Ransomware-Reports von Sophos und Proofpoint
Erpressersoftware wieder auf hohem Niveau
Laut einer Sophos-Umfrage vom ersten Quartal 2023 unter 3.000 IT- und Cybersecurity-Führungskräften aus 14 Ländern waren 58 Prozent der befragten Organisationen in Deutschland von Ransomware betroffen, international 66 Prozent. Dabei gelang es den Angreifern in 71 Prozent der Fälle (international 76 Prozent), Daten zu verschlüsseln. International ist dies laut Sophos die höchste Rate an Datenverschlüsselung durch Ransomware, seit der britische Security-Anbieter 2020 seinen ersten Ransomware-Jahresbericht veröffentlichte.
„Die Verschlüsselungsraten sind nach einem vorübergehenden Rückgang während der Pandemie wieder auf ein sehr hohes Niveau angestiegen, was besorgniserregend ist“, sagt Chester Wisniewski, Field CTO bei Sophos. „Ransomware-Kriminelle haben ihre Angriffsmethoden verfeinert und ihre Attacken beschleunigt, um die Zeit zu verkürzen, in der die Verteidiger ihre Pläne durchkreuzen könnten.“
Aus einer Umfrage für den diesjährigen „Voice of the CISO“-Report des US-amerikanischen Security-Anbieters Proofpoint wiederum geht hervor: 57 Prozent der deutschen CISOs (Chief Information Security Officer) gehen davon aus, dass ihre Arbeitgeber Lösegeld bezahlen würden, um ihre Systeme wiederherzustellen und die Veröffentlichung von Daten zu vermeiden, wenn sie in den kommenden zwölf Monaten von einer Ransomware-Attacke getroffen würden.
Vor diesem Schritt warnt Sophos: Die Wiederherstellungskosten nach Ransomware-Angriffen lagen laut der Befragung international im Fall einer Lösegeldzahlung doppelt so hoch wie ohne: 750.000 Dollar Wiederherstellungskosten gegenüber 375.000 Dollar für Unternehmen, die Backups zur Datenwiederherstellung verwendeten. Auch konnten 45 Prozent der Unternehmen, die Backups verwendeten, die Daten innerhalb einer Woche wiederherstellen, verglichen mit 39 Prozent der Unternehmen, die Lösegeld zahlten, so Sophos.
„Die meisten Opfer werden nicht in der Lage sein, alle ihre Dateien wiederherzustellen, indem sie einfach die Verschlüsselungsschlüssel kaufen“, kommentiert Wisniewski, „sie müssen auch Backups einspielen. Die Zahlung von Lösegeld bereichert nicht nur die Kriminellen, sondern verlangsamt auch die Reaktion auf den Vorfall und erhöht die Kosten in einer ohnehin schon verheerenden Situation.“
Laut der Proofpoint-Umfrage sind viele Unternehmen dabei bereit, dieses Risiko allein zu tragen: Nicht einmal die Hälfte (44 Prozent) der Befragten gaben an, dass sie eine Cyberversicherung in Anspruch nehmen würden, um durch Angriffe entstandene Schäden zu ersetzen.
Die häufigsten Einfallstore für Ransomware waren hierzulande nach Sophos-Erkenntnissen ausgenutzte Schwachstellen mit 24 Prozent (international 36 Prozent) sowie kompromittierte Zugangsdaten mit 36 Prozent (international 29 Prozent). In 30 Prozent der hiesigen Ransomware-Fälle mit Datenverschlüsselung stahlen die Angreifer auch Daten. Dies deutet laut Sophos darauf hin, dass die „Double-Dip“-Methode (Datenverschlüsselung und Datenexfiltration) immer häufiger vorkommt.
„Zwei Drittel der Unternehmen geben an, im zweiten Jahr in Folge Opfer von Ransomware geworden zu sein“, so Wisniewski weiter. „Der Schlüssel zur Reduzierung dieses Risikos liegt darin, sowohl die Zeit bis zur Entdeckung als auch die Zeit bis zur Reaktion drastisch zu verkürzen.“ Die von Menschen geleitete Bedrohungsjagd sei sehr effektiv, um die Kriminellen zu stoppen, aber die Warnungen müssten eben auch untersucht und die Kriminellen innerhalb von Stunden aus den Systemen entfernt werden, nicht erst nach Wochen und Monaten.
Sophos gibt drei Tipps zum Schutz vor Ransomware & Co.:
- Verstärken der Verteidigung durch Sicherheits-Tools, die die häufigsten Angriffsvektoren abwehren – also Endpoint-Schutz mit starken Anti-Exploit-Funktionen und Zero Trust Network Access (ZTNA) – sowie durch adaptive Technik, die automatisch auf Angriffe reagiert, ebenso mit 24/7-Bedrohungserkennung, -Untersuchung und -Reaktion, intern oder durch einen MDR-Anbieter (Managed Detection and Response).
- Optimierung der Angriffsvorbereitung durch regelmäßige Backups, Tests zur Wiederherstellung von Daten aus Backups sowie Pflege eines aktuellen Reaktionsplans für Vorfälle.
- Aufrechterhaltung einer guten Sicherheitshygiene inklusive rechtzeitiger Patches und regelmäßiger Überprüfung der Konfigurationen von Sicherheitstools.
Lesen Sie mehr zum Thema
