Abstract: Ransomware hält die digitale Welt auf Trab. Mit einem Abflauen der Angriffsdichte ist in der kommenden Zeit nicht zu rechnen. Denn Ransomware Angriffe sind relativ leicht durchführbar und immer noch sehr erfolgversprechend für die Angreifer. Was muss man also wissen, um im Falle eines Falles einen kühlen Kopf zu bewahren und richtig zu reagieren und im besten Fall schon vor dem Worst-Case richtig geschützt zu sein?

Zahlen oder nicht zahlen – das ist hier nicht die Frage. Zumindest nicht für Cybersecurity-Experten. In der Hoffnung, schnell die Business-Continuity wiederherstellen zu können, scheinen aber immer noch viele Unternehmen sehr schnell auf digitale Lösegeldforderungen einzugehen. Würden die meisten Unternehmen nicht zahlen, würden die USA beispielsweise nicht überlegen, die Zahlung solcher Forderungen unter Strafe zu stellen. Die Stoßrichtung ist bei dieser Überlegung der US-Regierung aber auf alle Fälle die Richtige. Denn der Erfolg solcher Zahlungen ist nicht garantiert und viel schlimmer: Mit dem Geld könnten terroristische Aktivitäten unterstützt und nationalstaatliche Hackergruppen finanziert werden. Damit nimmt eine erfolgreiche Ransomware-Attacke ganz neue Dimensionen an und in einem Schneeball-Effekt können Cyber-Angreifer so immer schneller und immer effizienter Geld erbeuten.

„Zu klein, um Opfer zu werden“ gibt es nicht

Natürlich stellt sich die Frage, wie wichtig staatlich unterstützte Hackergruppen im Alltag von Unternehmen sind. Aber selbst, wenn ein privates Unternehmen „nur“ Opfer „normaler“ Hacker wird, unterstützen Lösegeldzahlungen auch hier weitere kriminelle Aktivitäten. So ebnet ein erfolgreicher Angriff zumindest den Weg für die nächsten Attacken auf andere Opfer. Und Hackergruppen, die Nationalstaaten nahestehen, sind öfter aktiv, als man eventuell annehmen möchte. Denn jedes Unternehmen bietet ihnen ein mögliches Ziel. Die Aussage „Mein Unternehmen ist zu klein, um von diesen Akteuren angegriffen zu werden“, ist reine Augenwischerei. Im simpelsten Fall ist ein kleines Unternehmen, das gegebenenfalls auch nur über eine schlechte Cyberabwehr verfügt, ein Ziel, das schnell und unkompliziert Geld bringt. Im schlimmsten Fall sind aber auch kleinere Unternehmen ein wichtiger Schritt auf dem Weg zu den ganz großen Fischen. Sobald ein Unternehmen Schnittstellen, Kontaktpunkte oder Daten zu anderen Unternehmen hat, die näher an den eigentlichen Zielen liegen, werden sie für Cyber-Kriminelle interessant. Denn ein Dienstleister des eigentlichen Ziels könnte den Angreifern genug Informationen und Daten liefern, damit diese eine täuschend echt aussehende Rechnung mit einem schadhaften Link erstellen können, um so in das System des Zielunternehmens zu kommen. Und auch wenn solch eine Verbindung eventuell nur über viele Ecken besteht, bedeutet das nicht, dass die Hacker diesen Weg nicht gehen werden. Ist das Ziel nur wichtig genug, sind Angreifer bereit viel Zeit und Ressourcen zu investieren, um dorthin zu gelangen.

Eine neue Qualität von Angriffen

Vor allem staatlich unterstützte Angreifergruppen haben oft sehr spezifische Opfer im Blick und sind bereit, viel Aufwand in Kauf zu nehmen, um in deren Netzwerke zu gelangen. Um das zu schaffen, setzen Sie oft neue Maßstäbe, was die Qualität von Angriffen betrifft. Ein Bedrohungsakteur, der dies erst kürzlich beeindruckend gezeigt hat, ist MalKamak. Diese Hacker-Gruppe hebt die Verschleierung ihrer Aktivitäten im Opfernetzwerk auf ein neues Level. Während die Angriffe dieser Hacker vor allem auf kritische Infrastrukturen im Nahen Osten abzielt, sind ihre Aktivitäten letztendlich für uns alle relevant. Denn hier zeichnen wichtige Trends und Entwicklungen ab. Frei nach dem Motto: „Was bei den großen Angreifern funktioniert, klappt wahrscheinlich auch in der Masse!“

