Ransomware – immer professioneller, immer gefährlicher

Autor
Michelle Gehri
Veröffentlicht
08. März 2021

Dass Ransomware-Attacken stattfinden, ist inzwischen weitbekannt. Dennoch nehmen die Attacken nicht ab – im Gegenteil. Ryuk, Nephilim & Co. sorgten in den letzten Monaten weiterhin für mächtig Unruhen. Mehr noch: Unsere Cyber Security-Experten nehmen eine zunehmende Industrialisierung und Professionalisierung der Hackergruppierungen wahr. Hohe Sicherheitsmauern alleine reichen daher längst nicht mehr aus. Daten sind zu Geiseln in unserer modernen, digital orientierten Gesellschaft geworden.

In diesem Blogartikel erfahren Sie deshalb, warum eine rasche Erkennung und Reaktion bei einer Attacke so wichtig ist, wie unsere InfoGuard-Experten im Ernstfall vorgehen, die neusten Entwicklungen rund um Ransomware sowie Tipps, um Angriffen vorzubeugen.


Cyber Security ist Sprint und Marathon zugleich, was viele Unternehmen vor enorme Herausforderungen stellt. Derzeit wieder hochaktuell: Ransomware-Attacken, die zahlreiche (Schweizer) Unternehmen hart getroffen haben. Es gilt also nicht nur konstant die Situation zu beobachten und die Sicherheitsmassnahmen zu optimieren, sondern auch, sich auf den Ernstfall vorzubereiten. Eine umfassende Sicherheitskette bietet Schutz – jedoch nie zu 100 Prozent.

Ein Ransomware-Angriff im Schnelldurchlauf

Unsere Experten im Cyber Defence Center (CDC) beobachten derzeit, dass viele Angriffe auf schlecht gesicherte Zugangsdienste wie RDP, Citrix oder VPN zurückgeführt werden können. Eine klare Verbindung besteht hier zur kurzfristigen Umstellung auf Home Office sowie diverse IT-sicherheitsrelevante Anforderungen, die sich während der COVID-19-Pandemie ergaben. Zum ist die IT-Infrastruktur häufig noch immer unzureichend auf Remote Working ausgelegt, zum anderen sind die Mitarbeitenden zu wenig auf die Risiken sensibilisiert. Gerade der Faktor Mensch spielt jedoch eine zentrale Rolle, da über 90 Prozent aller Angriffe auf menschliche «Fehlinteraktionen» zurückzuführen sind. Bei den genannten Zugangsdiensten ist eine Multi-Faktoren-Authentifizierung ein Muss, um unter anderem Brute-Force-Angriffen vorzubeugen oder den Diebstahl von legitimen Zugangsdaten zu verhindern.

Gelingt es den Angreifern, über einen der vielzähligen Wege ein Backdoor zu installieren, haben sie permanenten Zugang zum Unternehmensnetzwerk und können jederzeit mit ihrem Command and Control (C2) Server kommunizieren. Der Krux dabei: Dieses Manöver bleibt oftmals unbemerkt, da entsprechende Detektionsmassnahmen fehlen – ein unverzichtbares Glied in der Sicherheitskette. Dadurch können sich die Angreifer unbeachtet weiter vorwärtsbewegen (lateral movement). Es werden weitere Informationen über das Zielnetzwerk gesammelt, «Bridgeheads» aufgebaut und schlussendlich, oft in weniger als 48 Stunden, sensitive Unternehmensdaten entwendet und das Netzwerk sowie die Daten verschlüsselt. Der finale Schritt, aus zahlreichen Medienberichten bekannt, ist die Offenbarung der Angreifer und die monetäre Erpressung – oft in Millionenhöhe, zahlbar in einer Kryptowährung. Solche Erpressungen sind durchaus ernst zu nehmen. Um Druck auszuüben, scheuen Angreifer auch nicht davor zurück, Daten kurzzeitig im Darknet zu publizieren: Ein Vorgeschmack auf das, was sie mit den «Kronjuwelen» jedes Unternehmens – der Daten – anstellen könnten.

