Technologische Neuigkeiten, Bewertungen und Tipps!

Bericht: Ransomware-as-a-Service ist eine „sich selbst tragende Industrie“

Hinweis: Der folgende Artikel hilft Ihnen weiter: Bericht: Ransomware-as-a-Service ist eine „sich selbst tragende Industrie“

Ein neuer Bericht hat die Feinheiten des Ransomware-Ökosystems im Internet enthüllt und kommt zu dem Schluss, dass Akteure, die mit Ransomware-Gruppen zusammenarbeiten, mehr Aufmerksamkeit benötigen, als sie derzeit erhalten.

Der Bericht beschreibt detailliert, wie Bedrohungsakteure eine Vielzahl von Erpressungstechniken einsetzen – oft im Tandem –, um Unternehmen zu Verhandlungen und letztendlich zur Zahlung von Gebühren für den Schutz und/oder den Abruf ihrer Daten zu zwingen.

Durch das Verständnis der Angriffsvektoren, die am häufigsten von Ransomware-Gruppen verwendet werden, können Unternehmen Maßnahmen ergreifen, um sich zu schützen. Passwortmanagersind beispielsweise eine Möglichkeit, um sicherzustellen, dass die Mitarbeiter Ihres Unternehmens mit schwachen Kontoanmeldeinformationen keinen einfachen Zugang ermöglichen.

Ransomware-as-a-Service boomt

Tenables Bericht erklärt, dass ein Hauptgrund für den jüngsten Ransomware-Boom „das Aufkommen von Ransomware-as-a-Service (RaaS)“ ist.

Im Wesentlichen ist RaaS ein Servicemodell, genau wie Software-as-a-Service. Ransomware-Gruppen stellen die Software her, doch dann brechen am Ende andere Akteure in Systeme ein und verbreiten sie.

Früher waren es die Ransomware-Gruppen selbst, die alle Aktionen im Prozess selbst ausführten, aber jetzt ist das System wesentlich komplexer und es gibt verschiedene Phasen, in denen kleinere Akteure Geld verdienen können.

Verifizieren

Möchten Sie die neuesten technischen Nachrichten direkt in Ihren Posteingang erhalten?

Bitte geben Sie Ihren Namen ein. Bitte geben Sie Ihre E-Mail-Adresse ein. Bitte überprüfen Sie dies, bevor Sie sich anmelden. Abonnieren

Das Ransomware-Ökosystem erklärt

Tenable erklärt, dass das Ransomware-Ökosystem vor allem nicht nur aus Ransomware-Gruppen besteht. Ransomware-Gruppen sind die Ersteller und Eigentümer des „Produkts“ und erhalten ihrerseits viel Aufmerksamkeit, aber insgesamt identifiziert das Unternehmen drei Hauptrollen, die bei den meisten Ransomware-Angriffen eine Rolle spielen: IABs, Affiliates und Ransomware-Gruppen.

Initial Access Brokers (IABs) sind eine „spezialisierte Gruppe von Cyberkriminellen, die dafür verantwortlich sind, sich auf verschiedene Weise Zugang zu Organisationen zu verschaffen.“

Anstatt ihren ungerechtfertigten Zugriff zu nutzen, um ihren eigenen Ransomware-Angriff zu orchestrieren, halten IABs „ihre Persistenz in den Netzwerken der Opferorganisationen aufrecht und verkaufen sie an andere Einzelpersonen oder Gruppen innerhalb des Ökosystems der Cyberkriminalität“, heißt es in dem Bericht.

Der Markt für IABs hatte im Jahr 2019 einen Wert von 1,6 Millionen US-Dollar, wuchs aber im Jahr 2021 auf 7,1 Millionen US-Dollar (Gruppe-IB). Dies ist ein viel geringerer Betrag als das Geld, das anderswo in der Ransomware-Kette verdient wird, einfach weil das Risiko viel geringer ist.

Nach dem Einbruch der IABs werden als Affiliates bekannte Akteure den Zugang, den sie geschürft haben, für einige Hundert bis einige Tausend Dollar erwerben. Alternativ nutzen sie Angriffsmethoden wie Brute-Force-Remote-Desktop-Protokollsysteme, Phishing, Systemschwachstellen oder gestohlene Anmeldeinformationen, um in Unternehmensserver einzudringen.