Digitale Angriffe werden dabei immer zugespitzter und die Angreifer immer geschickter, wenn es darum geht, Cybersecurity zu umgehen. MalKamak nutzt beispielsweise Dropbox (eine oftmals als sicher eingestufte Anwendung), um nicht ins Netz der Verteidiger zu gehen. MalKamak ist zwar vor allem auf Cyber-Spionage aus – aber ihre Herangehensweisen und Taktiken sind sehr effizient und könnten sich schon bald in der Masse der Ransomware-Angriffe niederschlagen. Daher müssen sich quasi alle Unternehmen fragen, ob sie nicht schon längst Opfer geworden sind, ohne es mitzubekommen. In Zukunft wird es daher auch immer wichtiger, jede einzelne Netzwerkaktivitäten zu überprüfen und sie in korellation mit anderen Netzwerkereignissen zu stellen. Denn einzeln betrachtet wirkt so manche Aktivität in der digitalen Umgebung eines Unternehmens harmlos – ganzheitlich betrachtet erkannt man vielleicht aber doch, dass sie Teil eines Angriffs ist und sich nur gut tarnt. Was müssen Entscheider also wissen, um sich mit dem Thema Ransomware informiert auseinandersetzen zu können?

Erfolgsgeschichte Ransomware

Die Zahl der Ransomware-Angriffe steigt stetig. Nicht zuletzt ist das Erfolgsmodell „RaaS“, also Ransomware as a Service, dafür verantwortlich. Das Software Engineering Institute (SEI) [1] der Carnegie Mellon University definiert RaaS als „ein neues Geschäftsmodell für Ransomware-Entwickler. [Diese Akteure] verkaufen oder vermieten ihre Ransomware an Partner, die sie dann zur Umsetzung eines Angriffs verwenden.“ In diesem Geschäftsmodell können die Entwickler die Höhe des Lösegelds festlegen, die Verhandlungen mit den Opfern koordinieren und dann einen Teil des Lösegelds für ihre Dienste einbehalten. Die Partner erhalten den Rest für ihren Beitrag zur Durchführung des Angriffs, so Bleeping Computer.

Dabei darf RaaS nicht unterschätzt werden. Die Angriffe sind keine harmlosen Spielereien von Hobby-Kriminellen. Teilweise steht hinter den RaaS-Anbietern ein Team aus fähigen Hackern, welche die Schadsoftware schreiben. Und auch der Service-Gedanke kommt bei ihnen nicht zu kurz. So können „Kunden“ Tutorials zur Schadsoftware bekommen und manche stellen sogar einen Kundenservice wie herkömmliche SaaS-Anbieter bereit. Damit wird die Anzahl ausgeklügelter Ransomware-Attacken in der nahen Zukunft nur noch weiter steigen. Zu glauben, man könne selbst kein Opfer werden, ist also eher Wunschdenken als Realität.

Die Kosten steigen

Die Angriffe werden nicht nur mehr, sie werden für die Opfer auch immer kostspieliger. Die REvil Forderung an Acer über 50 Millionen US-Dollar [2] ist eine der bislang höchsten digitalen Lösegeldforderungen, die uns bekannt sind. In der Höhe sind sie bislang ein starker Ausreißer – aber gleichzeitig auch Teil des Trends zu immer höheren Forderungen [3].

Zusätzlich zu dem Lösegeld bringt eine erfolgreiche Ransomware-Attacke aber auch noch weitere Kosten mit sich, die Unternehmen nicht unterschätzen sollten. In einer Studie zu den tatsächlichen Kosten von Ransomware [4] haben uns über die Hälfte der befragten Unternehmen in Deutschland (51 Prozent) geantwortet, dass die Marke und der Firmen-Ruf nach einer erfolgreichen Attacke Schaden genommen haben. Da verwundert es auch nicht, dass sogar 75 Prozent der Befragten signifikante Umsatzeinbußen hinnehmen mussten. Dies kann sogar so weit führen, dass aufgrund einer erfolgreichen Attacke Mitarbeiter entlassen werden müssen. In Deutschland war dies bei immerhin 19 Prozent der befragten Unternehmen der Fall – mehr als genug, um die Gefahren und Kosten abseits der Lösegeldforderungen ernst zu nehmen. Dieser Fakten sollten sich alle Entscheider bewusst sein, wenn sie sich für oder gegen einen besseren Ransomware-Schutz entscheiden.

Allzweckwaffe Backup?

Die Datensicherung galt lange Zeit als probates Mittel gegen Cyber-Erpresser. Und tatsächlich hilft ein Backup immer noch dabei, wichtige Daten nicht zu verlieren, sollte man doch Opfer einer Ransomware Attacke werden. Natürlich ist es aufwändig das Backup wieder einzuspielen – aber dies ist allemal die bessere Option als die Daten zu verlieren. Dessen sind sich auch die Kriminellen bewusst und haben Mittel und Wege gesucht, um auch diese Form der Abwehr zu umgehen.

