Cyber-Bedrohungen entwickeln sich dynamisch weiter, und während der Pandemie hat die Verlagerung der Arbeit von zu Hause aus die Risiken noch verstärkt. Doch für die raffiniertesten Angriffe reicht nur ein grundlegendes Sicherheitsniveau nicht aus. Advanced Persistent Threats (APT-Bedrohungen), neue Arten von Ransomware oder dateilose Angriffe können nur durch einen umfassenderen, mehrschichtigen Schutz abgewehrt werden – ein Endpoint Detection and Response (EDR) Tool. ESET hat es in seinem Arsenal in Form von ESET Enterprise Inspector.
Ransomware entwickelt sich weiter: „Zahlen Sie oder wir geben Ihre Daten frei“.
Früher war Ransomware dadurch gekennzeichnet, dass der Angreifer sensible Inhalte verschlüsselte, auf die das Opfer nur nach Zahlung eines Lösegelds zugreifen konnte. Heute halten sich die Angreifer eine Hintertür offen, für den Fall, dass das Opfer eines Angriffs sich weigert zu zahlen, um auf Daten zuzugreifen, die es anderswo gesichert hat. Um auch in einem solchen Fall Geld zu erpressen, kopieren die Hacker die Dateien im Voraus, um sie zu erpressen, damit sie veröffentlicht werden. Dazu müssen sie ausgeklügelte Methoden anwenden, um über längere Zeit unbemerkt auf den Geräten der kompromittierten Personen oder Unternehmen zu schnüffeln.
Viele Formen von Ransomware
Während ihrer Entwicklung seit den späten 1980er Jahren hat Ransomware viele Formen angenommen. Zunächst griff sie Computer über infizierte Disketten an, auf denen sie Verzeichnisse versteckte und Dateinamen auf der Festplatte verschlüsselte. Der Virus forderte den Benutzer auf, seine Lizenz zu erneuern, indem er 189 Dollar an eine Mailbox in Panama schickte. Es sind auch Fälle bekannt, in denen Angreifer ganze Geräte gesperrt haben, ohne etwas zu verschlüsseln. Das Sperren des Bildschirms oder die Anzeige von pornografischem Material ist keine Ausnahme. Der gemeinsame Nenner in all diesen unangenehmen Situationen ist die Erpressung von Lösegeld.
Es reicht nicht mehr aus, Inhalte von Angreifern zu blockieren
Viele Unternehmen haben im Laufe der Jahre aus den Angriffen gelernt. Sie haben Schutztechnologien implementiert, belastbare Backups erstellt und sind immer weniger bereit, Hacker für den Zugriff auf ihre Daten zu bezahlen. Die Angreifer sind jedoch nicht bereit, auf ihre Einnahmen zu verzichten, und greifen daher zunehmend zu Plan B. Sie verlassen sich nicht mehr nur auf Verschlüsselung und Dateisperrung. Sensible Dokumente werden direkt kopiert. Den Opfern wird dann mit der Veröffentlichung gedroht, wenn sie nicht zahlen. Dies ist keine neue Erpressungstechnik, aber wie der ESET-Bericht Cybersecurity Trends 2021 zeigt, sind diese Angriffe auf dem Vormarsch.
Ein solches Verfahren ist zeitaufwändiger und erfordert von den Angreifern besondere Fähigkeiten, aber auch viel Geduld. Die Hacker müssen nämlich unbemerkt in das Netzwerk eindringen. Es reicht nicht aus, einfache Phishing-E-Mails zu verschicken und darauf zu hoffen, dass ein unaufmerksamer Mitarbeiter Ransomware in das System einschleusen wird. Schwachstellen in Fernzugriffsprotokollen zum Beispiel, Angriffe, die auf den Diebstahl von Zugangsdaten abzielen, sowie traditionelle Social-Engineering-Techniken sind ebenfalls Einfallstore für solche Angriffe.
