Quartalsbericht von Cisco Talos
Ransomware nun häufigste Bedrohung
Ciscos Security-Team des Geschäftsbereichs Talos hat Bilanz über das zweite Quartal 2021 gezogen: Ransomware machte beinahe die Hälfte aller Sicherheitsvorfälle aus. Zum dritten Mal in Folge war das Gesundheitswesen weltweit Angriffsziel Nummer eins.
Im vierteljährlichen Threat Assessment Report des CTIR-Teams (Cisco Talos Incident Response) war Ransomware im letzten Quartal (April bis Juni) die dominierende Bedrohung: Sie machte rund 46 Prozent aller Bedrohungen aus und übertraf damit die zweithäufigste Bedrohung – die Ausnutzung von Sicherheitslücken in Microsoft Exchange Server – um mehr als das Dreifache. Man habe eine Vielzahl von Ransomware-Familien beobachtet, darunter REvil, Conti, WastedLocker, Darkside, Zeppelin, Ryuk, Mount Locker und Avaddon.
„Aus dem Geschäft mit Ransomware hat sich in den letzten eineinhalb Jahren eine professionelle Industrie entwickelt“, sagt Michael von der Horst, Managing Director Cybersecurity bei Cisco Deutschland. „Hackergruppen haben sich entlang der Angriffskette hochgradig spezialisiert.“ So gebe es Teams, die Sicherheitslücken aufdecken, während andere darauf spezialisiert seien, Malware einzuschleusen oder Zahlungen abzuwickeln.
„Das Gesundheitswesen steht besonders im Visier der Angreifer, weil die IT-Sicherheit in dieser Branche oft nicht gut genug ausgebaut ist“, so von der Horst weiter. „Zudem stehen zum Beispiel Krankenhäuser unter hohem Druck, für die schnellstmögliche Wiederherstellung der Dienste zu sorgen.“
Für das Vorgehen von Ransomware-Akteuren nennt Talos folgendes Beispiel: Im Vorfeld eines Ransomware-Angriffs auf ein Technologieunternehmen erbeuteten die Angreifer die Anmeldedaten für ein Anbieterkonto und führten anschließend mehrere Aktionen durch, um die Seitwärtsbewegung zu erleichtern. Die Angreifer verschafften sich zusätzliche Anmeldeinformationen über LSASS (Local Security Authority Subsystem Service) und führten umfangreiche Scans durch. Sie nutzten den SoftPerfect-Netzwerkscanner und ein Skript zur Identifizierung von Hosts, die von der BlueKeep-Schwachstelle betroffen waren. CTIR habe eine Datei mit einer Liste von Hunderten von Kerberos-Passwort-Hashes identifiziert, die offline geknackt werden konnten, um Klartextpasswörter zu stehlen.
Ransomware-Akteure nutzen laut Talos-Erkenntnissen zudem gerne kommerzielle Lösungen wie Cobalt Strike, Open-Source-Tools sowie Werkzeuge, die auf dem Gerät der Betroffenen bereits installiert sind. Kriminelle hätten aber bei mehreren Vorfälle auch mit trojanisierten USB-Laufwerken gearbeitet – ein älterer Angriffsvektor, den man seit vielen Jahren nicht mehr beobachtet habe.
„Fehlende Multi-Faktor-Authentifizierung ist nach wie vor eines der größten Hindernisse für die Unternehmenssicherheit“, sagt von der Horst. Denn das CTIR beobachte häufig Ransomware-Vorfälle, die hätten verhindert werden können, wenn MFA für wichtige Dienste aktiviert gewesen wäre. Die Security-Fachleute empfehlen deshalb den Unternehmen dringend, MFA zu implementieren, wo immer dies möglich ist.
Lesen Sie mehr zum Thema
