Anstieg der Ransomware-Angriffe deckt US-Cyber-Sicherheitslücken auf

2021-06-09
In der ersten Hälfte des Jahres 2021 hat sich die Zahl der Unternehmen, die weltweit von Ransomware betroffen sind, im Vergleich zu 2020 mehr als verdoppelt, so eine Untersuchung von Check Point Software Technologies. SynthEx/Shutterstock

Im März 2018 wurde Atlanta von einem Ransomware-Angriff heimgesucht , der fast 3.800 Regierungscomputer der Stadt Atlanta, einschließlich Servern, infizierte. Nachdem der Virus bereitgestellt wurde, sperrte die Ransomware im Wesentlichen alle infizierten Computer, sodass sie nicht mehr zugänglich waren. Das Gerichtssystem von Atlanta ging unter; Polizei konnte Nummernschilder nicht überprüfen; Die Bewohner konnten ihre Rechnungen nicht online bezahlen.

Nur drei Wochen bevor Atlanta getroffen wurde , erlebte auch die kleine Stadt Leeds, Alabama , einen identischen Cyberangriff. Und vor Leeds im Januar war es das Hancock Regional Hospital in einem Vorort von Indianapolis.

Was diese drei Angriffe gemeinsam haben, ist, dass sie alle von der SamSam-Ransomware , auch bekannt als MSIL/Samas.A, getroffen wurden. Jeder Angriff erforderte ungefähr den gleichen Betrag – etwa 50.000 US-Dollar in Kryptowährung . Das Hancock Regional Hospital und Leeds, Alabama, zahlten das Lösegeld. Die Stadt Atlanta jedoch nicht. Stattdessen entschied es sich, Millionen zu zahlen, um seine Systeme wieder online zu stellen.

Zu dieser Zeit war die Stadt Atlanta eine der bekanntesten Städte, die von Ransomware angegriffen wurde. Laut John Hulquist greift ein Cyberkrimineller auf ein Computernetzwerk zu, verschlüsselt alle Daten und erpresst das Unternehmen, sie zu entsperren. Hulquist ist Vice President of Analysis, Mandiant Threat Intelligence bei FireEye , einem nachrichtendienstlichen Sicherheitsunternehmen.

Der Mandiant M-Trends 2021-Bericht von FireEye zeigt einen dramatischen Anstieg der Ransomware-Angriffe von Dezember 2019 bis September 2020.

Ransomware ist nichts Neues

Laut Hulquist sind Ransomware-Angriffe, die im Wesentlichen ein Firmennetzwerk "geiseln", bis das geforderte Lösegeld bezahlt wird, nichts Neues. Sie laufen seit mehreren Jahren (wie diese drei Fälle zeigen).

In der ersten Hälfte des Jahres 2021 hat sich die Zahl der Unternehmen, die weltweit von Ransomware betroffen sind, im Vergleich zu 2020 mehr als verdoppelt , so eine Untersuchung von Check Point Software Technologies. Der Mandiant M-Trends 2021-Bericht von FireEye identifizierte auch mehr als 800 Erpressungsversuche, bei denen wahrscheinlich Daten gestohlen wurden. Diese Zahlen basieren auf Untersuchungen von Mandiant zu gezielten Angriffsaktivitäten, die vom 1. Oktober 2019 bis zum 30. September 2020 durchgeführt wurden.

Die Ziele werden jetzt viel bekannter. Allein in den USA sind seit April prominente Unternehmen wie Colonial Pipeline , JBS Foods , die NBA und die Cox Media Group betroffen.

Hacker greifen in der Regel über Phishing-Angriffe auf Netzwerke zu , bei denen es sich um E-Mails handelt, die an Mitarbeiter gesendet werden, um sie dazu zu bringen, Passwörter preiszugeben oder auf bösartige Links zu klicken, die die Malware in das Unternehmensnetzwerk herunterladen. Über leicht zu knackende Passwörter sucht Ransomware auch nach anderen Einträgen in Firmennetzwerke, wie beispielsweise 123qwe.

Befürchtungen einer Benzinknappheit durch die Stilllegung der Colonial Pipeline im Mai führten zu Panikkäufen und Horten unter US-Autofahrern entlang der Ostküste. Colonial zahlte 4,4 Millionen US-Dollar in Bitcoin, um die Pipeline wieder online zu stellen.