Sobald es Angreifern gelingt, in ein Unternehmensnetzwerk einzudringen, müssen sie sich unbemerkt darin bewegen. In dieser Phase sammeln sie Informationen und andere Zugangsdaten, die sicherstellen, dass sie im System bleiben, nachdem der ursprüngliche Zugangsweg abgeschnitten wurde. Das Mapping von Unternehmensdokumenten ist zeitaufwändig. Das liegt daran, dass Hackergruppen es auf Daten abgesehen haben, die für Unternehmen Gold wert sind. Die Angreifer haben es auf Dateien abgesehen, deren Sperrung oder Offenlegung für Unternehmen einen kolossalen Schaden bedeuten würde. Erst wenn sie sich diese heimlich verschaffen, wird der Angriff zu einer regelrechten Erpressung.
Astronomisches Lösegeld
Die Notwendigkeit, ausgefeiltere Taktiken zu finanzieren, hat sich auch in den Preislisten der Hackergruppen niedergeschlagen. Inzwischen ist der Anstieg der geforderten Lösegelder astronomisch. Zur Veranschaulichung: 2018 wurde die US-Stadt Atlanta von einem traditionellen Ransomware-Angriff getroffen. Die Hacker verschlüsselten die Server der wichtigsten Infrastrukturen und forderten 51 Tausend Dollar von der Stadt. Atlanta reagierte richtig, verweigerte die Zahlung und baute seine Infrastruktur für 9,5 Millionen Dollar wieder auf. Ein Jahr später trafen die Angreifer die Städte Lake City und Riviera Beach City in Florida, die sich entschlossen, den Hackern nachzugeben und beide 500 Tausend bzw. 600 Tausend Dollar zahlten.
Während eines Ransomware-Angriffs auf eine der größten amerikanischen Pipelines im Mai dieses Jahres legten Cyberkriminelle die Kraftstofflieferung im Osten der USA lahm. Colonial Pipeline zahlte schließlich bis zu 4,4 Millionen Dollar an die Angreifer. Verglichen mit dieser Summe erscheint das vor drei Jahren in Atlanta geforderte Lösegeld unbedeutend. Alles deutet jedoch darauf hin, dass die Lösegeldforderungen weiter steigen werden.
Wie können Sie sich schützen?
Unternehmen, die sich dafür entscheiden, in die Prävention zu investieren, müssen sich nicht vor dem katastrophalen Szenario fürchten, siebenstellige Beträge zahlen zu müssen. Es gibt nämlich einen wirksamen Schutz gegen ausgeklügelte Ransomware-Angriffe, nämlich das Endpoint Detection and Response (EDR) Tool. ESET ist den Angreifern mit seiner Lösung ESET Enterprise Inspector einen Schritt voraus. Dieses EDR-Tool kann bereits die erste versteckte Phase eines Ransomware-Angriffs abwehren, die von der zugrunde liegenden Sicherheitssoftware nicht erkannt wird. ESET Enterprise Inspector ermöglicht eine detaillierte Analyse verdächtiger Aktivitäten in den frühen Stadien eines Angriffs und verhindert so, dass Hacker tiefer in das System eindringen können. Die EDR-Lösung überwacht kontinuierlich Netzwerke und Aktivitäten auf Endgeräten in Echtzeit. So sucht sie proaktiv nach Ransomware, indem sie versteckte Insider-Bedrohungen oder Phishing frühzeitig erkennt.
Halten Sie auch mit dateilosen Angriffen Schritt
Es ist kein Geheimnis, dass Cyber-Angreifer versuchen, Techniken einzusetzen, die es schwierig machen, ihre ruchlosen Aktivitäten zu entdecken und zu verhindern. Dabei verlassen sie sich zunehmend darauf, legitime und vertrauenswürdige Programme zu kompromittieren, die bereits von Benutzern installiert wurden. Da derartige Angriffe außerhalb von Dateien stattfinden, hinterlassen die Täter nur minimale Spuren. Verdächtiges Verhalten, das von einfacher Sicherheitssoftware unbemerkt bleibt, kann jedoch von ausgefeilteren EDR-Tools entdeckt werden.
