Kompromittierungen mit Lösegeldforderungen, so genannte Ransomware-Angriffe, gehören landläufig zu den ernstzunehmenderen Angriffsszenarien [2]. Sie können nicht nur kritische Geschäftsabläufe stören, sondern auch zu massiven finanziellen Verlusten, in einigen Fällen sogar zum Bankrott der betroffenen Organisation durch Strafzahlungen und rechtliche Klagen führen. So haben Angriffe wie beispielsweise die durch WannaCry [3] schätzungsweise mehr als 4 Milliarden Dollar an finanziellen Verlusten verursacht. Neuere Ransomware-Kampagnen ändern jedoch ihren Modus Operandi: Sie drohen damit, gestohlene Firmeninformationen an die Öffentlichkeit zu bringen. Zwei bekannte Vertreter dieser neuen Art von Ransomware: Ragnar Locker und Egregor 

Vorgehensweise von Ragnar Locker und Egregor

Ragnar Locker [4] wurde im Jahr 2019 entdeckt, erreichte aber erst in der ersten Hälfte des Jahres 2020 Bekanntheit, als große Unternehmen angegriffen wurden. Die Attacken sind sehr zielgerichtet, wobei jede schädliche Aktivität auf das beabsichtigte Opfer zugeschnitten ist. Dabei werden vertrauliche Informationen der Unternehmen, die sich weigern zu zahlen, auf der "Wall of Shame"-Seite der Cyberkriminellen veröffentlicht. Wenn das Opfer mit den Angreifern kommuniziert und sich dann weigert zu zahlen, wird dieser Chat ebenfalls veröffentlicht. Die Hauptziele sind Unternehmen in den USA aus verschiedenen Branchen. Im vergangenen Juli gab Ragnar Locker bekannt, dem Maze-Ransomware-Kartell [5] beigetreten zu sein. Dies bedeutet, dass es seitdem zu einem Austausch gestohlener Informationen und einer konkreten Zusammenarbeit zwischen beiden gekommen ist. Maze hat sich 2020 zu einer der bekanntesten Ransomware-Familien entwickelt. 

Egregor wurde erstmals im vergangenen September entdeckt. Die Malware verwendet viele identische Taktiken und teilt zudem Code-Ähnlichkeiten mit Maze. Sie wird in der Regel durch einen Einbruch in das Netzwerk implementiert; sobald die Daten des Zielunternehmens herausgefiltert wurden, bekommt das Opfer 72 Stunden Zeit, um das Lösegeld zu zahlen, bevor die gestohlenen Informationen veröffentlicht werden. Wenn die betroffene Organisation die Zahlung verweigert, veröffentlichen die Angreifer den Namen und Links zum Download der vertraulichen Unternehmensdaten auf ihrer Leak-Seite.

Der Angriffsradius von Egregor ist dabei wesentlich größer als von Ragnar Locker. Die hinter dieser Ransomware stehenden Cyberkriminellen haben Opfer in ganz Nordamerika, Europa und Teilen der APAC-Region ins Visier genommen.

"Wir erleben gerade einen Anstieg von Ransomware 2.0, das heißt, Angriffe werden immer zielgerichteter und der Schwerpunkt liegt nicht mehr nur auf der Verschlüsselung vertraulicher Daten, sondern auf dem Konzept diese online zu veröffentlichen", kommentiert Dmitry Bestuzhev, Leiter des Global Research and Analysis Team (GReAT) Lateinamerika bei Kaspersky. Dadurch wird nicht nur der Ruf eines Unternehmens gefährdet, sondern es besteht auch die Gefahr von Klagen, wenn die veröffentlichten Daten gegen Vorschriften wie den HIPAA (Health Insurance Portability and Accountability Act) oder die DSVGO verstoßen. Es steht also mehr auf dem Spiel als nur ein finanzieller Verlust."

"Deshalb dürfen Unternehmen Bedrohungen durch Ransomware nicht mehr nur eindimensional als nur eine Art von Malware betrachten", fügt Fedor Sinitsyn, Sicherheitsexperte bei Kaspersky, hinzu. "Tatsächlich ist die Ransomware häufig nur die letzte Stufe einer Netzwerk-Kompromittierung. Zu dem Zeitpunkt an dem eine Erpressungssoftware ausgeführt wird, hat der Angreifer bereits vorab das gesamte Netzwerk durchforstet, vertrauliche Daten identifiziert und diese extrahiert. Es ist wichtig, dass Unternehmen die gesamte Palette der bewährten Verfahren für Cybersicherheit umsetzen. Eine frühzeitige Erkennung von Cyberattacken, bevor die Angreifer ihr avisiertes Ziel erreichen, kann Unternehmen viel Geld sparen."

