Kategorien: Cybersicherheit, Technik

Ransomware-Attacke aus Sicht des Opfers

So läuft eine Ransomware-Attacke ab

Die Waffe gegen einen Ransomware-Angriff heißt: Managed Threat Response. Das Tool ermöglicht eine einzigartige Perspektive auf die realen Abläufe eines Cyberangriffs. Sophos gibt einen Einblick in die Sicht des Opfers und widerlegt einen typischen Denkfehler: Ransomware ist nicht der Beginn, sondern das Finale einer Attacke.

(Bild: ©PR Image Factory/stock.adobe.com)

Keine Organisation möchte Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken gibt, ist es wahrscheinlich, dass Angreifer diese finden und ausnutzen werden. Dabei kann es Monate oder sogar noch länger dauern, bis das Opfer den Angriff überhaupt bemerkt. Sogenannte Incident Responder können Unternehmen dabei helfen, Angriffe und deren Auswirkungen zu identifizieren, zu blockieren und abzuschwächen. Ein solches Monitoring ermöglicht außerdem eine genaue Analyse von Angriffsmustern und im Ergebnis eine hautnahe Betrachtung, wie Cyberkriminalität tatsächlich die Opfer trifft.

Angreifer werden geschickter

Angreifer sind immer geschickter darin, sich zu tarnen. Daher sind verschiedene Sicherheitslevel notwendig, die die Angriffskette an unterschiedlichen Orten durchbrechen. Während die initiale Verletzung automatisiert abläuft, nutzen Hacker im Anschluss beispielsweise legitime IT-Werkzeuge, wie z.B. Netzwerk-Scanner, für ihre Zwecke, um Sicherheitstechnologien zu umgehen und sich lateral durch das Netzwerk zu bewegen. Die Herausforderung für Opfer liegt darin, dass IT-Sicherheitsteams besonders wachsam bei der Bewertung von Tools sein müssen, die legitim und deswegen aber auch beliebt und häufig gebräuchlich bei Angreifern sind. Zudem kompromittieren Angreifer regelmäßig bestehende Administrator-Accounts, um sich vor aller Augen zu verstecken. Werden sie in ihren Angriffen gestoppt, versuchen sie etwas anderes. Und hier offenbart sich einer der bedeutendsten und durch die Opfer immer noch zu sehr unterschätzter Aspekt von Cyberkriminalität: Man kämpft nicht gegen Malware-Code, sondern gegen Menschen.

Ransomware-Meldung als Finale

Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – z.B. durch die Ransomware-Meldung – erfolgt ist. In der Regel haben sich Angreifer jedoch bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten. Sie agieren verborgen, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk, so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.

Zahlen oder nicht zahlen

Rund 90 Prozent der Attacken, die von Incident Respondern gesehen werden, involvieren Ransomware und die Auswirkungen dieser Angriffe sind oft verheerend. Einige Opfer fühlen sich ohnmächtig und halten eine Lösegeldzahlung für die einzige Option. Andere Organisationen entscheiden sich gegen eine Zahlung. Wiederum andere sorgen sich mehr um den Schaden für ihre Reputation denn über Lösegeld für Entschlüsselungscodes. Die Ransomware selbst variiert in Qualität. Ransomware-Analysen haben gezeigt, dass Attacken nicht nur für die Opfer anstrengend und einschüchternd sind, sondern dass auch die Angreifer zunehmend unter ‘Erfolgsstress’ stehen: Sie bedrängen Unternehmen, die sich weigern zu zahlen, immer massiver.

Wo liegt der Ausgangspunkt?

Die Daten der Sophos-Incident-Responder deuten auch darauf hin, dass es vielen Opfern schwerfällt, die Bewegung von Ransomware durch die Organisation nachzuvollziehen. Zudem zeigt sich, dass die Angreifer nicht nur Dokumente und andere Daten anvisieren, sondern sie die Geräte und Systeme soweit funktionsunfähig machen wollen, dass diese nur noch über genug Ressourcen verfügen, um die Ransomware-Benachrichtigung zu starten. Für die Opfer einer Attacke bedeutet das: Der Wiederherstellungsprozess startet oft mit der Herausforderung, sämtliche betroffenen Maschinen neu aufzubauen. Und damit die Identifikation des Ausgangspunktes der Attacke.

Threat Hunting

Seitdem Cyberkriminelle immer häufiger im Stealth-Modus unterwegs sind, steigt der Wert des menschlichen Faktors im Threat Hunting. Diese Methode kombiniert fortgeschrittene Algorithmen modernster Sicherheitssoftware mit täglicher menschlicher Expertise, die in der Lage ist, die Nuancen eines Angriffs zu bewerten – eine Fähigkeit, die Software (so noch) nicht besitzt.

Empfehlungen der Redaktion

Neueste Beiträge

  • Wenn Sicherheit zum Risiko wird

  • Nur sieben Prozent treffen den Sweetspot

    Neun von zehn Unternehmen fehlt es laut einer Studie des IT-Dienstleisters Infosys an Unternehmenskultur und Organisationsstruktur, um digitales Wachstum zu ermöglichen. Unternehmen sollten sich auf eine Kombination aus Live-Daten, verantwortungsvoller Risikobereitschaft und Produktorientierung fokussieren, so die Studienverantwortlichen.

  • Zahl der Patentanmeldungen aus Deutschland rückläufig

    Im Jahr 2022 hat sich die Zahl der Patentanmeldungen etwas stabilisiert. Wie das Deutsche Patent- und Markenamt mitteilt, kommen allerdings weniger Erfindungen aus Deutschland. Auch die Zahl der Anmeldungen aus Maschinenbau und Automobilindustrie ging zurück.

  • Kollege Roboter, kannst Du einen Zahn zulegen?

    Industrielle Fertigungsprozesse sollen gleichermaßen effizient, flexibel und für die Beschäftigten sicher sein. Arbeiten Mensch und Roboter gemeinsam an komplexen Aufgaben, gilt es, Zielkonflikte zwischen diesen Anforderungen zu vermeiden. Im EU-Projekt Sharework entwickelte das Team vom Fraunhofer IWU um Aquib Rashid, Ibrahim Al Naser und Mohamad Bdiwi dazu einen Geschwindigkeitsregler sowie ein multimodales, umfassendes Wahrnehmungssystem. Zwar muss die Roboterbewegung bei menschlicher Annäherung auch weiterhin verlangsamt werden, aber deutlich weniger als bisher.

  • Schnelle und günstige 6G-Campus-Netze

    Mit der sechsten Generation Mobilfunk sollen Unternehmen noch einfacher eigene Campus-Netzwerke zur Steuerung von Maschinen und Anlagen aufspannen können. Im Projekt 6G-Campus werden eine innovative Campus-Netz-Technologie namens OpenXG und darauf basierend spezielle Komponenten und Architekturen entwickelt.

  • Exit mobile version