Warum ist Ransomware immer noch eine dringende Bedrohung?

Warum ist Ransomware immer noch eine dringende Bedrohung?

Welche Veränderungen haben Sie in der Ransomware-Landschaft beobachtet?

Über den Autor John Fokker ist bei McAfee Advanced Threat Research für Cyber-Untersuchungen verantwortlich. Im Laufe seiner Karriere hat er zahlreiche groß angelegte Ermittlungen und Maßnahmen im Bereich der Cyberkriminalität überwacht. Fokker ist außerdem einer der Mitbegründer des NoMoreRansom-Projekts. Zu Beginn des Jahres prognostizierten wir, dass sich die synergetischen Bedrohungen bis 2019 vervielfachen würden und gemeinsame Reaktionen erfordern würden. Im Kontext konzentrieren sich Angriffe in der Regel auf den Einsatz einer einzelnen Bedrohung, wobei sich böswillige Akteure auf die Wiederholung konzentrieren und eine Bedrohung sowohl für die Effizienz als auch für die Flucht entwickeln. Sobald der Angriff erkannt wird, erfolgt die Klassifizierung (z. B. Ransomware) und die entsprechenden Abwehrmaßnahmen. Sie legen fest, wie stark die Angriffserfolgsquote reduziert wird. Wenn ein Angriff jedoch mehrere Angriffsvektoren in Synergie nutzt, wird die Verteidigungslandschaft komplexer, dient als Nebelwand und macht das eigentliche Ziel des Angriffs unbekannt oder schwer zu identifizieren. Leider sind unsere Beobachtungen wahr: Cyberkriminelle haben auf Schwarzmärkten Toolkits gekauft, um ihre Angriffe raffinierter zu gestalten, mit dem Ziel, ihre Gewinne zu steigern und die Effizienz zu steigern. Wir haben auch festgestellt, dass die neuen Ransomware-Spieler von erfolgreichen Iterationen der Vergangenheit inspiriert wurden. Beispielsweise verwendet Ryuk den Hermes-Quellcode wieder oder verwendet die Lösegeldscheine des jeweils anderen; Beispielsweise kann bei einigen LockerGoga-Stämmen eine leicht veränderte Ryuk-Lösegeldforderung beobachtet werden.

Was ist Ransomware as a Service und warum war dies in letzter Zeit ein Wachstumsbereich?

Ransomware as a Service (RaaS)-Software erfreut sich seit einiger Zeit bei Cyberkriminellen in Untergrundmärkten zunehmender Beliebtheit. Es ist möglich, Partnerprogramme mit Ransomware-Stämmen wie GandCrab zu abonnieren, bei denen Cyberkriminelle im Austausch für die Verbreitung von Schadcode einen Prozentsatz der Gewinne der Opfer erhalten. In der Welt der Ransomware hatte der kürzlich verstorbene GandCrab den beunruhigenden Ruf, seine Schulden stets zu begleichen, ähnlich wie die Lannisters in Game of Thrones. Diese Partnerprogramme scheitern oft an mangelndem Vertrauen in die Community. Allerdings hat GandCrab offenbar die Situation umgedreht, indem es im Umgang mit seinen Kundenbeziehungen zuverlässig wirkte. Wir haben gesehen, dass gezielte Ransomware-Modelle in Verbindung mit Netzwerkschwachstellen wie schlecht gesicherten RDP-Zugriffen (Remote Desktop Protocol) verwendet werden, um äußerst effiziente Unterwasserradarsysteme zu realisieren. In diesem Szenario versuchen Angreifer, ein System mit schwachem RDP zu finden, sich Zugang zu verschaffen und sich über Netzwerke auszubreiten, indem sie ein schwach geschütztes Active Directory ausnutzen. Sobald die vollständige Kontrolle erlangt ist, wird die Ransomware-Software im gesamten Netzwerk eingesetzt, was zur Lähmung der betreffenden Organisation führt. Tatsächlich haben wir Gespräche darüber beobachtet, dass der Autor des auf GandCrab RaaS basierenden Modells an automatisierten internen Verbreitungsmethoden arbeitete. In vielerlei Hinsicht ist die Verwendung von RDP kein neuer Ansatz, wie wir letztes Jahr bei SamSam gesehen haben. Es sei darauf hingewiesen, dass das McAfee Advanced Threat Research-Team letztes Jahr herausgefunden hat, dass es möglich ist, RDP-Zugriffsschlüssel für Sicherheits- und Sicherheitssysteme zu erwerben. Automatisierung der Gebäude eines großen internationalen Flughafens zu einem Preis von nur 10 USD.