Kaspersky-Tipps zum Schutz vor Ransomware-Angriffen

. Fernzugriffstools/Remotedesktopdienste wie RDP sollten nicht in öffentlichen Netzwerken verwendet werden.

. Für jedes Konto beziehungsweise jeden Dienst ein einzigartiges starkes Passwort verwenden. Ein sicheres Passwort besteht aus mindestens 16 Zeichen sowie einer Kombination aus Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen.

. Software auf verwendeten Geräten regelmäßig aktualisieren, um so Sicherheitslücken zu schließen. Spezielle Patch-Management-Lösungen erkennen automatisch Sicherheitslücken, downloaden Patches und installieren sie. Dies gilt auch für kommerzielle VPN-Lösungen, die Remote-Mitarbeitern Zugriff gewähren und als Gateways im Netzwerk fungieren.

. E-Mail-Anhänge oder Nachrichten von unbekannten Personen sollten stets mit Vorsicht behandelt werden; im Zweifelsfalls diese nicht öffnen. 

. Dedizierte Sicherheitslösungen wie Kaspersky Endpoint Detection and Response [6] und Kaspersky Managed Detection and Response [7] verwenden, um Angriffe frühzeitig zu identifizieren und zu stoppen.

. Die Verteidigungsstrategie sollte darauf ausgelegt sein, seitliche Bewegungen und Datenexfiltration ins Internet zu erkennen. Hierbei besonders auf den ausgehenden Verkehr achten, um cyberkriminelle Aktivitäten zu erkennen. 

. Regelmäßig Back-ups aller Daten erstellen.

. Mitarbeiter sollten in IT-Sicherheit geschult werden. Spezielle Schulungskurse wie Kaspersky Automated Security Awareness Platform [8] helfen dabei, Mitarbeiter für aktuelle Cyberbedrohungen zu sensibilisieren. Eine kostenfreie Probelektion steht zur Verfügung [9].

. Für persönliche Geräte sollte eine zuverlässige Sicherheitslösung wie Kaspersky Security Cloud [10] verwendet werden, die vor Malware schützt, die Dateien verschlüsselt, und die von böswilligen Anwendungen vorgenommene Änderungen rückgängig macht.

. Unternehmen können Ihren Schutz mit dem kostenlosen Anti-Ransomware-Tool für Unternehmen von Kaspersky [10] optimieren. Die aktualisierte Version enthält eine Funktion zur Exploit-Verhinderung, um zu verhindern, dass Ransomware und andere Bedrohungen Schwachstellen in Software und Anwendungen ausnutzen. Dies ist auch für Kunden hilfreich, die Windows 7 verwenden: Mit dem Ende der Unterstützung für Windows 7 werden neue Schwachstellen in diesem System vom Entwickler nicht behoben.

. Für einen übergeordneten Schutz eine Endpunktsicherheitslösung wie Integrated Endpoint Security [11] verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Remediation-Engine basiert. Sie ist in der Lage, bösartige Aktionen rückgängig zu machen.

Weitere Informationen zu Ransomware 2.0 unter https://securelist.com/… 

[1] https://securelist.com/targeted-ransomware-encrypting-data/99255/

[2] https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/05/12075747/KSN-article_Ransomware-in-2018-2020-1.pdf 

[3] https://www.kaspersky.de/resource-center/threats/ransomware-wannacry

[4] https://securelist.com/targeted-ransomware-encrypting-data/99255/ 

[5] https://www.kaspersky.de/blog/ransomware-data-disclosure/22136/

[6] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr 

[7] https://www.kaspersky.de/enterprise-security/managed-detection-and-response 

[8] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform 

[9] https://ransomware.k-asap.com/… [10] https://www.kaspersky.de/… [11] https://www.kaspersky.de/small-to-medium-business-security/endpoint-security-solution 

Nützliche Links:

• Kaspersky-Analyse zu neuen Ransomware-Bedrohungen: https://securelist.com/targeted-ransomware-encrypting-data/99255/ 
• Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr 
• Kaspersky Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform 
• Kaspersky Anti-Ransomware Tool for Business: https://www.kaspersky.de/…