Banken, Behörden, Transportwesen bevorzugt im Visier moderner Ransomware

Von Trend Micro

Die Verbreitung und die Auswirkungen moderner Ransomware-Angriffe stellten die Entscheidungsträger in der ersten Jahreshälfte vor neue Herausforderungen. Wir konnten insgesamt 3.600.439 Ransomware-Angriffe auf Unternehmen registrieren. Von Januar bis Juni 2021 haben die Betreiber von Ransomware ihr Augenmerk auf kritische Branchen gerichtet – insbesondere Banken, Behörden und Transportwesen, die bei einer Störung die nationale Sicherheit, die wirtschaftliche Stabilität, die öffentliche Gesundheit und Sicherheit beeinträchtigen könnten. Doch auch andere kritischen Sektoren – insgesamt 20 Branchen — waren betroffen und 49 neue Ransomware-Familien sind hinzugekommen.

Bild 1.Top zehn Branchen mit den meisten Ransomware-Angriffsversuchen in der ersten Jahreshälfte 2021

Bei der Ermittlung der am stärksten von Ransomware-Angriffen betroffenen Länder in den ersten sechs Monaten des Jahres stellten wir fest, dass die meisten Versuche in Nord- und Südamerika betrafen.

Bild 2.Top zehn Länder mit den meisten Ransomware-Angriffsversuchen

Da Ransomware auf globaler Ebene operiert, liegt wohl der Grund für die Häufung in der Anzahl der dort ansässigen multinationalen Unternehmen und Geschäftsinteressen.

Ransomware-Erkennungen im Bankensektor

Banken sind attraktive Ziele für Ransomware-Betreiber, da sie nicht nur verschiedene Finanzdienstleistungen anbieten, sondern auch die Arten von Informationen (z. B. Kreditkarten- und Bankkontodaten), die äußerst sensibel und daher bei Diebstahl sehr profitabel sind. Trend Micro verzeichnete im ersten Halbjahr über 131.000 Entdeckungen, wobei Amerika mit über 122.000 am stärksten betroffen war.

Zu den möglichen Auswirkungen der Angriffe gehört auch, dass kleine und mittelgroße Banken dazu genutzt werden können, um über verschiedene Dienstleistungsplattformen mehr Organisationen innerhalb und außerhalb der Finanzbranche anzugreifen. Der Ausfall oder die Schließung dieser lokalen Zweigstellen kann erhebliche Auswirkungen auf Gemeinden und andere wichtige Sektoren haben. Angriffe und Lösegeldzahlungen könnten möglicherweise gegen andere gesetzliche Vorschriften verstoßen, z. B. gegen Know Your Customer (KYC), oder solche gegen Geldwäsche und Gesetze zur Bekämpfung der Finanzierung des Terrorismus.

Ransomware-Erkennungen bei Regierungsbehörden

Eine weltweite Umfrage von Anfang 2021 zeigte, dass Einrichtungen der Regierung und weitere öffentliche Einrichtungen eher von Ransomware-Angriffen mit doppelter Erpressung betroffen sind. Regierungsbehörden sind aus verschiedenen Gründen ein attraktives Ziel für Ransomware. Gespeicherte Daten von Bürgern, wie z. B. Sozialversicherungsnummern und Wählerinformationen, locken Ransomware-Betreiber, denn die Informationen, die sie vor der Implementierung der Ransomware stehlen können, lassen sich an anderer Stelle mit Zusatzgewinn verkaufen. In dieser Branche gab es mehr als 84.000 Erkennungen, wobei Afrika die meisten zu verzeichnen hatte.

Ransomware-Erkennungen im Transportwesen

Die Zahl der wöchentlichen Ransomware-Angriffe in der Transportbranche ist von 2019 bis 2020 um 186 % gestiegen. Angesichts der Vernetzung von Luft-, See-, Logistik- und Landverkehr ist eine abrupte Unterbrechung der normalen Funktionen mit weitreichenden Auswirkungen und hohen Gewinnen für die Kriminellen verbunden. Während die IT-Systeme der Fahrzeuge selbst infiziert und angegriffen werden können, sind eher die Systeme und Geräte in Rechenzentren und Büros anfällig, die für die Verwaltung von Betriebsdaten verwendet werden.