Warum so viele und warum jetzt?

Hulquist erklärt es so: Ursprünglich war Ransomware meist automatisiert und zielte auf kleine Systeme ab. Er nennt es "sprühen und beten".

"Die Ransomware würde ausgehen und jedes System treffen, das sie bekommen konnte", erklärt er. Es suchte nach verwundbaren Passwörtern, offenen Netzwerken und einfachen Zugängen. „[Die Angreifer] waren als sehr freundlich bekannt; sie entsperrten die Daten – boten manchmal sogar Rabatte an – und machten mit ihrem Leben weiter.“ Bitcoin, sagt er, bot eine gute Plattform, um dieses Geld zu überweisen. Genau das ist in Leeds passiert. Die Angreifer forderten 60.000 Dollar; die Stadt zahlte 8.000 Dollar .

Aber dann änderten sich die Dinge, sagt Hulquist. Die Ransomware ging von automatisierten "Spray and Bets" zu großen, gezielten Angriffen auf größere Unternehmen mit mehr Geld. Und die Lösegelder schossen in die Höhe. Im Jahr 2020 zahlten Unternehmen laut dem neuesten Bericht von Chainanalysis , das Blockchain und Kryptowährung analysiert , mehr als 406 Millionen US-Dollar in Kryptowährung als Lösegeld an Angreifer .

"Diese neuen Ziele müssen sich auszahlen, weil es sich oft um kritische Infrastrukturen handelt", sagt Hulquist. "Sie müssen wieder online gehen. Die Verbraucher sind tatsächlich ein Faktor, weil sie diese Unternehmen zwingen, übereilte Entscheidungen in Bezug auf die Zahlung zu treffen."

Bezahlen oder nicht bezahlen?

Das war beim Angriff auf die Colonial Pipeline der Fall. Der Hack hat die größte Treibstoffpipeline der USA am 29. April lahmgelegt und dazu geführt, dass massenhaft Treibstoff an der Ostküste gehortet wird. Der CEO von Colonial Pipeline, Joseph Blount, sagte dem Wall Street Journal, das Unternehmen habe das Lösegeld – 4,4 Millionen US-Dollar in Bitcoin – gezahlt , um die Pipeline wieder online zu bringen. Der von den Gegnern bereitgestellte Entschlüsselungsschlüssel stellte jedoch nicht sofort alle Systeme der Pipeline wieder her.

Und das ist nur eines der Probleme bei der Zahlung von Lösegeld. Die andere große Frage ist, ob die Zahlung von Lösegeld nur noch mehr Probleme fördert. "Ich denke, Lösegeldzahlungen führen eindeutig zu gezielteren Angriffen", sagt Hulquist, "aber wenn Sie ein Unternehmen in einer unmöglichen Situation sind, müssen Sie das Richtige für Ihre Organisation tun."

Die gute Nachricht für Colonial ist, dass das US-Justizministerium am 7. Juni bekannt gegeben hat, dass es 63,7 Bitcoins im Wert von etwa 2,3 Millionen US-Dollar, die Colonial an seine Hacker gezahlt hat, zurückgewonnen hat. „Der Schritt des Justizministeriums, Lösegeldzahlungen von den Betreibern zurückzufordern, die die kritische US-Infrastruktur gestört haben, ist eine willkommene Entwicklung“, sagt Hulquist. "Es ist klar geworden, dass wir mehrere Instrumente einsetzen müssen, um die Flut dieses ernsten Problems einzudämmen."

Natürlich kann es genauso problematisch sein, das Lösegeld nicht zu zahlen. "Einige dieser Unternehmen wollen nicht zahlen, also zwingen sie sie zur Zahlung, indem sie ihre Daten öffentlich preisgeben", sagt Hulquist. "Das ist ein Vorschlag, von dem viele Organisationen keinen Teil haben wollen." Durchgesickerte E-Mails und andere proprietäre Informationen, sagt er, können für einige Unternehmen weitaus schädlicher sein, als einfach nur zu bezahlen. Es kann sie für rechtliche Probleme öffnen oder am Ende ihrer Marke schaden.

