zurück zur Übersicht

Ransomware zielt verstärkt auf Firmen

squeezeDas Thema lässt uns nicht los: Ransomware – Das ist Malware, die Daten verschlüsselt, Systeme blockiert und für den Schlüssel Geld erpresst.

Sie ist inzwischen überall unterwegs und zielt auf alles und jeden ab.

Oder etwa doch nicht?

Niedrige „Zahlungsmoral“ im privaten Sektor

Bisherige Ransomwarekampagnen setzten eher auf Masse als auf Klasse. Ransomware wurde gezielt z.B. per Spam (wir berichteten hier darüber) an möglichst viele Internetbenutzer ausgestreut. Doch das Bild hat sich offenbar gewandelt. Aktuelle Studien (https://www.checkpoint.com/downloads/resources/cerber-report.pdf) zeigen, dass Ransomware bei Privatpersonen oft nur sehr geringe Aussichten auf Erfolg hat.

Natürlich sind diese Maschinen meist sehr viel schwächer gesichert als die in Unternehmen. Aber bei Privatpersonen gibt es gleich mehrere Gründe dafür, dass oft nicht gezahlt wird: Zum einen wollen sich viele ganz einfach grundsätzlich nicht erpressen lassen, so schmerzlich der Verlust der verschlüsselten Urlaubsfotos auch ist. Die Preise sind inzwischen oft auch viel zu hoch für die „Unannehmlichkeit Datenverlust“.

Außerdem sind vor allem Internet-affine Personen, die schon länger mit Computern arbeiten ggfs. schon auf anderem Wege mit einem Datenverlust in Berührung gekommen. Leidgeprüft nehmen sie diesen lieber in Kauf als Kriminelle zu bezahlen. Zu guter Letzt wissen viele auch gar nicht was eine Ransomware überhaupt ist, oder was sie denn genau tun sollen. Kann man den Kriminellen vertrauen, dass sie einem die Daten auch wirklich wieder entschlüsseln? Was ist ein TOR-Browser? Und wie funktioniert das überhaupt mit den Bitcoins?

Diese und andere Gründe führen bei Privatpersonen insgesamt zu besagter niedriger Bezahlquote.

Unternehmen haben oft keine andere Wahl, als zu zahlen

Bei Unternehmen sieht es grundlegend anders aus. Diese zahlen weit häufiger und melden den Vorfall evtl. nicht einmal. Außerdem sind sie in der Lage (und bereits dazu) viel höhere „Margen“ zu zahlen. Vor allem in bestimmten Bereichen kommt es darauf an, die Daten so schnell wie möglich wieder verfügbar zu haben. Oder die Daten müssen aus Audit- oder Compliance Sicht sofort wieder beschafft werden. Oft haben Unternehmen hier gar keine andere Wahl als zu zahlen.

Auch der Mangel an spezialisierten, modernen Sicherheitslösungen und IT-Security-Experten spielt immer wieder eine Rolle. Das kann durchaus absurd scheinende Blüten treiben: Als kürzlich Teile des öffentlichen Nahverkehrsnetzes von San Francisco gehackt wurden, konnte wiederum der E-Mail Account des Angreifers gehackt werden. Eine der überraschenden Erkenntnisse der dabei analysierten Mails ist, dass der Hacker seinen Opfern angeboten hatte, ihnen für eine kleine „Gebühr“ zusätzlich zum erpressten Lösegeld bei der Absicherung ihrer Netzwerke zu helfen. Und mehrere der erpressten Firmen nahmen dieses Angebot tatsächlich an.

Umschwung zu gezielten Attacken

Es ist sehr wahrscheinlich, dass sich die Kriminellen Individuen und Organisationen, die Ransomware einsetzen, in Zukunft stärker damit beschäftigen werden, Ziele auszusuchen und gezielt anzugreifen. Spearphishing ist nur eine der Angriffs-Varianten, die aller Voraussicht nach noch stärker ausgebaut werden. Mit der höheren Aussicht auf Erfolg und größere Gewinne lohnen sich für die Angreifer die zusätzlichen Anstrengungen des Ausspähens und der Individualisierung der Angriffe (Hier mehr zu gezielten Angriffen).

Auch Angriffe auf Industrie- und Produktionsnetze sind sehr wahrscheinlich, da diese derzeit noch weit schlechter gesichert sind und gerade erst im Zuge der Umstellung auf Industry 4.0 ans Netz gehen (erst kürzlich gab es einen Bericht über den Stand zur Sicherheit der Industry 4.0). Zwar werden hier meist kaum Daten verschlüsselt, aber auch das komplette Blockieren von Maschinen würde bei zeitkritischen Produktions-Straßen zu großen finanziellen Schäden führen – das macht ganze Industriezweige erpressbar.

Doch wie schützt man sich gegen die immer neuen oder leicht abgeänderten Ransomware-Attacken?

  • Endpoint Protection Systeme wie Traps von Palo Alto Networks oder Cylance können weite Teile der Schadsoftwareflut bereits bei der Initialinfektion abwehren.
  • Es gibt spezialisierte Systeme wie etwa LastLine, die die Malware frühzeitig erkennen und eine weitere Ausbreitung verhindern können.
  • Treten typische Ransomware-Aktivitäten auf könne diese durch SIEM-Tools wie LogRhythm oder Splunk sehr schnell erkannt und eingedämmt werden.
  • Industrial Security hat ihre eigenen Regeln. Ein essenzieler Teil der Gefahrenabwehr ist hier beispielsweise die Netzwerksegmentierung.
  • Auch die sofortige Reaktion der IT Sicherheits-Abteilung (Incident Response) ist nötig, um Schaden abzuwenden oder schnell zu begrenzen. Sollte hierzu as Personal fehlen, kann es eine Option sein, dies an einen Managed Security Service auszulagern.

 


Quellen:

https://info.phishlabs.com/blog/why-ransomware-works-why-it-doesnt-and-what-it-will-work-on-next
https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar