Ransomware: Herkömmliche Tools reichen nicht mehr aus

Ransomware-Angriffe sind ein großes Problem für die Cybersicherheit: Denn ein ganzes Arsenal von Tools zum Schutz vor einer Bedrohung scheint nicht zu funktionieren. Zu diesem Ergebnis kommt eine Studie von Titaniam, in der US-amerikanische Unternehmen befragt wurden. Demnach verfügen zwar mehr als 70 % der Firmen über Lösungen zur Erkennung und Vorbeugung von Cyberangriffen, zugleich waren jedoch fast 40 % im vergangenen Jahr von Angriffen betroffen. Das macht deutlich, dass Prävention, Erkennen und Backups nur einen Teil der notwendigen Maßnahmen für Anti-Ransomware-Lösungen abdecken.

Die Datenexfiltration durch Ransomware-Angriffe ist im Vergleich zu den vergangenen 5 Jahren um 106 % gestiegen. Der Studie zufolge zeichnet sich also ein neuer Trend unter den Cyberkriminellen ab: Anstatt wie früher einfach ganze Systeme zu kapern und im Anschluss zu verschlüsseln, kommt man den Opfern mittlerweile zuvor. So stehlen Cyberkriminelle heute die Daten bereits bevor die Geschädigten den Versuch unternehmen, diese durch Verschlüsselung zu schützen.

Dabei zeigt sich, dass die Ransomware-Angriffe zunehmend von einem zweistufigen zu einem dreistufigen Ansatz übergehen. Im ersten Schritt konzentrierten sich die Attacken auf das Eindringen selbst sowie laterale Bewegungen, um hochwertige Ressourcen und Daten zu identifizieren (Stufe 1). Dann werden diese verschlüsselt, um die Opfer zu erpressen (Stufe 2). Solchen Aktionen kann mit einer Kombination aus Lösungen zur Prävention und Erkennung sowie zur Sicherung und Wiederherstellung begegnet werden.

Die neuesten Ransomware-Angriffe umfassen eine dritte Stufe, bei der die Datenexfiltration im Fokus steht. Dabei werden die in Stufe 2 gestohlenen Informationen zur Erpressung der Opfer verwendet, obwohl diese über Backup-Lösungen verfügen. Der Schutz vor dem Datenklau bleibt also eine schwierige Aufgabe.

„Herkömmliche Tools sind gegen Ransomware und Erpressung unwirksam, da es sich bei den meisten Angriffen nicht um Hacker handelt. Stattdessen verwenden die Eindringlinge gestohlene Login-Daten. In diesem Fall schlagen die üblichen Sicherheitslösungen nicht an, da sie die Angreifer als normale Benutzer einordnen“, sagt Arti Raman, Gründer und CEO von Titaniam.

Indem sie sich in den Netzwerken der Opfer bewegen, können die Angreifer die gesammelten Anmeldeinformationen nutzen, um Daten zu entschlüsseln, zu demaskieren und Tokens zu entfernen – genau wie es ein rechtmäßiger Benutzer oder Administrator tut. Sobald sie die Informationen entschlüsselt haben, können die Angreifer sie exfiltrieren und als Waffe zur Erpressung einsetzen.

Von den befragten Opfern gaben 60 % an, dass die Hacker den Datendiebstahl dazu nutzten, weitere Informationen zu erhalten, was als doppelte Erpressung bezeichnet wird. Und die Mehrheit (59 %) zahlte das Lösegeld. Dies lässt darauf schließen, dass die bisher eingesetzten Backup- oder Datensicherheits-Tools nicht genügend Schutz boten. Die Studie ergab auch, dass die Informationen in 47 % der Fälle mit Technologien abseits der Ransomware erbeutet wurden und verloren gingen.

Dabei setzte jedoch ein großer Teil der befragten Unternehmen (75 %) sogar die drei Hauptsäulen der Lösungen gegen Ransomware-Angriffe ein: Prävention und Erkennung, Sicherung und Wiederherstellung sowie Datenschutz.

Die Firmen gaben in der Studie an, stark in herkömmliche Technologien investiert zu haben, die sich gleichmäßig über diese drei Kategorien verteilen. Im speziellen Fall des Datenschutzes lässt dies darauf schließen, dass herkömmliche Tools gegen Ransomware- und Erpressungsangriffe nicht gerüstet sind. Deshalb suchen die Unternehmen nach effektiveren Lösungen, um sich gegen solche Attacken zu verteidigen.

Unabhängig davon, wie die Informationen verloren gehen: Über 99 % aller Teilnehmer äußerten ihr Interesse an einer Cybersicherheitsplattform, die den Verlust wertvoller Daten verringert.

Darüber hinaus ergab die Studie, dass Unternehmen bereit sind, sehr hohe Ausgaben für die Sicherheit ihrer Daten einzuplanen. Dieser Punkt wurde von 59 % der Befragten als oberste Investitions-Priorität eingestuft, noch vor Tools zur Vorbeugung und Erkennung (56 %) sowie zur Sicherung und Wiederherstellung (47 %). Die große Mehrheit (90 %) gab dabei an, über ein ausreichendes Budget für die Datensicherheit zu verfügen.

In der letzten Frage der Studie wurden die Teilnehmer gebeten, die wichtigsten Faktoren zu nennen, die sie zum Einsatz ihres Etats für die Datensicherheit veranlassen würden. Die häufigste Antwort lautete: „Sie haben von Ransomware- und Erpressungsangriffen auf Fachkollegen gehört.“ Weitere Antworten betrafen Forderungen der Geschäftsleitung, Überlegungen zur Einhaltung von Vorschriften und frühere Ransomware-Angriffe auf das eigene Unternehmen zu treffen – der Prophet scheint im eigenen Land also weniger zu gelten.

Eine der Möglichkeiten, sich gegen die neuesten Ransomware-Angriffe zu schützen, ist die Implementierung von Lösungen zur Datenverschlüsselung. Dadurch lassen sich Informationen vor der Exfiltrierung durch Angreifer schützen. Laut Gartner wird dieser Markt in den kommenden Jahren stark wachsen: Demnach haben etwa 40 % der Unternehmen bis 2023 eine Datenverschlüsselungsstrategie.