Ransomware: Die IT-Pest unserer Zeit

Erfolgreiche Cyberangriffe mit der Erpressersoftware Ransomware nehmen zu. Wie funktioniert das Geschäft und was kann man dagegen tun?

Die Angreifer sind rücksichtslos und nicht wählerisch: Der Versicherungskonzern Axa, der US-Pipelinebetreiber Colonial Pipeline, das irische Gesundheitswesen, der taiwanesische IT-Konzern Quanta, verschiedene US-amerikanische Städte und Kommunen, darunter die Stadtverwaltung von Baltimore sowie Washingtons Polizeibehörde, gehören zu den in den letzten Monaten attackierten Zielen. Die Intention ist immer die gleiche: Lösegeld für verschlüsselte Daten erpressen.

Der Schaden durch Ransomware ist groß

Laut einer Untersuchung des Security-Dienstleisters eSentire wurden seit Beginn dieses Jahres bereits mehr als 290 Unternehmen durch Ransomware angegriffen. Doch selbst wenn der Erfolg ausbleibt und es nicht zur Zahlung von Lösegeld kommt, ist der Schaden groß. Betroffene IT-Systeme müssen vom Netz getrennt werden, Back-ups zurückgespielt und Systeme neu installiert werden.

Das kostet viel Zeit, währenddessen die IT-Systeme nicht einsatzfähig und damit Mitarbeitende nicht arbeitsfähig sind. Da oftmals nicht klar ist, welche Computer in Mitleidenschaft gezogen wurden, wird häufig umfassend neu installiert, was den Aufwand enorm erhöht und Wochen oder Monate dauern kann. Die wenigsten Unternehmen sind auf ein solches Großschadens­ereignis vorbereitet.

Jedem Angriff geht eine Erkundungsphase voraus

Dabei kommen die Attacken nicht überraschend, wie Analysen des Security-Unternehmens Varonis der von der aktuell erfolgreichen Cybergang Dark­side eingesetzten Malware zeigen. Jedem Angriff geht eine umfangreiche Erkundungsphase voraus, die einige Wochen dauern kann. Sicherheitslücken in Systemen und Opfer für Phishing-Kampagnen werden ausgekundschaftet, um Einfallstore zu entdecken. Ist der Einbruch ins Unternehmensnetz gelungen, suchen die Kriminellen nach attraktiven Rechnern wie Domain-Controller oder Active-Directory-Server, über die Zugriffsrechte gesteuert werden.

Sukzessive werden Zugriffsrechte erweitert und alle Daten, die den Dieben dadurch in die Hände fallen, entwendet. Das waren in einem jüngsten Fall 700 GByte. Spätestens dadurch sollten im Unternehmen die Alarmsirenen ausgelöst werden. Darkside löscht anschließend alle erreichbaren Datensicherungen, stoppt Datenbanken sowie E-Mail-Server und beginnt mit der Verschlüsselung relevanter Dateien.

Sechs dominierende Gangs haben den Markt unter sich aufgeteilt

So oder ähnlich arbeiten die meisten Ransomware-Gangs. Laut der oben genannten Untersuchung haben sechs dominierende Gruppen den „Markt“ unter sich aufgeteilt, überwiegend nach Branchen. Dahinter steckt kein Gentleman-Agreement, Sicherheitsforscher berichten von harten Konkurrenzkämpfen zwischen den Gruppen. Während sich etwa die Ryuk-/Conti-Gang auf große Industrie-, Bau- und Transportunternehmen konzentriert, greift die Sodin-/Revil-Gruppe bevorzugt das Gesundheitswesen und Laptophersteller an.

Eins der Ziele war der taiwanesische IT-Hersteller Quanta, der unter anderem Notebooks für Apple herstellt. Nachdem Quanta Lösegeldzahlungen von 50 Mio. $ verweigert hatte, veröffentlichten die Diebe Details zu neuen Apple-Produkten. Der Silicon-Valley-Gigant zeigte sich daraufhin verstört.

Dieses Beispiel verdeutlicht ein weiteres „Geschäftsfeld“ der Gangster. Da viele Unternehmen ihre Back-up-Strategien verbessert haben, sind sie häufig nicht mehr bereit, Lösegeld zu zahlen, und holen verlorene Daten lieber aus der Datensicherung zurück. Dem begegnen die Kriminellen mit der Drohung von Veröffentlichung oder Verkauf gestohlener Daten.

Gesundheitsdaten mit besonderer Brisanz

Besondere Brisanz erhält die Vermarktung gestohlener Daten, wenn es sich um Gesundheitsdaten, also Patientendaten, handelt. Doch die Geschäftstüchtigkeit der Kriminellen reicht weiter. Die erst seit Sommer letzten Jahres aktive Darkside-Gang betreibt eine Art Franchising, Ransomware-as-a-Service (RaaS) genannt. Sie vermieten ihre Malware samt Infrastruktur an „Kunden“, die damit dann Opfer angreifen. 20 % bis 40 % des Erlöses erhalten die Gangs dafür.

Die Nachfrage ist groß, die Gangs können es sich leisten, bei der Wahl ihrer Kunden wählerisch zu sein. „Die Voraussetzung für einen Kandidaten, der an einem hochkarätigen RaaS-Partnerprogramm teilnehmen möchte, ist in der Regel der Nachweis, über kompromittierte Zugänge zu lukrativen Unternehmensnetzwerken zu verfügen“, berichtet der Security-Spezialist Intel 471. Der Erfolg bleibt nicht aus: Laut dem US-Nachrichtensender CNBC erbeutete beispielsweise Darkside in den letzten neun Monaten mehr als 90 Mio. $.

FBI rät zu stärkeren Schutzmaßnahmen

Besorgt raten FBI und die US-Cybersecurity-Behörde Cisa Unternehmen dringend zu verstärkten Schutzmaßnahmen. Dazu zählen sie eine „Netzwerksegmentierung zwischen IT-Netzwerken und der Operation Technology (OT), eine robuste Back-up-Strategie, die regelmäßig getestet wird, sowie Back-up-Systeme, die vom Unternehmensnetzwerk isoliert sind“. Außerdem sollen Back-ups kritischer Daten an verschiedenen Orten gesichert werden. Moderne Spamfilter helfen, Phishingmails auszusortieren. Zugriffsrechte sollten auf das Notwendigste reduziert und Systemsverwaltungsrechte auf einen kleinen Personenkreis eingeschränkt werden. Remote Access, also Fernzugriffe, auf OT- and IT-Netze sollte mittels Multi-Faktor-Authentifizierung abgesichert werden, so US-Behörden.

Derweil sucht Darkside nach neuen Geschäftsfeldern. Sie bieten Aktienhändlern aus gestohlenen Daten gewonnene Insiderinformationen zu aktuellen Opfern an, damit die Broker auf fallende Kurse dieser Aktien wetten können, bevor die gehackten Unternehmen in die Schlagzeilen geraten.