Erpresser am Werk
Global sind Ransomware-Angriffe in diesem Jahr um 102 Prozent im Vergleich zu Anfang 2020 gestiegen – und es gibt keine Anzeichen einer Verlangsamung. Die Anzahl der Organisationen, die weltweit von Ransomware betroffen sind, hat sich im ersten Halbjahr 2021 im Vergleich zu 2020 mehr als verdoppelt.
Gross war die Aufregung Mitte Mai an der US-Ostküste, als das Netzwerk von Colonial Pipeline von einem Ransomware-Angriff betroffen war. Das Unternehmen musste nach der Cyberattacke bestimmte Systeme vom Netz nehmen, wodurch der Betrieb der Pipeline komplett zum Erliegen kam, was in Teilen des Landes Benzinengpässe verursachte.
Das FBI bestätigte in einer Erklärung, dass eine professionelle cyberkriminelle Gruppe namens Darkside für den Ransomware-Angriff auf Colonial Pipeline verantwortlich war. Andere gross angelegte Angriffe, hierzulande beispielsweise auf Swiss Cloud Computing oder Griesser, global etwa auf die Stadt Tulsa, und die REvil-Ransomware, die versuchte, Apple zu erpressen, machen klar: Ransomware-Angriffe stellen weltweit ein grosses Problem dar. Es wird geschätzt, dass im letzten Jahr Ransomware Unternehmen weltweit rund 20 Milliarden US-Dollar gekostet hat – eine Zahl, die um fast 75 Prozent höher ist als im Jahr 2019.
Gesundheitswesen im Visier
Unsere Forscher von CPR (Check Point Research) haben festgestellt, dass durchschnittlich mehr als 1000 Organisationen pro Woche von Ransomware betroffen sind. Die Zahl der betroffenen Unternehmen ist im Jahr 2021 deutlich gestiegen – um 21 Prozent im ersten Quartal des Jahres und um sieben Prozent seit April. Diese Steigerungen haben zu einem schwindelerregenden Anstieg der Zahl der von Ransomware betroffenen Organisationen um insgesamt 102 Prozent im Vergleich zum Jahresbeginn 2020 geführt. Die Branche, die weltweit die meisten Ransomware-Angriffsversuche erlebt, ist das Gesundheitswesen mit durchschnittlich 109 Angriffsversuchen pro Unternehmen pro Woche, gefolgt vom Versorgungssektor mit 59 Angriffen und vom Bereich Versicherungen/Recht mit 34 Angriffen.
Regionale Unterschiede
Interessanterweise lassen sich auch regionale Unterschiede feststellen: Organisationen im asiatisch-pazifischen Raum (APAC) sind derzeit am stärksten von Ransomware-Angriffen betroffen. Im Durchschnitt werden Organisationen in APAC 51 Mal pro Woche angegriffen. Im Durchschnitt erlebt eine nordamerikanische Organisation 29 wöchentliche Angriffe, europäische und lateinamerikanische Unternehmen 14 und afrikanische Unternehmen haben jeweils vier wöchentliche Angriffe pro Organisation. Indien verzeichnete die meisten Angriffsversuche pro Organisation mit durchschnittlich 213 wöchentlichen Angriffen seit Jahresbeginn. Es folgen Argentinien mit 104 pro Organisation, Chile mit 103, Frankreich mit 61 und Taiwan mit 50.
Während in Nordamerika Organisationen des Gesundheitswesens seit Anfang des Jahres die meisten Angriffe erlitten haben, sind in Europa Organisationen der Versorgungswirtschaft am stärksten betroffen. In APAC ist der Versicherungs- und Rechtsbereich am stärksten betroffen, während es in Lateinamerika die Kommunikationsbranche ist. In Afrika ist der Finanz- und Bankensektor am meisten angegriffen.
Dreifach-Erpresser-Ransomware
Der Erfolg der doppelten Erpressung (Double Extortion – Kriminelle verschlüsseln Daten nicht nur, sie veröffentlichen sie auch) im Jahr 2020, vor allem seit dem Ausbruch der Covid-19-Pandemie, ist unbestritten. Obwohl nicht alle Vorfälle – und deren Ergebnisse – offengelegt und veröffentlicht werden, spiegeln die im Zeitraum 2020-2021 gesammelten Statistiken die Bedeutung dieses Angriffsvektors wider: Die durchschnittliche Lösegeldzahlung ist im letzten Jahr um 171 Prozent gestiegen und liegt nun bei etwa 310’000 US-Dollar. Mehr als 1000 Unternehmen erlitten Datenverluste, nachdem sie sich weigerten, Lösegeldforderungen im Jahr 2020 zu erfüllen, und etwa 40 Prozent aller neu entdeckten Ransomware-Familien bezogen die Dateninfiltration in ihren Angriffsprozess ein. Angriffe, die Ende 2020 und Anfang 2021 stattgefunden haben, deuten auf eine neue Angriffskette hin – im Wesentlichen eine Erweiterung der Double-Extortion-Ransomware-Technik, die eine zusätzliche Bedrohung in den Prozess integriert – wir nennen dies Triple Extortion.
Der erste bemerkenswerte Fall war der Angriff auf die finnische Vastaamo-Klinik für Psychotherapie mit rund 40’000 Patienten. Sie war von einem umfangreichen Diebstahl von Patientendaten und einem Ransomware-Angriff betroffen. Nicht nur von der Klink wurde ein Lösegeld gefordert, sondern überraschenderweise wurden auch kleinere Summen von Patienten verlangt, welche die Lösegeldforderungen einzeln per E-Mail erhalten hatten. In diesen Mails drohten die Angreifer damit, die Sitzungsnotizen ihrer Therapeuten zu veröffentlichen. Selbst wenn sie auf der Erfolgswelle reiten, Cyberkriminelle sind ständig auf der Suche nach innovativeren und fruchtbareren Geschäftsmodellen. Darum ist es umso wichtiger, sich der Gefahr bewusst und abgesichert zu sein.
So wappnet man sich gegen Ransomware-Attacken
1. Erhöhte Wachsamkeit an Wochenenden und Feiertagen: Die meisten Ransomware-Angriffe im letzten Jahr fanden an Wochenenden und Feiertagen statt.
2. Aktuelle Patches: Man MUSS Computer auf dem neuesten Stand halten und Sicherheits-Patches installieren, insbesondere solche, die als kritisch eingestuft sind.
3. Anti-Ransomware-Lösungen: Diese überwachen Programme auf verdächtige Verhaltensweisen, die häufig von Ransom-
ware gezeigt werden. Wenn solche Verhaltensweisen erkannt werden, kann das Programm Massnahmen ergreifen, um die Verschlüsselung zu stoppen, bevor weiterer Schaden angerichtet werden kann.
4. Aufklären: Die Schulung von Benutzern zur Erkennung und Vermeidung potenzieller Ransomware-Angriffe ist entscheidend. Viele Cyberangriffe beginnen mit einer gezielten E-Mail, die nicht einmal Malware enthält, sondern eine fingierte Nachricht, die den Benutzer dazu verleitet, auf einen bösartigen Link zu klicken. Die Schulung der Benutzer wird oft als eine der wichtigsten Verteidigungsmassnahmen angesehen, die ein Unternehmen einsetzen kann.
5. Ransomware-Angriffe beginnen nicht mit Ransomware: Sicherheitsexperten sollten auf Trickbot-, Emotet-, Dridex- und CobaltStrik-Infektionen in ihren Netzwerken achten und diese mithilfe von Threat- Hunting-Lösungen entfernen – denn sie öffnen Ransomware-Infektionen die Tür.
Quelle: Check Point Software