Andere Hacker verlangen einfach eine Zahlung, ohne Ransomware zu installieren . So geschah es beim Angriff auf die Houston Rockets im April. Im Netzwerk des NBA-Teams wurde keine Ransomware installiert, aber die Hackergruppe Babuk drohte mit der Veröffentlichung von Verträgen und Geheimhaltungsvereinbarungen, die sie angeblich aus dem System des Teams gestohlen hatte, wenn sie nicht zahlte.

Auch JBS Foods, eines der größten Lebensmittelunternehmen der Welt, wurde am 31. Mai von Ransomware angegriffen. Die Malware betraf einige seiner Server, die seine nordamerikanischen und australischen IT-Systeme unterstützen, und zwang das Unternehmen, den Betrieb am 1. Juni einzustellen.

Was tut die Regierung?

Hulquist sagt, die Regierung könne noch viel mehr tun. "Wir wissen seit einiger Zeit, dass dieses Problem zunimmt, und sie nehmen es jetzt endlich ernst und verstärken ihre Bemühungen", sagt er.

Er bezieht sich natürlich auf mehrere neue Initiativen der Biden-Regierung als Reaktion auf die Zunahme von Ransomware-Angriffen. Am 12. Mai unterzeichnete Präsident Biden eine Durchführungsverordnung zur Verbesserung der Cybersicherheit in den Netzwerken der Bundesregierung. Unter seinen Exekutivmaßnahmen wird es ein Cybersecurity Safety Review Board nach dem Vorbild des National Transportation Safety Board (NTSB) einrichten. Dem Gremium werden wahrscheinlich öffentliche und private Experten angehören, die Cybervorfälle ähnlich wie das NTSB bei Unfällen untersuchen werden.

Anne Neuberger, stellvertretende Assistentin von Biden und stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien, veröffentlichte am 2. Juni ebenfalls einen offenen Brief an „Unternehmensführungskräfte und Unternehmensführer“.

Darin sagt sie, dass der Privatsektor eine Verantwortung für den Schutz vor Cyber-Bedrohungen trägt und dass Unternehmen „anerkennen müssen, dass kein Unternehmen vor Angriffen durch Ransomware sicher ist, unabhängig von Größe oder Standort … Ihre Unternehmens-Cyberabwehr entspricht der Bedrohung."

So schützen Sie Ihr Unternehmen

Was können Sie tun, um die Sicherheit Ihres Netzwerks zu gewährleisten? Die Cybersecurity and Information Security Agency (CISA) und das FBI haben am 11. Mai Best Practices zur Verhinderung von Geschäftsunterbrechungen durch Ransomware-Angriffe veröffentlicht. Darin listen sie sechs Abwehrmaßnahmen auf, die Unternehmen jetzt tun können, um das Risiko einer Kompromittierung durch Ransomware zu verringern:

  1. Erfordern Sie eine Multifaktor-Authentifizierung für den Fernzugriff auf Betriebstechnologie (OT) und IT-Netzwerke.
  2. Aktivieren Sie starke Spam-Filter, um zu verhindern, dass Phishing-E-Mails Endbenutzer erreichen. Filtern Sie E-Mails, die ausführbare Dateien enthalten, um Endbenutzer zu erreichen.
  3. Implementieren Sie ein Benutzerschulungsprogramm und simulierte Angriffe für Spearphishing, um Benutzer davon abzuhalten, bösartige Websites zu besuchen oder bösartige Anhänge zu öffnen, und erzwingen Sie die entsprechenden Benutzerreaktionen auf Spearphishing-E-Mails.
  4. Filtern Sie den Netzwerkverkehr, um ein- und ausgehende Kommunikation mit bekannten bösartigen IP-Adressen zu verhindern. Verhindern Sie, dass Benutzer auf bösartige Websites zugreifen, indem Sie URL-Blocklisten und/oder Zulassungslisten implementieren.
  5. Aktualisieren Sie Software, einschließlich Betriebssysteme, Anwendungen und Firmware, auf IT-Netzwerkressourcen rechtzeitig. Ziehen Sie die Verwendung eines zentralisierten Patch-Management-Systems in Betracht; Verwenden Sie eine risikobasierte Bewertungsstrategie, um zu bestimmen, welche OT-Netzwerkressourcen und -zonen am Patch-Management-Programm teilnehmen sollten.
  6. Beschränken Sie den Zugriff auf Ressourcen über Netzwerke, insbesondere durch Einschränkung des Remote Desktop Protocol (RDP), einem sicheren Netzwerkkommunikationsprotokoll für die Remoteverwaltung. Wenn RDP nach der Bewertung der Risiken als betriebsnotwendig erachtet wird, beschränken Sie die Ursprungsquellen und fordern Sie eine Multifaktor-Authentifizierung.

