Der Aufstieg von Ransomware mit doppelter Erpressung

Veröffentlicht: 2022-01-11

Seit Jahren müssen sich Unternehmen der Bedrohung durch Ransomware-Angriffe stellen. Profitable Hacks verursachen Verwüstungen im Arbeitsalltag eines Unternehmens, indem sie Geräte herunterfahren und private und besondere Informationen stehlen. Als Reaktion darauf entwickeln sich technologisches Know-how und Präventionssysteme weiter, aber auch die Methoden der Kriminellen. In den letzten zwölf Monaten ist eine bemerkenswerte Zunahme der Auswahl dieser Angriffe zu verzeichnen, da opportunistische Angreifer auf den geschwächten Stabilitätsumgebungen des Hybridbetriebs huckepack reiten. 30 bis 7 Prozent der Unternehmen auf den britischen Inseln haben dem Data Commissioner's Office (ICO) in diesem Jahr einen Vorfall von Faktenverletzungen gemeldet.

Die Verbesserung von Cybersicherheitsansätzen und -erkennung hat Angreifer dazu gezwungen, ihre Verfahren weiterzuentwickeln und in neue Territorien von Unternehmen vorzudringen, was ihre Schritte schwieriger zu regulieren macht. Auch die Beweggründe der Cyberkriminellen ändern sich und gehen von der Übernahme von Unternehmen über die Erpressung von Lösegeld bis hin zur Verursachung so erheblicher Störungen wie möglich aus politischen Gründen wie massive Schließungen von alltäglichen wichtigen Expertendiensten.

Zuvor hatten wir in diesem Kalenderjahr einen Stillstand bei Produkten und Dienstleistungen für Colonial Pipeline in den USA erlebt, dank eines Ransomware-Angriffs, der das nicht börsennotierte Unternehmen unter Druck setzte, geglaubte 5 Millionen Dollar in Bitcoin auszugeben, um Lösungen wieder zu regulieren und aufrechtzuerhalten. Im selben Monat wurde die irische Gesundheitsbehörde unter Druck gesetzt, ein Lösegeld in Höhe von 20 Millionen US-Dollar zu zahlen, um die persönlichen Informationen ihrer Patienten wahrscheinlich öffentlich zu machen. Selbst nachdem eine Vereinbarung getroffen wurde, gelangten immer noch 520 Informationen ins dunkle Internet, was die Unberechenbarkeit von Kriminellen noch mehr unterstreicht.

Die Entwicklung von Ransomware-Angriffen hat in den letzten Jahren erheblich zugenommen. Anstatt Daten zu verschlüsseln und den Eigentümer zum Lösegeld zu zwingen, beinhaltet Doppelerpressungs-Ransomware, dass der Angreifer die Daten zuerst herausfiltert und standardisierte Datensicherungen und Datenwiederherstellungsdesigns veraltet macht, um den Unternehmer in die Hand zu nehmen. Kriminelle haben einen anderen Weg für Erpressung gefunden, und Unternehmen wollen darauf vorbereitet sein, diese neue Gefahr zu überwinden.

Was ist Ransomware für doppelte Erpressung und wie hoch ist das Risiko?

Double-Extortion-Ransomware ermöglicht es Kriminellen, von Kunden nicht nur ein Lösegeld für die gestohlenen Daten zu verlangen, sondern sie auch als gefälschtes Pfand zu verwenden, um zu verhindern, dass sie öffentlich veröffentlicht werden. Wenn das Lösegeld nicht im erforderlichen Zeitrahmen gezahlt wird, veröffentlichen Kriminelle es zusammen mit möglichen Konkurrenten für alle sichtbar.

Sie drohen mit einer Community- und/oder Client-„Name-and-Shame“-Marketingkampagne, wenn Sie nie zahlen, und laut Emisoft-Forschung erweitert sich die Zahl der Cyberkriminellen, die die „Name-and-Shame“-Taktik anwenden. Die Untersuchung ergab, dass von 100.101 erhaltenen Berichten über Ransomware-Angriffe auf Unternehmen und kommunale Einrichtungen 11,6 % dieser Personen von Teams stammten, die Daten im Stil von „Name-and-Shame“-Angriffen stehlen und veröffentlichen.

Es gibt auch eine Entwicklung von Crimeware-as-a-Service durch nationalstaatliche Akteure, die sich immer mehr in geopolitische Spannungen einbringen. Nationalstaaten kaufen Ausrüstung und Expertendienste aus dem Dark Web, während von Nationalstaaten entwickelte Instrumente ebenfalls ihren Weg in die Schwarzindustrie finden.

