Home > Cybersecurity > Ransomware: Die Gefahr wohnt nebenan

Ransomware: Die Gefahr wohnt nebenan

Sheila Zabeu -

Februar 03, 2022

Laut der jährlichen Studie des Identity Theft Resource Centers (ITRC) erreichte die Zahl der Ransomware-Angriffe im Jahr 2021 ein Rekordhoch. Neben der Zunahme dieser Art von Cyberkriminalität zeigt sich jedoch erneut, dass die Gefahr möglicherweise näher ist, als man denkt. Ransomware-Banden rekrutieren Unternehmensmitarbeiter, die einfachen und legitimen Zugang zu Unternehmensdaten und -netzwerken haben. So vergrößern sich ihre cyberkriminellen Gemeinschaften.

Laut einer Hitachi ID-Studie von Anfang 2022 wurden etwa 65 % der Mitarbeiter und Führungskräfte in Unternehmen verschiedener Branchen um Hilfe bei Ransomware-Angriffen gebeten. Das sind 17 % mehr als bei einer ähnlichen Umfrage aus dem dritten Quartal 2021. Dies zeigt, dass die Quelle der Angriffe zunehmend in den Unternehmen selbst liegt.

Von denjenigen, die um Hilfe bei Ransomware-Angriffen gebeten wurden, meldeten 49 % den Vorfall an die Behörden. Nur 18 % gaben ihn sowohl intern als auch extern an.

In den meisten Fällen erfolgte die Kontaktaufnahme durch Personalvermittler per E-Mail (59 %). Andere Wege, um mit IT-Mitarbeiterin in Kontakt zu treten, waren Telefon (27 %) und soziale Medien (21 %).

Viele der befragten Unternehmen sehen sich für die Abwehr von Ransomware-Angriffen gewappnet. Sie verlassen sich dabei ausschließlich auf die Netzwerk-Perimeter-Verteidigung. Die Mehrheit der Entscheider (45 %) gibt an, dass sie in erster Linie diese Art von Cybersicherheitstechniken einsetzen, wobei 6 % ausschließlich die Perimeter-Verteidigung nutzen. Und genau hier liegt möglicherweise die Schwachstelle in der Ressourcenkette der Cybersicherheit: Sie zielt nur auf böswillige Akteure von außen ab und nicht auf interne Fachleute, die von Ransomware-Banden rekrutiert wurden und möglicherweise an den Rändern des Unternehmens operieren.

Insgesamt gaben 57 % der Befragten an, dass ihnen Bargeld oder Bitcoins im Wert von weniger als 500.000 US-Dollar angeboten wurden.

Von den 65 % der Unternehmen, deren Mitglieder um Hilfe bei Ransomware-Angriffen gebeten wurden, fielen schließlich 49 % Opfer dieser Art von Cyberkriminalität zum Opfer. Der Studie zufolge konsultierten die meisten dieser Betriebe externe Berater, bevor sie handelten. Es wurde ihnen geraten, das Lösegeld nicht zu zahlen. 26 % zahlten das Lösegeld, 29 % kamen den Forderungen nicht nach und 32 % gaben keinen Kommentar ab.

Ahnungslose Mitarbeiter

Nicht nur böswillige Mitarbeiter, die von der Cyberkriminellen angeworben wurden, können interne Ransomware-Angriffe ermöglichen, sondern auch ahnungslose Mitarbeiter.

Im letzten Jahr wurden von Ransomware-Gruppen verschiedene Angriffsvektoren benutzt. Unter den drei wichtigsten Vektoren waren die häufigsten Mitarbeiter, die unbeabsichtigt Malware installierten. Hierbei klickten sie auf ein bösartiges Makro oder eine komprimierte ausführbare Datei. Mit anderen Worten: Es war nicht einmal notwendig, potenzielle Schwachstellen in Systemen auszunutzen – ahnungslose Mitarbeiter erledigten die Arbeit für die Hacker.

Expel, ein Anbieter von Erkennungs- und Reaktionssystemen für kleine und mittlere Unternehmen bis hin zu großen Organisationen, wertete 2021 verschiedene Ransomware-Vorfälle aus. Bei 83 % davon handelte es sich um diese Malware-„Selbstinstallationstechnik“ für Ransomware.

Von allen Vorfällen, bei denen die „Selbstinstallationstechnik” angewandt wurde, verwendeten 71 % komprimierte Dateien mit JavaScript, 7 % komprimierte ausführbare Dateien und 4 % enthielten Excel-Makros.

Der Studie zufolge nutzten Cyberkriminelle außerdem Softwareschwachstellen innerhalb von Perimetern aus (4 % aller Ransomware-Vorfälle). An zweiter Stelle steht der Missbrauch des Zugriffs durch Dritte (3 %, z. B. durch Angriffe auf die Software-Lieferkette oder die Verwendung gefährdeter privilegierter Anmeldedaten). Im ersten Fall zielten die Angreifer auf Server mit Windows-Betriebssystemen ab. Dabei nutzten sie eine anfällige Version von WordPress, einem beliebten Content-Management-System, aus. Im zweiten Fall erfolgte der Zugriff mit privilegierten Zugangsdaten per Fernzugriff über das Remote Desktop Protocol (RDP) von Microsoft oder ein Citrix-Gateway.

Expel identifizierte verschiedene Malware-Familien für Ransomware-Operationen. Die wichtigsten waren der Gootkit-Loader (44 % der Vorfälle), das SocGholish-Framework (15 %) und der Beacon-Agent des Cobalt Strike-Tools (3 %).

Die Zahlen sprechen für sich: Ransomware stellt eine Gefahr für IT-Systeme dar. Umso wichtiger ist es, Ransomware-Aktivitäten zu erkennen, bevor sie Schaden anrichten. Die Studie von Expel zeigt anhand von Mustern auf, wie Anwender sich im Falle eines solchen Cyberangriffs richtig verhalten können. Diese Schemata beziehen sich auf Endpunkte sowie Netzwerke und können hier überprüft werden.