Cybersecurity-Behörden aus Australien, Großbritannien und den USA haben eine gemeinsame Mitteilung veröffentlicht, in der sie vor einer Zunahme ausgeklügelter Ransomware-Angriffe warnen, die im Jahr 2021 weltweit auf kritische Infrastrukturen abzielen.
Die Vorfälle betrafen eine breite Palette von Sektoren, darunter Verteidigung, Notdienste, Landwirtschaft, Regierungseinrichtungen, IT, Gesundheitswesen, Finanzdienstleistungen, Bildung, Energie, Wohltätigkeitsorganisationen, juristische Institutionen und öffentliche Dienste.
„Die Ransomware-Taktiken und -Techniken haben sich im Jahr 2021 weiterentwickelt, was zeigt, dass die Ransomware-Bedrohungsakteure technologisch immer ausgefeilter werden und die Ransomware-Bedrohung für Organisationen auf der ganzen Welt zunimmt“, so die Behörden in der gemeinsamen Mitteilung.
Spear-Phishing, gestohlene oder erzwungene RDP-Zugangsdaten und die Ausnutzung von Softwarefehlern waren die drei wichtigsten Infektionswege, über die Ransomware in kompromittierten Netzwerken eingesetzt wurde, auch wenn sich das kriminelle Geschäftsmodell zu einem „professionellen“ Markt entwickelt hat, der von verschiedenen Gruppen von Akteuren beherrscht wird, die sich den ersten Zugang verschaffen, Zahlungen aushandeln und Zahlungsstreitigkeiten beilegen.
Nach den öffentlichkeitswirksamen Angriffen auf Colonial Pipeline, JBS und Kaseya im letzten Jahr haben sich die Ransomware-Akteure in der zweiten Jahreshälfte 2021 von der Jagd auf die „großen Tiere“ in den USA abgewandt und sich auf mittelgroße Opfer konzentriert, um sich der Kontrolle der Strafverfolgungsbehörden zu entziehen.
Nachdem sie die Netzwerke der Opfer verschlüsselt hatten, setzten die Ransomware-Angreifer zunehmend auf „dreifache Erpressung“, indem sie drohten, (1) die gestohlenen sensiblen Daten zu veröffentlichen, (2) den Internetzugang des Opfers zu unterbrechen und/oder (3) die Partner, Aktionäre oder Lieferanten des Opfers über den Vorfall zu informieren“, so die Behörden.
Einem neuen Bericht zufolge, der diese Woche von Syhunt veröffentlicht wurde, haben Ransomware-Gruppen von Januar 2019 bis Januar 2022 mehr als 150 Terabyte an Daten von den Opfern gestohlen, wobei REvil allein 44,1 TB der insgesamt gestohlenen Daten von 282 Opfern erbeutet hat.
Zu den anderen Taktiken, die Ransomware-Gruppen anwenden, um ihre Wirkung zu maximieren, gehören Angriffe auf Cloud-Infrastrukturen, um bekannte Schwachstellen auszunutzen, Einbrüche bei Managed Service Providern (MSPs), um über eine einzige Kompromittierung Zugang zu mehreren Opfern zu erhalten, das Einschleusen von Code, der industrielle Prozesse sabotieren soll, das Vergiften der Software-Lieferkette und die Durchführung von Angriffen an Feiertagen und Wochenenden.
Um die Wahrscheinlichkeit und die Auswirkungen von Ransomware-Angriffen einzudämmen und zu verringern, werden Unternehmen dringend aufgefordert, –
Alle Betriebssysteme und Software auf dem neuesten Stand zu halten,
den Zugang zu Ressourcen über interne Netzwerke einzuschränken, insbesondere durch die Einschränkung von RDP und die Nutzung einer virtuellen Desktop-Infrastruktur,
Sensibilisierung der Nutzer/innen für die Risiken von Phishing,
Verlangt starke, eindeutige Passwörter und eine Multi-Faktor-Authentifizierung, um Konten vor Übernahmeangriffen zu schützen,
Daten in der Cloud verschlüsseln,
Implementiere eine Netzwerksegmentierung,
unnötige Kommandozeilenprogramme deaktivieren und Skriptaktivitäten und -berechtigungen einschränken,
den zeitbasierten Zugriff für privilegierte Konten durchsetzen und
Offline-Sicherungen (d.h. physisch getrennte) von Daten durchführen
„Kriminelle Aktivitäten sind durch finanziellen Gewinn motiviert, so dass die Zahlung eines Lösegelds die Gegner ermutigen könnte, weitere Organisationen ins Visier zu nehmen oder Cyber-Kriminelle zu ermutigen, sich an der Verbreitung von Ransomware zu beteiligen“, warnten die Behörden. „Die Zahlung des Lösegelds ist auch keine Garantie dafür, dass die Dateien des Opfers wiederhergestellt werden. Außerdem wird die Verringerung des finanziellen Gewinns der Ransomware-Bedrohungsakteure dazu beitragen, das Geschäftsmodell der Ransomware-Kriminellen zu stören.“