Auch im Jahr 2018 griffen Cyberkriminelle große Unternehmen u.a. mit Ransomware an. Heute stellen wir ein neues Whitepaper vor, in dem erläutert wird, warum Ransomware - unabhängig von der Unternehmensgröße - immer noch eine ernsthafte Bedrohung darstellt und was gegen Ransomware-Angriffe und Folgeschäden unternommen werden kann.
Der Artikel konzentriert sich auf drei gefährliche Ransomware-Angriffsvektoren: Fernzugriff, E-Mail und Supply-Chain. Das Whitepaper richtet sich insbesondere an CEOs, CIOs, CISOs und Enterprise Risk Manager. Es soll helfen, den aktuellen Status der Ransomware-Bedrohungslage sowie verschiedene sich entwickelnde Problembereiche zu verstehen. Tiefergehende technische Aspekte, beispielsweise wie auf Ransomware reagiert werden soll, befinden sich im Anhang.
Größere Angriffsziele und höhere Lösegeldforderungen
Selbst wenn weniger Unternehmen in der letzten Zeit mit Ransomware konfrontiert wurden, kann man nicht davon ausgehen, dass eine geringere Bedrohungslage vorliegt. In der Fachpresse lesen wir immer wieder, dass Ransomware eher ein „2017er-Problem“ war und in diesem Jahr im Vergleich zu Krypto-Mining weniger auffällt. Zwar reflektiert die Fachpresse den Umstand, dass es in diesem Jahr viel mehr Krypto-Mining-Vorfälle gibt und Ransomware-Aktivitäten dazu im Vergleich geringer ausfallen. Dennoch stellt Ransomware eine sehr ernstzunehmende Bedrohung für Unternehmen dar.
Die US-Stadt Atlanta ist ein gutes Beispiel dafür, was Ransomware anstellen kann. Fünf Regierungsbehörden hat es dort dieses Jahr getroffen: den Strafvollzug, das Wasserressourcenmanagement, die Humanressourcen, die Erholungszentren und die Stadtplanung. Eine Reihe von städtischen Funktionen waren durch einen Cyber-Angriff außer Kraft gesetzt. Wasserrechnungen und Fahrscheine konnten nicht mehr online gezahlt werden. Das WLAN am internationalen Flughafen Hartsfield-Jackson Atlanta wurde für eine Woche deaktiviert. Atlanta lehnte die Zahlung des Ransomware-Lösegelds in Höhe von 50.000 US-Dollar (zu Recht) ab. Die finanziellen Auswirkungen gingen in die Millionen und könnten am Ende bis zu 17 Millionen US-Dollar betragen.
Wie wir im Whitepaper dokumentierten, haben kostspielige Ransomware-Angriffe auch zahlreiche andere Organisationen im SLED-Sektor getroffen (Bundesstaat, Kommune und Bildungswesen). SLED-Entitäten müssen normalerweise über Cyber-Vorfälle berichten, deswegen wissen wir darüber auch Bescheid. Gleiches gilt für den Gesundheitssektor, in dem staatliche Vorschriften die Offenlegung vorschreiben können und wenn die Patientensicherheit gefährdet ist (Lage in den USA).
Die Datenschutzgrundverordnung der EU sieht vor, dass Unternehmen im Falle einer Datenschutzverletzung personenbezogener Daten die zuständigen Aufsichtsbehörden darüber informieren (Art. 33) sowie die Betroffenen (Art. 34).
Aber was ist mit Organisationen, die nicht verpflichtet sind, Datenschutzverletzungen offenzulegen? Wir nehmen an, dass kommerzielle Unternehmen versuchen werden, negative Schlagzeilen zu vermieden im Falle eines Ransomware-Angriffs. Wir können uns also nicht auf Berichte über Ransomware-Angriffe verlassen, um das Ausmaß einer Bedrohung beurteilen zu können. Wir erfahren durch Supportmitarbeiter von Managed Service Providers und von Sicherheitsanbietern, dass Ransomware nach wie vor ein kostspieliges Verbrechen ist und Opfer in allen Geschäftsbereichen zu finden sind.