Komplexere und gezieltere Angriffe
In den letzten Jahren haben wir immer komplexere und gezieltere Angriffe erlebt. In diesem Zusammenhang weisen Sicherheitsexperten seit langem auf sogenannte dateilose Angriffe hin, die über die betriebssystemeigenen Tools erfolgen. Angreifer infiltrieren vorinstallierte Programme, ohne zusätzliche bösartige Dateien auf das Gerät zu bringen. Auf diese Weise gelangt die Malware über deren Schwachstellen in legitime Anwendungen.
Der Auslöser für dateilose Angriffe sind in der Regel die Benutzer. Ein häufiges Szenario sind Klicks auf einen kompromittierten Link in einer Phishing-E-Mail. Um den Inhalt anzuzeigen, wird auf der Seite Flash gestartet. Über die Schwachstelle gelangt der bösartige Code in die Powershell, die eine Softwarekomponente von Microsoft Windows ist und uneingeschränkten Zugriff auf das Betriebssystem hat. Auf diese Weise dringt die Malware in vorinstallierte Anwendungen ein, ohne die zugrunde liegende Sicherheitssoftware zu alarmieren. Bösartige Aktivitäten werden oft aus dem Speicher ausgeführt und hinterlassen fast keine Spuren. Malware kann über einen langen Zeitraum in einem Netzwerk operieren und dem Angreifer immer mehr Privilegien verschaffen. Sobald er die notwendigen Befugnisse erlangt hat, steht den Tätern nichts mehr im Wege, um die gestohlenen Daten zu extrahieren.
Da diese Angriffe schwer zu entdecken sind, nutzen Hacker sie, um die Effektivität illegaler Aktivitäten zu erhöhen und unsichtbar zu bleiben. Dies sind keine neuen Formen von Angriffen, aber Experten erwarten, dass sie in naher Zukunft an Bedeutung gewinnen werden. Laut dem ESET-Bericht Cybersecurity Trends 2021 werden Hacker-Gruppen vor allem kritische Infrastrukturen und den Finanzsektor ins Visier nehmen.
Ein ausgefeilterer Schutz ist erforderlich
Da diese ausgeklügelten dateilosen Angriffe dem Radar der handelsüblichen Sicherheitssoftware entgehen, sind Unternehmen, die sich nur auf einen Basisschutz verlassen, besonders gefährdet. Andererseits sind Unternehmen im Vorteil, die den gesamten Lebenszyklus der Bedrohung ab den ersten Versuchen des Täters, in das System einzudringen, überwachen können. Unternehmen sollten daher den Einsatz eines mehrschichtigen Schutzes in Betracht ziehen, um die Sichtbarkeit von Bedrohungen zu erhöhen.
Zum Glück halten die Sicherheitsexperten mit den Angreifern Schritt. Wie bei neuen Formen von Ransomware können auch dateilose Angriffe mit Hilfe von EDR-Technologie, die beim geringsten Hinweis auf verdächtige Aktivitäten im Netzwerk schnell und in Echtzeit reagieren kann, die Budgets der Hacker sprengen. ESET Enterpise Inspector erkennt Verhaltensweisen, die von Anfang an gefährlich aussehen. Er analysiert auch Vorfälle, die Teil eines größeren Angriffs sein könnten, und isoliert Geräte, die möglicherweise infiziert sind.
Die Pandemie hat den digitalen Wandel beschleunigt, was wiederum Herausforderungen für die Sicherheit mit sich bringt. Für Unternehmen ist es daher wichtiger denn je, verdächtiges Verhalten im Netzwerk frühzeitig zu erkennen. Schließlich kann ein falscher Klick eines unaufmerksamen Mitarbeiters im Home-Office eine Lawine von Problemen für das gesamte Unternehmen auslösen.