(Bild: © Bildnachweis: TheDigitalArtist / Pixabay)

Können Sie ein Beispiel für eine Brancheninitiative zur Bekämpfung von Ransomware nennen?

No More Ransom war eines der erfolgreichsten Cybersicherheitsprojekte seiner Art im Hinblick auf die öffentlich-private Zusammenarbeit und diente als Brücke zwischen Strafverfolgungsbehörden und Cybersicherheitsunternehmen im Kampf gegen Korruption. Ransomware und ermöglichen es Opfern, ihre verschlüsselten Daten wiederherzustellen, ohne Cyberkriminelle dafür bezahlen zu müssen. Wenn Sie Opfer von Ransomware sind, ist dies eine großartige Ressource, die Ihnen helfen kann. Allerdings ist Vorbeugen besser als Heilen; Ich würde Ihnen raten, die Website zu durchsuchen, um zu erfahren, wie Ransomware funktioniert und wie man sie verhindert.

Welchen Rat würden Sie Organisationen geben, um Ransomware-Infektionen zu verhindern?

Mit einem ganzheitlichen Ansatz zur Cybersicherheit und angemessener Sicherheit spielt Hygiene eine Schlüsselrolle bei der Verhinderung dieser Infektionen. In diesem Zusammenhang ist es wichtig, bekannte Angriffsvektoren wie den RDP-Zugriff zu blockieren und sicherzustellen, dass Ihr Netzwerk segmentiert ist und ein robustes Identitätsmanagement vorhanden ist. Auch Backups sollten in der Sicherheitsstrategie jedes Unternehmens Priorität haben: Führen Sie sie ein und stellen Sie sicher, dass sie regelmäßig getestet werden. Leider ist Ransomware auf dem Vormarsch, was zeigt, dass die Sicherheitshygiene oft mangelhaft ist und dass zu viele IT-Teams und die Führungsebene erst im Falle eines Angriffs aufwachen. . Ein wenig Planung kann oft viel bewirken, und wie das Scouting-Motto von Baden-Powell lautet: Seien Sie vorbereitet.

Wie können Organisationen den durch Infektionen verursachten Schaden abmildern?

Wenn Sie mit Ransomware infiziert sind, wenden Sie sich immer an einen Fachmann. Die allgemeine Meinung ist, dass es besser ist, das Lösegeld nicht zu zahlen; Es gibt nicht nur keine Garantie für die Wiederherstellung Ihrer Dateien, sondern verstärkt auch die Botschaft, dass Ransomware funktioniert und ein lukratives Unterfangen für Cyberkriminelle darstellt. Das No More Ransom-Portal kann äußerst wertvolle Ratschläge dazu geben, was im Falle einer Infektion zu tun ist. Wenn ein kostenloses Entschlüsselungsprogramm verfügbar ist, wird empfohlen, eine Sicherungskopie des verschlüsselten Laufwerks zu erstellen, damit Sie sich darauf verlassen können, falls der Entschlüsselungsprozess fehlschlägt. Unternehmen haben es sehr schwer, wenn Ransomware unnötig gestoppt wird und die Zahlung eines Lösegelds als schnelle Lösung angesehen werden kann. Wenn ein Unternehmen jedoch von gezielter Ransomware betroffen ist, muss es bedenken, dass es sich nur um den letzten Schritt einer groß angelegten Sicherheitsverletzung handelt. Die Beseitigung von Ransomware-Software ist nur ein kleiner Teil eines viel größeren Sicherheitsproblems. John Fokker ist bei McAfee Advanced Threat Research für Cyber-Untersuchungen verantwortlich.