Zum einen hilft es den Erpressern, länger unentdeckt im Netzwerk zu sein. Hier spielt natürlich die kriminelle Innovationskraft zur Verschleierung der eigenen Taten, wie wir sie bei MalKamak sehen, eine wichtige Rolle. Denn je länger die Malware im System ist, desto älter muss auch das Backup sein und desto mehr Daten gehen beim Zurücksetzen auf einen alten Stand des Systems verloren. Viel wichtiger ist aber die sogenannte „Double Extortion“ [5]. Denn wie oben beschrieben, ist neben dem Datenverlust auch der Vertrauensverlust eine ernstzunehmende Gefahr für Unternehmen. Jener wiegt umso schwerer, wenn plötzlich die verschlüsselten Daten im Netz auftauchen. Aus diesem Grund exfiltrieren viele Ransomware-Angreifer die Daten, die sie verschlüsseln vorher und bedrohen das Opfer mit der Veröffentlichung dieser Daten. Egal ob es sich also um Daten aus der Produktentwicklung oder Kundendaten handelt, möchte das Opfer diese nicht in der Öffentlichkeit sehen. So ist das Backup zwar immer noch eine gute Möglichkeit, um dem Verlust der Daten vorzubeugen. Als Waffe im Kampf gegen Ransomware ist die Datensicherung allein aber schon lange ein stumpfes Schwert.

Bloß nicht zahlen

In der Hoffnung, dass die Angreifer die Daten schnell wieder entschlüsseln und nicht ins Netz stellen, könnten Unternehmen in Versuchung gebracht sein, das Lösegeld schnellstmöglich zu zahlen. Aber am anderen Ende der Forderung stehen immer noch kriminelle Erpresser. Damit ist die Zahlung kein Garant dafür, dass dies auch so geschieht. Ein aktueller Bericht [6] zeigt, dass sich 2020 56 Prozent der Ransomware-Opfer für die Zahlung entschieden haben. Aber ganze 17 Prozent der Unternehmen, die das Lösegeld beglichen haben, erhielten ihre Daten trotzdem nicht zurück. Ein Spiel mit dem Feuer, bedenkt man, wie die Forderungen steigen. Dabei ist die erfolglose Entschlüsselung teilweise keine böse Absicht. Manche Erpresser haben schlicht nicht die Fähigkeit [7] (oder das Interesse) einen voll funktionsfähigen Entschlüsselungscode zu schreiben.

Aber die relativ unsichere Aussicht auf Erfolg ist nicht der einzige Grund, warum es sich für Unternehmen nicht lohnt zu zahlen. Oft ist die Zahlung nämlich nur der Anfang einer Reihe weiterer Angriffe. Denn für die Angreifer sind zahlungswillige Opfer ein gefundenes Fressen. Ganz nach dem Mott „Wer einmal zahlt, tut es auch wieder“. Die Zahlen sind hier eindeutig: 80 % der Unternehmen, die Lösegeld bezahlt haben, wurden Ziel erneuter Erpressungen [8]. Dabei müssen es nicht einmal immer dieselben Angreifer sein. Die Information darüber, ob ein Opfer schnell bereit ist zu zahlen und damit ein gutes Ziel darstellt, lässt sich auch gut an andere Kriminelle weiterverkaufen.

Proaktiv gegen Ransomware

Angriff ist die beste Verteidigung. Das gilt vor allem bei der Abwehr von Ransomware-Angriffen. Wer den Angreifern also nicht immer nur hinterherrennt, sondern ihnen proaktiv das Leben schwer macht, wird auch auf lange Sicht gegen sie bestehen. In diesem Katz-und-Maus Spiel immer einen Schritt voraus zu sein wirkt wie eine unlösbare Aufgabe. Schließlich können die Kriminellen immer neue Maschen ersinnen, welche die Verteidiger auf dem falschen Fuß erwischen. Aus diesem Grund sollten Unternehemen auf Lösungen wie XDR (Extended Detection and Response) setzen, welche keine starren Parameter zum Erkennen von Angreifern benötigen, sondern Angriffe auch dann erkennen, wenn diese auf ganz neuen Ideen basieren. Mit der Hilfe von Behavioral Analytics und künstlicher Intelligenz erkennt XDR nämlich auch sicherheitsrelevante Zwischenfälle, die bisher unbekannt sind. Um das zu schaffen, nutzt XDR die Analyse von Ereignis-Telemetrie in Systemen, die über Endpunkte wie Laptops und mobile Geräte hinausgehen und auch Cloud-basierte Ressourcen, Benutzeridentitäten, Netzwerk-Tools und andere Teile der IT-Infrastruktur einschließen. So erfasst die XDR-Plattform alle Ereignisse im Netzwerk und bringt diese in Verbindung miteinander. Verdächtige Aktivitäten werden so schnell und präzise erkannt und Angreifer können gestoppt werden, bevor sie Schaden anrichten.