Wie also können Unternehmen diesem steigenden Risiko begegnen?

Verdoppeln Sie die Gefahr, verdoppeln Sie die erforderliche Wiederherstellungsvorbereitung

Damit ein Angreifer bei der Erpressung eines Lösegelds profitabel ist, sollte er zunächst sicherstellen, dass es unmöglich ist, nützliche Details zu bergen, andernfalls riskieren sie, dass die Entscheidungsträger nicht herauskommen. Sie deaktivieren oder ruinieren also Backups und bauen sie auf extrem schwierigen Wegen auf, um nützliche Details wiederherzustellen. Dann wandeln sie ihre Waffen in die Herstellungsdetails da draußen um.

Durch die Etablierung einer gezielten Strategie zum Management kompromittierter Informationen sind Unternehmen bereit, ihre Chancen zu erhöhen und die Wiederherstellung von Cyber-kompromittierten Daten weitaus einfacher zu machen, als wenn sie einen standardisierten Ansatz zur Wiederherstellung von Daten verwenden würden. Der Bedarf an Ransomware war in keiner Weise größer, und um eine Gruppe vorzubereiten, müssen bestehende Datenwiederherstellungspläne überdacht werden.

Um diese wiederkehrenden Schwierigkeiten zu bewältigen, müssen Unternehmen Strategien für die fünf wichtigsten Methoden zur Wiederherstellung beschädigter Informationen entwickeln:

Erkennen – Herausfinden und Begründen der Vital Info Belongings (VDA) der Organisation. Dies sind die Informationen, die ein zusätzliches Maß an Sicherheit benötigen. Es sind die Organisationen, die Details haben sollten.
Sicher – Funktionen, die die Wahrscheinlichkeit erhöhen, dass Sie kürzlich gründlich saubere Details wiederherstellen können, z. B. ein ausfallsicheres Duplikat, das vor einem Cyberangriff geschützt ist.
Erkennen – Ermitteln von Schwachstellen oder Schwachstellen in Ihren Kontrollen, die das Risiko des Unternehmens maximieren können, an seine VDAs zu gelangen.
Reagieren – Die Pläne, Verfahren und Strategien, die nach einer profitablen Partei, die Details kompromittiert, befolgt werden müssen.
Besser werden – Die Proben, Bewertungen und Routinen, die die Teams auf diese Eventualität vorbereiten.

Erstellen Sie einen effizienten Plan

Alle Unternehmen sind von Ransomware-Angriffen bedroht. Die sich schnell verändernde Gefahrenlandschaft hat die aktuellen Erkennungstools in Frage gestellt. Sie sind kein erfolgreiches Mittel mehr, um alle Angriffe abzuwehren und einen gewaltigen Faktenverfall abzuwenden. Abgesehen von externen Bedrohungsakteuren konkurrieren alle Unternehmen auch mit der Möglichkeit interner Bedrohungen, wobei möglicherweise verärgerte Mitarbeiter das Privileg erhalten, Zugang zu Informationen und Fakten innerhalb der Gemeinschaft zu erhalten. Schulungen zur Cybersicherheit haben in den letzten Jahren sprunghaft stattgefunden, aber menschliches Versagen bleibt weiterhin ein massives Risiko für Unternehmen, insbesondere für Personen, die in hybriden Umgebungen arbeiten.

Letztendlich liegt es an jedem einzelnen Unternehmen, das Gesamtbild zu betrachten und, hauptsächlich basierend auf seinen einzigartigen Gesichtspunkten, ein Informationswiederherstellungssystem einzurichten. Die Bedeutung eines klassischen Ransomware-Angriffs kann einfach nicht unterschätzt werden, aber die Fallstricke, die mit der neuen Taktik verbunden sind, sind unbestreitbar viel wichtiger für kleine Unternehmen. Ein zerstörter Markenruf und ein beschädigtes Käufervertrauen können in der Regel irreparabel sein. Bevor es opportunistischen Kriminellen ermöglicht wird, sich für eine Firma zu entscheiden, müssen kleine Unternehmensführer die gesamte Organisation auf das Protokoll bringen und sorgfältig mit der Regierung zusammenarbeiten, bei der Daten während einer Wiederherstellungsmission Vorrang haben müssen. In diesem Stadium können sich Unternehmen sicher fühlen, dass ihre Daten, Besitztümer und Infrastrukturen auch im Umgang mit Widrigkeiten intakt bleiben.

Chris Huggett, SVP EMEA, Sungard Availability Providers