Sinfoguard-ransomware-poster-preview-shadow-crossie wollen wissen, wie eine Ransomware-Attacke genau aufgebaut ist? In unserer Infografik zeigen wir Ihnen deren Anatomie und geben zahlreiche Tipps, um sich zu schützen. Hier geht’s zum kostenlosen Download:

Ransomware-Infografik

State-of-the-Art Ransomware

Wie eingangs erwähnt, findet eine zunehmende Professionalisierung und Industrialisierung in der Ransomware-Hackerszene statt. Konkret werden Komponenten wie Angriffswerkzeuge, «fertige» Ransomware (Ransomware-as-a-Service) oder vorbereitete Zugänge zu Unternehmensnetzwerken von unterschiedlichen Anbietern im Darknet verkauft. Es gibt gar dedizierte Anbieter, welche die Zahlungsprozesse der Erpressungen abwickeln, selbsterklärend gegen eine Gebühr. Diese Verteilung führt nicht nur zu einer Professionalisierung und Industrialisierung, sondern macht es auch schwerer, die Akteure zu schnappen.

Vorsorge ist besser als Nachsorge – Cyber Defence als Puzzleteil in der Cyber Security

Technologien entwickeln sich im heutigen Zeitalter rasend schnell. Das bringt nicht nur Vorteile für Unternehmen, sondern auch für Angreifer. Im «Technologie-Dschungel» geht der Aspekt Cyberrisiken resp. Cyber Security oftmals unter. Neue Angriffsvektoren entstehen, auf welche Unternehmen nur ungenügend oder nicht zeitgerecht reagieren können, was auch die erfolgreichen Ransomware-Angriffe in den letzten Monaten widerspiegeln.

Im Ernstfall kommen die wenigsten Unternehmen darum herum, Spezialisten wie unser InfoGuard-CSIRT (Computer Security Incident Response Team) herbeizuziehen. Neben fehlendem Know-how und Ressourcen gibt es zudem weitere Aufgaben wie das Informieren der Mitarbeitenden und der Öffentlichkeit, wobei Erfahrung und Fingerspitzengefühl hier essentiell sind. Nach der Bewältigung des Angriffs geht es zudem um den raschen Wiederaufbau und die Herstellung der Produktions- resp. Geschäftstätigkeit. Denn nicht nur die Bewältigung des Angriffs oder die Lösegeldforderung, sollte es keinen anderen Ausweg geben, sind kostspielig. «Time is money», ist bei Ausfällen das Stichwort.

Komponenten einer erfolgreichen Cyber Defence

Damit es gar nicht soweit kommt, sollte Cyber Defence in jeder modernen Cyber Security-Strategie enthalten sein – beispielsweise in Form von spezifischen Cyber Defence Services, die 24x7 die Systeme der Kunden überwachen. Doch welche Prozesse sind besonders wichtig bei der Reaktion auf Bedrohungen?

Mathias Fuchs, Head of Investigation & Intelligence bei InfoGuard, betont die Wichtigkeit, Mensch und Maschine bei der Erkennung und Reaktion zu kombinieren. So dienen die technischen Möglichkeiten als «Enabler», damit die Cyber Security-Analysten schnell und gezielt reagieren können. Je nach Kunde und Vorgabe, können bei einem kritischen Alarm gezielt Komponenten isoliert werden, um den Angriff so rasch wie möglich zu stoppen. Diese Möglichkeiten inklusive der Erfahrung sind unternehmensintern oft nicht gegeben, weshalb die Zusammenarbeit mit externen Spezialisten so wichtig ist, unterstreicht Mathias Fuchs.

Neben der technischen, defensiven Komponente sollte auch die Mitarbeiter-Sensibilisierung nicht vergessen werden. Beispielsweise Phishing-E-Mails sind noch immer ein häufiges Einfallstor für Cyberkriminelle – Vorfälle, die vermeidbar sind. Auch hier gibt es zahlreiche Möglichkeiten, um Security Awareness zu schaffen.

Erkennung und Reaktion – packen Sie Incident Response noch heute an

Sie suchen noch nach einem verlässlichen Partner, der Sie im Falle einer Cyberattacke wie Ransomware schnell und kompetent unterstützt? Mit unserem Incident Response Retainer erhalten Sie das und noch einiges mehr:

  • Unterstützung durch unser erfahrenes Computer Security Incident Response Team (CSIRT)
  • Aufspüren des Angreifers und schnellstmögliche Isolation
  • Umfassende Schadensanalyse durch Sicherheitsexperten aus unserem Schweizer Cyber Defence Center (CDC)
  • Unterstützung bei der Wiederherstellung des ordentlichen Betriebs
  • Gewährleistung der Meldepflicht bei einem Sicherheitsvorfall, gemäss GDPR innerhalb von 72 Stunden

Überzeugt? Hier finden Sie weitere Angaben sowie ein Kontaktformular.

Incident Response RetainerWeitere Incident Response Services von InfoGuard finden Sie hier:

Incident Response Services

Artikel teilen