Ransomware-Report von Palo Alto Networks
Erpresser haben Deutschland im Visier
Laut dem „Unit 42 Ransomware Threat Report“ von Palo Alto Networks’ Threat-Intelligence- und Incident-Response-Teams lag Deutschland letztes Jahr auf Rang 3 unter den Ransomware-Fällen, bei denen die Angreifer Daten auf Leak-Sites veröffentlichten: Von der illegalen Offenlegung ihrer Daten betroffen waren in den USA 151 Unternehmen, in Kanada 39 und hierzulande 26.
Die Erpressung mit Verschlüsselungstrojanern erweist sich für Kriminelle als florierendes Geschäft, ihre Forderungen werden immer dreister: Das Lösegeld, das Unternehmen aus den USA, Kanada und Europa durchschnittlich zahlten, stieg laut dem Unit-42-Report von 115.123 Dollar (2019) auf 312.493 Dollar (2020), ein Plus von 171 Prozent. Von 2015 bis 2019 habe die höchste Ransomware-Forderung bei 15 Millionen Dollar gelegen, 2020 dann schon bei 30 Millionen. Der Höchstwert für Zahlungen sei 2020 gegenüber dem Vorjahr von fünf auf zehn Millionen Dollar gestiegen.
Weitere Zahlen und Fakten aus dem Report: Ransomware-Gruppen nutzten – wie abzusehen – die COVID-19-Pandemie, um Organisationen zu attackieren. Ebenfalls nicht überraschend: Das Gesundheitswesen war 2020 am häufigsten Ziel von Ransomware. Schließlich wissen die Erpresser, dass Krankenhäuser ihren Betrieb aufrechterhalten müssen, um nicht nur die COVID-19-, sondern auch die Vielzahl weiterer Patienten zu behandeln und Leben zu retten. Entsprechend waren die Kliniken laut Palo Alto Networks eher bereit, Lösegeld zu zahlen. In puncto OS habe man Ransomware nicht nur auf Windows, macOS und Mobilgeräte-Betriebssystemen beobachtet, sondern auch auf Linux.
Was die Lage verschärft: Ransomware ist für Kriminelle laut den Erkenntnissen diverser Sicherheitsforscher immer leichter und in Formaten für verschiedene Plattformen erhältlich (LANline berichtete). Zeitgleich haben die Forscher eine Verschiebung von hochvolumigen Streuversand-Angriffen hin zu fokussiertem Angriffsvorgehen beobachtet: Wie bei herkömmlichen Kompromittierungen von Netzwerken etwa zum Zweck des Datendiebstahls nehmen sich Angreifergruppen nun zunächst die nötige Zeit, um die Opfer, deren Netzwerke und nicht zuletzt die kritischen Datenbestände kennenzulernen.
Ransomware ist auch dadurch international regelrecht zur Landplage geworden, weil sie für Angreifergruppen inzwischen im Abo verfügbar ist: per Ransomware as a Service (RaaS). Denn das RaaS-Modell ermöglicht es den Beteiligten, vorhandenen aktuellen Ransomware-Code gegen Gebühr zur Durchführung von Angriffen zu nutzen.
Ransomware-Betreiber verschaffen sich laut dem Report nach wie vor mit bekannten Methoden Zugang zu den Umgebungen der Opfer, beispielsweise durch Phishing, schwache oder kompromittierte RDP-Login-Daten (Remote Desktop Protocol) und die Ausnutzung von Software-Schwachstellen. So ist zum Beispiel DearCry laut Palo Alto Networks die erste beobachtete Ransomware, die auf vier kürzlich bekannt gewordene Zero-Day-Schwachstellen in Microsoft Exchange Server abzielt.
Viele Angreifer nutzen auch Standard-Malware wie Dridex, Emotet und Trickbot für den Erstzugang. Sind die Kriminellen einmal in ein Netzwerk eingedrungen, verwenden sie gerne native Tools wie PSExec und PowerShell, um sich durch das Netzwerk zu bewegen, so Palo Alto Networks.
- Erpresser haben Deutschland im Visier
- Doppelte Erpressung
Lesen Sie mehr zum Thema
