Wie entwickelt sich die Ransomware?

Jüngste Fortschritte wie wirksame Strafverfolgungsmaßnahmen zur Bekämpfung von Ransomware, Änderungen der Regierungspolitik, globale Sanktionen und die bevorstehende Regulierung von Kryptowährungen zwingen Angreifer dazu, ihre Taktiken anzupassen - sowohl um neue Hindernisse zu überwinden als auch um neue Chancen zu nutzen.

1. Fokus auf Datenerpressung und Monetarisierung

Laut Adam Meyers, dem Leiter der Abteilung Intelligence bei CrowdStrike, haben Cyberkriminelle im Jahr 2022 ihre Taktik geändert, da Angriffe zur Datenerpressung im Vergleich zu Ransomware eine attraktivere und lukrativere Option geworden sind. Diese Verhaltensänderung wurde durch die Einfachheit und Rentabilität der Datenerpressung vorangetrieben, die weniger Risiken birgt und weniger Aufmerksamkeit erregt als Ransomware-Angriffe. Meyers merkte an, dass Ransomware laut ist und leicht entdeckt werden kann, während Datenverschlüsselung ein viel komplexerer Prozess ist.

Obwohl Ransomware-Gruppen nicht dafür bekannt sind, aus gestohlenen Daten Profit zu schlagen, haben sie sich als wichtige Akteure auf dem Untergrundmarkt etabliert. Indem sie als Vermittler für andere Cyberkriminelle fungieren, können diese Gruppen ihre Gewinne maximieren und gleichzeitig ihr Risiko der Anfälligkeit minimieren. Eine einzige Sicherheitsverletzung kann jedoch verheerende Folgen haben, da sensible Daten in die Hände böswilliger Personen fallen und möglicherweise online weitergegeben werden, wodurch einem Unternehmen noch mehr Schaden zugefügt wird.

2. Die Cloud im Visier

Obwohl Cloud-Ressourcen weit verstreut sind, was es für Angreifer schwierig macht, sie ins Visier zu nehmen, entwickeln sie ständig neue Taktiken, um ungenutzte Ressourcen auszunutzen. Laut einer vom Google Cybersecurity Action Team durchgeführten Studie wurden erstaunliche 86 % der kompromittierten Cloud-Instanzen für das Mining von Kryptowährungen verwendet. Dies stellt ein ernstes Problem dar, da Angreifer, die bereits in Kryptojacking verwickelt sind, leicht dazu übergehen können, Ransomware auf diesen anfälligen Systemen zu installieren oder sogar den Zugang zu etablierten Ransomware-Gruppen zu verkaufen.

3. Ungewöhnliche Plattformen im Visier

Führende Experten auf dem Gebiet der Cybersicherheit wissen, dass selbst der kleinste Angriff katastrophale Folgen haben kann. Es ist wichtig, keine potenzielle Schwachstelle zu übersehen, da selbst ungewöhnliche Systeme ein erhebliches Risiko für ein Unternehmen darstellen können. Ransomware-Gruppen sind sich der Bedeutung kritischer Geräte bewusst, insbesondere wenn keine Backups verfügbar sind.

Diese Angreifer beschränken sich nicht auf traditionelle Methoden, wie der 2017 von Forschern des Georgia Institute of Technology erstellte Proof of Concept zeigt. Damit wurde die Fähigkeit demonstriert, Ransomware auf einer speicherprogrammierbaren Steuerung (SPS) einzusetzen. Der Austausch oder die Modifizierung eines solchen Geräts kann extrem teuer sein, was es zu einem idealen Ziel für Ransomware-Gruppen macht, die finanzielle Gewinne erzielen wollen.

4. Ausnutzung von Zero-Day-Schwachstellen

Große Ransomware-Gruppen wie LockBit und ALPHV (auch bekannt als BlackCat) haben oft Chaos verursacht, indem sie neu entdeckte Schwachstellen ausnutzten, bevor Unternehmen die erforderlichen Patches implementieren konnten. Dies war bei den jüngsten "Day-One"-Schwachstellen der Fall, darunter die im April 2023 entdeckten PaperCut-Schwachstellen (CVE-2023-27350 und CVE-2023-27351) und die Schwachstellen in den ESXi-Servern von VMware, die von der ESXiArgs-Kampagne ausgenutzt wurden.

5. Skalierung mit Automatisierung

Ransomware-Banden und Sicherheitsexperten kämpfen gegeneinander, ähnlich wie sich ein Pitcher und ein Hitter beim Baseball duellieren würden. In diesem Spiel konzentrieren sich die kriminellen Akteure im Dark Web darauf, Vorfälle zu verursachen, während sich die Sicherheitsautomatisierung auf die Reaktion auf Vorfälle konzentriert. Um die Geschwindigkeit und das Volumen ihrer Angriffe zu erhöhen, nutzen Ransomware-Banden die Automatisierung ihres gesamten Angriffszyklus. Um mit dieser Entwicklung Schritt zu halten, haben sich Sicherheitsexperten der erkenntnisbasierten Automatisierung zugewandt, die es Unternehmen ermöglicht, sich in großem Umfang und mit der Geschwindigkeit zu verteidigen, die erforderlich ist, um den Ball bei jedem Wurf zu treffen. Ähnlich wie beim Baseball gibt es auch in der Cyberwelt kein Unentschieden. Intelligenz gibt die Oberhand.