Hulquist sagt, der ganze Zweck des Spiels sei es jetzt, ein riesiges Ziel zu treffen, das wahrscheinlich zahlen wird – und eines, das zahlen muss. Und die Offline-Nutzung kritischer Infrastrukturen ist nicht ausgeschlossen. Darauf seien die USA nicht vorbereitet, sagt er.

"Unsere Raffinesse ist unsere Achillesferse in diesem Bereich", sagt er. „Es macht uns anfälliger für Vorfälle. Eine der Lehren, die wir aus all dem ziehen sollten, ist, dass wir nicht auf Cyberkrieg vorbereitet sind. Wir wissen, dass sie auf die Gesundheitsversorgung und andere kritische Fähigkeiten abzielen. Jeder lernt daraus. "

Das ist jetzt verrückt

Wer steckt also hinter all diesen Ransomware-Angriffen? Erinnern Sie sich an SamSam, die Ransomware, die Atlanta zerstörte? Im Jahr 2018 hat eine Grand Jury zwei Iraner angeklagt, die wegen des Geldes dabei waren. Drei weitere Ransomwares – NETWALKER, REvil und Darkside – sind sogenannte RaaS (Ransomware-as-a-Service), was bedeutet, dass sie jedem, der seine Malware verbreitet, 10 bis 25 Prozent der Auszahlung gewähren. Darkside soll hinter dem Angriff auf die Colonial Pipeline stecken. Diese Operationen scheinen in Russland angesiedelt zu sein.

Suggested posts

Warum Sie die Verwendung eines privaten Browsers in Betracht ziehen sollten

Warum Sie die Verwendung eines privaten Browsers in Betracht ziehen sollten

Private Browser bieten viel mehr Schutz als der Datenschutzmodus eines normalen Browsers. Sie können Ihre sensiblen Daten schützen, Werbung und Tracker von Drittanbietern abwehren und ein sichereres Surferlebnis bieten.

Was ist das am meisten unbeliebte Video auf YouTube?

Was ist das am meisten unbeliebte Video auf YouTube?

Einige Videos, die du gerne hasst. Und hasse weiter. Der zweifelhafte Gewinner des "Most-Disliked"-Titels steht seit drei Jahren auf dem ersten Platz und zählt.

Related posts

Steganographie: Die Kunst, Botschaften im Blickfeld zu verbergen

Steganographie: Die Kunst, Botschaften im Blickfeld zu verbergen

Die Praxis, geheime Nachrichten zu verbergen, gibt es seit Jahrhunderten in vielen Formen, aber das Aufkommen des Personal Computing in den 1980er Jahren verstärkte sie und Steganographie existiert heute überall um uns herum, unsichtbar direkt vor unserer Nase.

So aktivieren Sie den Facebook-Dunkelmodus

So aktivieren Sie den Facebook-Dunkelmodus

Der dunkle Facebook-Modus ändert Ihren Bildschirm auf einen schwarzen Hintergrund mit weißer Schrift, was Ihre Augen Ihnen danken und Ihr Akku auch nicht hassen wird.

So löschen Sie Ihr Twitter-Konto

So löschen Sie Ihr Twitter-Konto

Haben Sie genug vom Twitterversum? So löschen Sie Ihr Konto.

So aktivieren Sie den Windows 10 Ransomware-Schutz

So aktivieren Sie den Windows 10 Ransomware-Schutz

Ransomware und ihre Auswirkungen kosten Unternehmen und Einzelpersonen mehr als 20 Milliarden US-Dollar pro Jahr, und die Bedrohung lässt nicht nach, da Malware-Agenten weiterhin erfolgreich sind. Wie schützen Sie sich und Ihr Unternehmen?

Top Topics

Language