Den Kriminellen einen Schritt voraus

Was bedeutet das alles aber für den Umgang mit erfolgreichen Ransomware-Angriffen und den Schutz vor eben jenen? Sollte es zum schlimmsten Fall gekommen sein und die Hacker haben wichtige Daten verschlüsselt, heißt es: Ruhe bewahren! Überstürzte Zahlungen helfen nur den Kriminellen. Jedes Opfer einer Ransomware-Attacke muss sich bewusst machen, dass die tatsächlichen Kosten am Ende viel höher ausfallen und die Zahlung des Lösegelds keine Garantie dafür ist, schnell und umfänglich alle Daten wiederzuerlangen. Zusätzlich offenbart man sich als zahlungswilliges Opfer, das auch in Zukunft wahrscheinlich ein lohnendes Ziel darstellt. Ist das Kind erst in den Brunnen gefallen, ist der meiste Schaden schon angerichtet. Hier hilft nur noch, sich die Fähigkeiten von Profis an Bord zu holen und Schadensbegrenzung zu betreiben, die nicht den Kriminellen Geld in die Kassen spült. Je weniger Geld bei den Angreifern ankommt, desto unattraktiver wird diese Angriffsart in Zukunft sein. Wer nicht zahlt, hilft also auch der gesamten digitalen Gesellschaft, indem der Geldhahn für die Hacker zugedreht wird.

Um es gar nicht so weit kommen zu lassen stellen, wie dargelegt, moderne XDR-Lösungen mit Behavioral Analytics und künstlicher Intelligenz ein wichtiges Werkzeug dar, um den Angreifern proaktiv begegnen zu können. Wichtig für das Verständnis zum Schutz vor Ransomware ist, dass es nicht darauf ankommt möglichst viel und starke künstliche Intelligenz einzusetzen. Dies wäre eventuell die sprichwörtliche Kanone, mit der man auf Spatzen schießt. Beim Schutz vor Ransomware sollte also das Zeitfenster zwischen dem ersten Eindringen eines Angreifers in das Netzwerk und dem Zeitpunkt, zu dem Verteidiger in der Lage sind, den Angriff zu erkennen zu und darauf zu reagieren, minimiert werden. Es kommt also nicht auf die Menge der KI an, sondern auf deren optimalen Einsatz, um dieses Ziel zu erreichen. Dabei lohnt sich die Auseinandersetzung mit diesen Lösungen gleich doppelt: Denn die optimierte Bedrohungsanalyse und -abwehr mit modernem XDR bietet nicht nur den so dringend benötigten Schutz, sondern entlastet auch das Security-Personal. Je genauer und übersichtlicher ein Alarm ist, desto einfacher können die Experten mit diesem umgehen und die nötigen Gegenmaßnahmen einleiten.

Letztendlich sind Verständnis und Abwehr von Ransomware-Angriffen kein Hexenwerk. Wichtig ist, dass darüber gesprochen wird und ein Austausch stattfindet. Zu einem guten Teil werden Angreifer mit dieser Masche wohl immer noch Erfolg haben, weil manche Unternehmen die Summe aus Scham zahlen – in der Hoffnung, dass der erfolgreiche Angriff nicht bekannt wird. Das gießt aber Öl ins Feuer der Ransomware-Plage. Gemeinsam können wir es aber schaffen, dass immer mehr digitale Lösegeldforderungen erfolglos bleiben. Dann verlieren die Kriminellen mit der Zeit auch ihre Lust an dieser Angriffsform.

Quellen und Referenzen:

[1] https://insights.sei.cmu.edu/blog/ransomware-as-a-service-raas-threats/

[2] https://www.cybereason.com/blog/sodinokibi/revil-ransomware-gang-hit-acer-with-50m-ransom-demand

[3] https://www.infosecurity-magazine.com/news/average-ransom-payment-surged-171/

[4] https://www.cybereason.com/ebook-ransomware-the-true-cost-to-business

[5] https://www.cybereason.com/blog/rise-of-double-extortion-shines-spotlight-on-ransomware-prevention

[6] https://www.kaspersky.com/about/press-releases/2021_over-half-of-ransomware-victims-pay-the-ransom-but-only-a-quarter-see-their-full-data-returned

[7] https://www.bleepingcomputer.com/news/security/fbi-warns-of-prolock-ransomware-decryptor-not-working-properly/

[8] https://www.cybereason.com/ebook-ransomware-the-true-cost-to-business