Dem Bericht zufolge arbeiten diese Akteure ähnlich wie Affiliate-Vermarkter, die Leads in normalen, legitimen Geschäftspraktiken finden – sie infizieren das System und lassen die Ransomware-Gruppe „den Deal abschließen“ und den Verhandlungsprozess in Gang setzen.

Die Partner werden oft von Ransomware-Gruppen selbst angeleitet und helfen dabei, ihre Kreationen zu testen und zu nutzen.

Wie Unternehmen durch „doppelte“, „dreifache“ und „vierfache“ Erpressung zahlen müssen

Traditionell verschlüsselten Ransomware-Gruppen die Dateien eines Unternehmens und verlangten von ihnen Geld für die Entschlüsselung. Heutzutage verfügen die meisten Unternehmen jedoch über sichere Dateisicherungen, sodass diese Methode zunehmend ineffektiv wird.

In den letzten Jahren ist die „doppelte Erpressung“ jedoch für viele Ransomware-Gruppen zum Standard geworden. Dabei handelt es sich um das „Exfiltrieren von Daten von Opferorganisationen und das Veröffentlichen von Teasern“ in Dark-Web-Foren und Leak-Websites. Unternehmen, die befürchten, dass private und vertrauliche Informationen online durchsickern könnten, zahlen anschließend.

Allerdings ist diese Taktik mittlerweile mehrere Jahre alt und Tenable sagt, dass andere Techniken parallel zueinander bei „dreifachen“ oder sogar „vierfachen“ Erpressungsversuchen eingesetzt werden.

Zu den Methoden gehören die Kontaktaufnahme mit Kunden, auf die sich die gestohlenen Daten beziehen, die Androhung, die gestohlenen Daten an den Meistbietenden zu verkaufen, und die Warnung der Opfer, sich nicht an Strafverfolgungsbehörden zu wenden.

Fokus über Ransomware-Gruppen hinaus

Der Bericht legt nahe, dass der entscheidenden Rolle, die IABs und Partner im Ransomware-Ökosystem spielen, mehr Aufmerksamkeit geschenkt werden sollte.

Ransomware-Gruppen sind im Wesentlichen vergänglich. Je erfolgreicher sie sind, desto mehr Partner wollen sich ihnen zuwenden und ihre Software nutzen, aber desto mehr versuchen die Strafverfolgungsbehörden, sie aufzuspüren.

Viele der „berüchtigten“ Ransomware-Gruppen machen heute Schlagzeilen, wie die Conti Gruppe, sind Nachfolger anderer Ransomware-Gruppen. Wenn Sie eine Untersuchung einer Gruppe eingeleitet haben, existiert diese möglicherweise in einem Jahr nicht einmal mehr. IABs und verbundene Unternehmen werden dies jedoch tun.

Was können Unternehmen tun, um sich zu schützen?

Tenable bietet eine Reihe verschiedener Abhilfemaßnahmen für Unternehmen, um sicherzustellen, dass sie nicht das nächste Opfer eines erpresserischen Ransomware-Angriffs werden. Dazu gehören die Verwendung von Multi-Faktor-Authentifizierung, die kontinuierliche Prüfung von Benutzerberechtigungen für Konten, das Patchen anfälliger Assets in Ihrem Netzwerk, das Härten von Remote-Desktop-Protokollen und die Verwendung geeigneter Antiviren Software.

Die Liste umfasst auch die Stärkung der Passwörter Ihrer Mitarbeiter und weist darauf hin, dass „Passwortanforderungen lange und nicht aus dem Wörterbuch stammende Wörter umfassen“. Eine Möglichkeit, sicherzustellen, dass Passwörter ausreichend lang sind, ohne dass man sie sich merken muss, ist die Verwendung von a PasswortmanagerDadurch können Ihre Mitarbeiter auch eindeutige Passwörter für alle Konten erstellen, die sie besitzen, anstatt sie wiederzuverwenden.

Da der RaaS-Markt – und die daran beteiligten böswilligen Gruppen – keine Anzeichen einer Verlangsamung zeigen, war es noch nie so wichtig, mit Ihren Daten größtmögliche Vorsichtsmaßnahmen zu treffen.