Einfallstor Remote Desktop Protocol (RDP)
Eine Reihe von 2018 stattgefundenen Ransomware-Angriffen auf Gesundheits- und Regierungsbehörden geht auf die Ransomware-Familie SamSam zurück. ESET-Produkte erkennen die Bedrohung als MSIL/Filecoder.Samas. SamSam penetriert Unternehmen und Organisationen durch Brute-Force-Attacken auf RDP-Endpoints (US Department of Health and Human Services).
Ein RDP-Endpoint ist ein Gerät wie ein Datenbankserver, auf dem RDP-Software ausgeführt wird. Das erlaubt den Zugriff auf den Server beispielsweise über das Internet – geschützt durch Username und Passwort. Brute-Forcing bedeutet hier, dass ein Angreifer versucht die Login-Daten automatisiert zu erraten. Es gibt kaum Mechanismen, vermehrtes falsches Raten und weit verbreitete Beeinträchtigungen des Netzwerks einer Organisation effektiv zu verhindern. Deshalb lohnt Brute-Forcing. Ransomware traf im Juli 2018 über RDP den medizinischen Testgiganten Lab Corp. In weniger als einer Stunde waren 7.000 Systeme und 350 Produktionsserver kompromittiert (CSO).
Am 28. Oktober 2018 registrierte der Shodan-Scanner über zweieinhalb Millionen Systeme im Internet mit aktivem RDP. Über eine halbe Million dieser Systeme befanden sich in den USA. Für Cyber-Angreifer sind all diese Geräte potentielle Ziele. Durch deren Kompromittierung entstehen Chancen für Cyberkriminelle, die Server-Ressourcen zu missbrauchen. Wer die RDP-Server nicht selbst hackt, kann Login-Daten auf Dark-Markets wie xDedic kaufen.
Fazit
Bedrohungen für die Cybersecurity häufen sich und das Phänomen dieser „Bedrohungs-Akkumulierung“ bedeutet, dass ein Anstieg des kriminellen Missbrauchs von Rechenressourcen zum Schürfen von Kryptowährung keinen Mangel an krimineller Entwicklung und Bereitstellung von RDP-Nutzungstechniken verursacht (bspw. zur Schaffung eines profitablen Angriffsvektors für Ransomware). Wer das Remote Desktop Protocol im Unternehmen einschränkt, was aus verschiedenen Gründen nachvollziehbar ist, sollte das Anti-Phishing-Training deswegen nicht vernachlässigen.
In unserem Whitepaper heben wir hervor, dass Organisationen neben einer effektiven Weiterbildung der Mitarbeiter auch Folgendes benötigen: solide und umfassende Sicherheitsrichtlinien, die konsequent umgesetzt werden. Wichtig sind außerdem die richtige Mischung aus Sicherheitsprodukten und -werkzeugen, einschließlich getesteter Sicherungs- und Wiederherstellungssysteme, sowie einen aktuellen „Datenpannen-Reaktionsplan“ parat zu haben. Trotz hoher Wachsamkeit kann niemand absoluten Schutz vor Cyber-Attacken garantieren. Die Bemühungen in der Cybersecurity machen sich aber spätestens dann bemerkbar, wenn es darum geht, Angreifer abzulenken oder sich von einer Cyber-Attacke zu erholen.
Bis die Regierungen der Welt eine globale Détente erreicht haben, wird der Kampf gegen die Cyberkriminalität nicht nur weitergehen, sondern sich auch verstärken. Durch unser Whitepaper hoffen wir erklären zu können, dass Ransomware nach wie vor eine ernsthafte Bedrohung für Unternehmen darstellt. Außerdem zeigen wir, welche Vorteile sich aus proaktiven Handlungen ergeben und wie eventuelle Unternehmensverluste gemindert werden.