Angesichts der hohen Anzahl moderner Ransomware-Familien, die auf den Transportsektor abzielen, ist es sehr wahrscheinlich, dass die Bedrohungsakteure darauf setzen, dass Unternehmen im Falle einer Störung dringend auf die Wiederaufnahme des Betriebs angewiesen und daher eher bereit sind, das Lösegeld zu zahlen.

Zusammenfassung

Bild 3. Top Ransomware-Familien in 1H 2021

REvil ist eine der modernen Ransomware-Familien, die in allen drei Top-Branchen aktiv ist. Die dezentralisierte Aufgabenverteilung in der Gruppe und bei ihren Partnern ermöglicht gleichzeitige Infiltrationen und Einsätze mit mehreren Techniken und Tools. REvil-Operatoren verschaffen sich in der Regel über Spear-Phishing-E-Mails, Remote-Desktop-Protokolle (RDP) oder gültige Konten, kompromittierte Websites und ungepatchte Sicherheitslücken Zugang zur IT-Umgebung von Unternehmen.

Zusätzlich zu dem Lösegeld (ohne die Gewissheit, dass Daten und Systeme wiederhergestellt werden können) steigen die tatsächlichen Kosten eines Angriffs auch nach der Kompromittierung weiter an. Die Ausfallzeiten von Unternehmen (durchschnittlich 300.000 US-Dollar pro Stunde), Geldstrafen, Vergleiche und Kundenverluste sind nur einige der Schäden, die zu den Wiederherstellungskosten hinzukommen.

Wie man Ransomware abwehrt und ihre Auswirkungen minimiert

Hartnäckige Ransomware-Gruppen werden immer Wege finden, Organisationen und Branchen anzugreifen. Dennoch können Unternehmen die Risiken von Ransomware mit diesen Best Practices minimieren:

  • Schulungen und Awareness-Programme. Implementieren Sie ein einheitliches Schulungs- und Sensibilisierungsprogramm für alle Mitarbeiter und Partner des Unternehmens. Sorgen Sie dafür, dass IT-, Entwicklungs-, Sicherheits- und Incident-Response-Teams Sicherheitsprogramme anführen, damit jeder seine Rolle bei der Aufrechterhaltung der Systemsicherheit erkennt.
  • Mehrschichtige Detection-and-Response-Lösungen. Setzen Sie auf technische Verbesserungen und technologische Lösungen, die Ransomware-Aktivitäten, -Techniken und -Bewegungen vorhersehen und darauf reagieren können. Eine integrierte Lösung ermöglicht die gleichzeitige Überwachung und Verfolgung aller potenziellen Angriffspunkte. E-Mails, Server, Netzwerke, Endpunkte, mobile Geräte, Cloud-Speicher und Workloads sollten über mehrschichtige Schutzsysteme verfügen, die Ransomware aufhalten und verhindern können. Eine Cybersicherheitsplattform, die Einblick in die frühen Aktivitäten moderner Ransomware-Angriffe bietet, wie z. B. Trend Micro Vision One™️ mit Managed XDR hilft bei der Erkennung und dem Blockieren von Ransomware-Komponenten, um Angriffe zu stoppen, bevor Bedrohungsakteure sensible Daten exfiltrieren können.
  • Aufsetzen eines Incident Response (IR)-Teams und eines Handbuchs für Vorkehrungen und Wiederherstellung. IR-Playbook  Frameworks ermöglichen die Planung und Vorbereitung auf Angriffe mit Ransomware und Sicherheitsverstöße. Aktualisieren Sie das Sicherheits- und Notfallhandbuch ständig, sodass sich jeder im Bedarfsfall daran orientieren kann.
  • Ausführen von Angriffssimulationen.  Dazu gehören auch realistische Simulationen von Cyberangriffen, die jeder am Arbeitsplatz nutzen kann. Eine rasche Reaktionsstrategie von Seiten aller Beteiligten kann die Auswirkungen und den Schaden an entscheidenden Stellen minimieren. Diese Simulationen können Entscheidungsträgern, Sicherheits- und IR-Teams eine Vorstellung davon vermitteln, was zu erwarten ist und worauf sie sich vorbereiten müssen, z. B. auf potenzielle Lücken für Missbrauch und Druckpunkte in Systemen und bei Menschen.

Weitere Einzelheiten zur Untersuchung bietet der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.