Wie entwickelt sich die Ransomware?

Jüngste Entwicklungen wie wirksamere Strafverfolgung, politische Kursänderungen, internationale Sanktionen und die zunehmende Regulierung von Kryptowährungen zwingen Ransomware-Akteure dazu, ihre Taktiken anzupassen. Dabei geht es sowohl darum, neue Hürden zu überwinden, als auch darum, sich bietende Gelegenheiten auszunutzen.

1. Fokus auf Datenerpressung und Monetarisierung

Laut Adam Meyers, dem Leiter der Intelligence-Abteilung bei CrowdStrike, haben Cyberkriminelle im Jahr 2022 ihre Taktik verlagert: Datenerpressung ist im Vergleich zu klassischer Ransomware zur attraktiveren und lukrativeren Option geworden. Dieser Wandel erklärt sich durch die relative Einfachheit und Profitabilität der Datenerpressung, die weniger Risiken birgt und weniger Aufmerksamkeit erregt. Meyers betonte, dass Ransomware-Angriffe auffällig und leicht zu entdecken sind, während der Diebstahl und die anschließende Erpressung mit Daten deutlich unauffälliger ablaufen.

Obwohl Ransomware-Gruppen traditionell nicht für den direkten Handel mit gestohlenen Daten bekannt waren, haben sie sich inzwischen als bedeutende Akteure im Untergrundmarkt etabliert. Als Vermittler für andere Cyberkriminelle maximieren diese Gruppen ihre Gewinne und minimieren zugleich ihr eigenes Entdeckungsrisiko. Ein einzelner Sicherheitsvorfall kann dabei verheerende Folgen haben: Sensible Daten gelangen in die Hände krimineller Akteure und werden unter Umständen veröffentlicht, was den Schaden für das betroffene Unternehmen noch erheblich vergrößert.

2. Die Cloud im Visier

Obwohl Cloud-Ressourcen weit verteilt und dadurch schwieriger anzugreifen sind, entwickeln Angreifer fortlaufend neue Methoden, um ungeschützte Instanzen auszunutzen. Laut einer Studie des Google Cybersecurity Action Teams wurden 86 % der kompromittierten Cloud-Instanzen für das Mining von Kryptowährungen missbraucht. Das ist besonders besorgniserregend, weil Angreifer, die bereits Cryptojacking betreiben, problemlos dazu übergehen können, Ransomware auf diesen verwundbaren Systemen zu installieren oder den Zugang an etablierte Ransomware-Gruppen weiterzuverkaufen.

3. Ungewöhnliche Plattformen im Visier

Erfahrene Sicherheitsexperten wissen, dass auch vermeintlich unbedeutende Angriffsvektoren katastrophale Folgen haben können. Keine potenzielle Schwachstelle sollte unterschätzt werden, denn selbst ungewöhnliche Systeme stellen ein erhebliches Risiko dar. Ransomware-Gruppen haben längst erkannt, wie wertvoll kritische Geräte als Ziel sind, insbesondere wenn keine Backups vorhanden sind.

Dass sich Angreifer nicht auf traditionelle Methoden beschränken, zeigt ein Proof of Concept von Forschern des Georgia Institute of Technology aus dem Jahr 2017: Sie demonstrierten den Einsatz von Ransomware auf einer speicherprogrammierbaren Steuerung (SPS). Da der Austausch oder die Neuprogrammierung solcher Geräte extrem kostspielig ist, sind sie ein ideales Ziel für Ransomware-Gruppen.

4. Ausnutzung von Zero-Day-Schwachstellen

Große Ransomware-Gruppen wie LockBit und ALPHV (auch bekannt als BlackCat) haben wiederholt für erhebliche Schäden gesorgt, indem sie neu entdeckte Schwachstellen ausnutzten, bevor Unternehmen die notwendigen Patches einspielen konnten. Jüngste Beispiele hierfür sind die im April 2023 bekannt gewordenen PaperCut-Schwachstellen (CVE-2023-27350 und CVE-2023-27351) sowie die Sicherheitslücken in VMwares ESXi-Servern, die im Rahmen der ESXiArgs-Kampagne ausgenutzt wurden.

5. Skalierung durch Automatisierung

Ransomware-Gruppen und Sicherheitsexperten befinden sich in einem ständigen Wettlauf. Während kriminelle Akteure im Darknet darauf abzielen, Sicherheitsvorfälle auszulösen, konzentriert sich die Gegenseite auf deren schnelle Erkennung und Abwehr. Um Geschwindigkeit und Volumen ihrer Angriffe zu steigern, automatisieren Ransomware-Gruppen zunehmend ihren gesamten Angriffszyklus. Um Schritt zu halten, setzen Sicherheitsexperten verstärkt auf erkennungsbasierte Automatisierung, die es Unternehmen ermöglicht, sich in der erforderlichen Geschwindigkeit und im nötigen Umfang zu verteidigen. In diesem Kräftemessen gibt es keinen Stillstand: Wer über die bessere Threat Intelligence verfügt, hat die Oberhand.