch und verschleiert die eigentlichen Akteure, die hinter dem Zugang zum System, der Infrastruktur und der eigentlichen Erpressung stehen. Die RaaS-Anbieter*innen verkaufen ihr Fachwissen an jeden, der bereit ist, dafür zu zahlen. Angehende Cyberkriminelle, die selbst nicht über die technischen Fähigkeiten verfügen, die es bräuchte, um Backdoors zu nutzen oder Tools zu entwickeln, können sich so einen einfachen Zugang zu ihren Opfern verschaffen, indem sie einsatzbereite Penetrationstests und System-Administrator-Anwendungen lizenzieren, um die Angriffe durchzuführen.
Ein Mehr an Sicherheit zahlt sich für Unternehmen aus
Dass unzählige gestohlene Zugangsdaten online verfügbar sind, bedeutet, dass Unternehmen ohne grundlegende Schutzmassnahmen wie die Multi-Faktor-Authentifizierung (MFA) das Nachsehen haben, wenn es darum geht, Infiltrationswege von Ransomware zu bekämpfen, damit Schadsoftware gar nicht erst zum Einsatz kommen kann. Ist unter Cyberkriminellen erst einmal bekannt, dass der Zugang zu einem Netzwerk käuflich ist, haben RaaS-Akteure die Möglichkeit, standardisierte Angriffsketten zu erstellen, damit sie selbst und andere die Schwachstellen ausnutzen können.
Viele Unternehmen halten es für zu kostspielig, verbesserte Sicherheitsprotokolle zu implementieren. Dabei spart ein Mehr an Sicherheit tatsächlich Geld. Die Systeme werden nicht nur sicherer, sondern Unternehmen müssen sich auch weniger mit den Kosten des Security Operations Center beschäftigen, weniger Zeit aufwenden, um auf Bedrohungen zu reagieren und haben gleichzeitig mehr Zeit, sich auf eingehende Ereignisse wie Schadsoftware und mögliche Bedrohungen durch Ransomware zu konzentrieren.
Unternehmen erleben eine Zunahme sowohl was den Umfang als auch die Raffinesse von Cyberangriffen angeht. Dem IC3-Bericht des Federal Bureau of Investigation (FBI) aus dem Jahr 2021 zufolge belaufen sich die Kosten der Cyberkriminalität allein in den USA auf mehr als 6,9 Milliarden US-Dollar. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) wiederum berichtet, dass zwischen Mai 2021 und Juni 2022 jeden Monat etwa zehn Terabyte an Daten durch Akteure aus dem Ransomware-Umfeld gestohlen worden sind. 58,2 Prozent dieser gestohlenen Dateien enthielten persönliche Daten von Mitarbeitenden.
Der Kampf gegen Ransomware erfordert Teamplay
Um den Herausforderungen zu begegnen, die die zunehmende Verbreitung von Ransomware mit sich bringt, bedarf es einer neuen Form der Zusammenarbeit. Die beste Verteidigung beginnt mit Klarheit und dem Setzen von Prioritäten. Das bedeutet: Es braucht mehr Informationsaustausch im und zwischen dem öffentlichen Sektor und der Privatwirtschaft sowie die gemeinsame Bereitschaft, sich gegenseitig zu helfen, um die Welt für alle sicherer zu gestalten. Wir sind bei Microsoft davon überzeugt, dass Sicherheit Teamplay erfordert. Unserer Verantwortung in diesem Zusammenhang sind wir uns bewusst.
Anstatt uns auf das zu verlassen, was Cyberkriminelle über sich selbst in Form von Erpressungsversuchen, Forenbeiträgen oder Chat-Leaks sagen, nutzen wir die Bedrohungsdaten von Microsoft, um Einblicke in ihre konkreten Machenschaften zu erhalten. Mit einem umfassenden Überblick über die Bedrohungslandschaft – auf der Grundlage von 43 Billionen Bedrohungssignalen, die täglich analysiert werden – und der menschlichen Intelligenz unserer mehr als 8’500 Expert*innen, zu denen Forensiker*innen, Malware-Ingenieur*innen und Forschende gehören – erfahren wir aus erster Hand, womit Unternehmen konfrontiert sind. Wir helfen Unternehmen dabei, diese Informationen für sich zu nutzen, um Bedrohungen durch Erpressung vorzubeugen und sie zu bekämpfen.
Details zur zweiten Ausgabe von Cyber Signals gibt es hier zum Nachlesen. Weiterführende Informationen zum Thema Security sind hier zu finden.