Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck

Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

[datensicherheit.de, 30.01.2023] „Die gemeinsame Aktion des FBI in Abstimmung mit deutschen und niederländischen Behörden ist ein Erfolg gegen die ausgefeilten Techniken von ,Hive‘ zu einem kritischen Zeitpunkt im Kampf gegen Ransomware-Gruppen“, so
Chris Dobrec, „VP Product & Industry Solutions“ bei Armis. Allein in Deutschland seien bereits mehr als 70 Unternehmen von den Cyber-Kriminellen gehackt worden. Die Ermittlungen seien auch ein entscheidender Schritt in Richtung einer verstärkten internationalen Zusammenarbeit, um Bedrohungsakteure zum Nutzen aller an der Ausübung ihrer Tätigkeit zu hindern.

Foto: Armis

Chris Dobrec: Nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen!

Wirtschaftlichen Situation erlaubt immer weniger Unternehmen, Ransomware-Lösegeld zu zahlen

„Neben diesem Erfolg der Strafverfolgungsbehörden stehen Ransomware-Gruppen unter Druck, weil sich aufgrund der wirtschaftlichen Situation immer weniger Unternehmen in der Lage befinden werden, das geforderte Lösegeld auch zu bezahlen“, betont Dobrec und warnt jedoch: „Diese Entwicklungen sind jedoch nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen.“

Untersuchungen wie der „Cyberwarfare-Report“ zeigten, dass 54 Prozent der Unternehmen weltweit zwischen Mai und Oktober 2022 einen Anstieg der Bedrohungsaktivitäten im Vergleich zu den sechs Monaten davor verzeichnet hätten. Die vorübergehende Pause in den Aktivitäten der „Hive“-Gruppe bedeute nämlich keineswegs einen Rückgang der Angriffe auf breiter Front.

Unternehmen sollten den Zeitpunkt der Strafverfolgungs-Aktion zum Anlass nehmen, ihre Bemühungen, um ein proaktives Verständnis ihrer gesamten Angriffsfläche zu erneuern. Dobrec erläutert: „Sie müssen Schwachstellen in ihrer Umgebung bewerten, die Priorisierung von Abhilfemaßnahmen zu verwalten und ihre Sicherheitsabwehr von innen nach außen zu stärken. Sie können dies auch nutzen, um ihre Politik zur Zahlung von Lösegeld zu bewerten.“

IT-Experten uneinig, ob Ransomware-Lösegeld gezahlt werden sollte

Der gleichen Studie zufolge seien IT-Fachleute weltweit geteilter Meinung darüber, ob Lösegeld gezahlt werden soll: „24 Prozent der Befragten gaben an, dass ihr Unternehmen immer zahlt. 31 Prozent sagten, dass ihr Unternehmen nur zahlt, wenn Kundendaten gefährdet sind. 26 Prozent wiederum waren der Meinung, dass ihr Unternehmen nie zahlt. Weitere 19 Prozent gaben an, dass es im Zweifelsfall darauf ankommt.“

In den USA hätten die zuständigen Behörden den betroffenen Unternehmen inzwischen unter Strafandrohungen untersagt das Lösegeld zu zahlen. Es bleibe abzuwarten, „ob nicht auch andere europäische Länder diesem Beispiel folgen werden“.

Ransomware zwingt Sicherheitsteams, über statische Bestandsaufnahme ihrer Assets hinauszugehen

Trotz des Risikos ständiger Cyber-Angriffe steuerten viele IT- und OT-Sicherheitsexperten in der sogenannten DACH-Region ihre Sicherheitstools in gewissem Maße manuell. Die Ergebnisse zeigten, dass weniger als die Hälfte (47%) der Unternehmen über automatisierte Sicherheitssoftware zur Erkennung von APTs (Advanced Persistent Threats) verfüge – und dass, obwohl diese Bedrohungen als die gefährlichste Gruppe gälten und oft von nationalstaatlichen Angreifern unterstützt würden. Im Gegenteil: „44 Prozent dieser Unternehmen suchen manuell und mithilfe vordefinierter Warnungen nach verdächtigem Verhalten.“

Tools zur Bestandsaufnahme konzentrierten sich zumeist auf Transparenz, lieferten jedoch keine Informationen über Cyber-Bedrohungen. Dies erfordere, dass Unternehmen mit modernen hybriden Umgebungen separate Tools zur Bestandsaufnahme und Risikobewertung implementierten. Unternehmen mangele es an einem vollständigen Bild ihrer „Assets“ – „sie kennen den wichtigen Risikokontext nicht und es klaffen Sicherheitslücken, die von Cyber-Kriminellen ausgenutzt werden können“. Deshalb benötigten Sicherheitsteams eine Möglichkeit, über die statische Bestandsaufnahme all ihrer „Assets“ hinauszugehen und auch deren Sicherheitskontext zu verstehen.

Weitere Informationen zum Thema:

ARMIS
THE STATE OF CYBERWARFARE

datensicherheit.de, 30.01.2023
Hive: Zerschlagung des-Hacker-Netzwerks erheblicher Rückschlag für gefährliche kriminelle Organisation / Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen