Ransomware-Hacker: Nach dem Angriff könnte vor dem Angriff sein

Eric Waltert von Veritas Technologies kommentiert Ransomware-Angriffe auf JBS und Colonial Pipeline

[datensicherheit.de, 12.06.2021] In den vergangenen Wochen hätten Cyber-Kriminelle in den „aufsehenerregendsten Hacker-Attacken der vergangenen Jahre“ mehrere Millionen US-Dollar erbeutet. Die jüngsten Angriffe gegen die Firma JBS und die Colonial Pipeline richteten sich offenkundig gegen kritische Infrastrukturen (KRITIS). Beide Fälle zeigten, dass die Attacken immer perfider und gezielter abliefen. Der mögliche Schaden betreffe nicht mehr nur die Unternehmen selbst: Immerhin liefere die Colonial Pipeline 45 Prozent des Kraftstoffes an der Ostküste der USA, was auch auf die Gesellschaft einen immensen Einfluss habe, und JBS sei einer der größten Fleischproduzenten – und damit essenziell für die Nahrungsversorgung weltweit. Nun sei es der US-Bundespolizei FBI immerhin gelungen, einen Teil des erpressten Lösegelds zu beschlagnahmen, welches Colonial Pipeline an die Kriminellen gezahlt habe.

Foto: Veritas

Eric Waltert warnt: Ransomware-Hacker werden ihre Strategien als Reaktion auf FBI-Erfolg ändern

Ransomware-Hacker werden sich Zeit verschaffen, erpresstes Geld zu waschen oder Hintertüren zu installieren

„Es ist ein großer Erfolg, dass der Löwenanteil der Beute durch die Bemühungen des FBI wieder zurückgeholt werden konnte. Unternehmen sollten aber darauf gefasst sein, dass Hacker nun ihre Strategien als Reaktion darauf weiterentwickeln“, so Eric Waltert, „Regional Vice President DACH“ bei Veritas Technologies. Cyber-Kriminelle würden nun nach Möglichkeiten suchen, um dieses Szenario zukünftig auszuschließen, so seine Warnung. Dazu könnten beispielsweise Verzögerungen bei der Freigabe von Algorithmen gehören, welche die Verschlüsselung rückgängig machen sollen.
So könnten sich die Hacker Zeit verschaffen, das erpresste Geld zu waschen oder Hintertüren in den IT-Systemen der Unternehmen zu installieren, um die Daten bei Bedarf erneut zu verschlüsseln. „Beliebt unter Cyber-Kriminellen ist außerdem, exfiltrierte und sensible Daten zurückzuhalten um diese zu veröffentlichen, wenn Lösegeld einbehalten wird.“ Walterts Rat: „Unternehmen sollten jetzt handeln, indem sie ihre Daten sichern, ihre Netzwerke scannen und eine End-to-End-Verschlüsselung implementieren. Denn die rasante Entwicklung der Angriffe zeigt, dass die Attacken nicht nur zunehmen, sondern gezielter und ausgefeilter werden.“

Die Zukunft der Ransomware-Attacken: Ransomware-as-a-Service (RaaS)

Neben den hochorganisierten Cyber-Kriminellen sei es aber auch zunehmend einfacher für Hobby-Kriminelle Ransomware zu nutzen: „Sie können Ransomware einfach als Ransomware-as-a-Service (RaaS) mieten. Jeder kann nun Cyber-Attacken durchführen, auch völlig ohne Programmierkenntnisse.“ Das Prinzip dahinter sei dasselbe wie Software-as-a-Service (SaaS). Neben diesem lukrativen Geschäftsmodell der Kriminellen sollte es Unternehmen auch bewusst sein, dass „eine Ransomware-Attacke selten allein kommt“, betont Waltert. Meistens würden vorab neben dem „Loader“ auch noch weitere Schädlinge eingeschleust, um das System auszuspähen und Zugangsdaten zu stehlen.
All diese Entwicklungen – so Waltert abschließend – zeigten: „Es geht schon lange nicht mehr um die Frage, ob man angegriffen wird, sondern wann und wie. Unternehmen sollten sich daher vorher wappnen und ihre Daten schützen, denn: Im Falle einer Attacke gibt es keine Möglichkeit mehr, ruhig und überlegt zu handeln, sondern dann steht das Wiederherstellen der Operabilität des Unternehmens im Vordergrund.“

Weitere Informationen zum Thema:

datensicherheit.de, 12.06.2021
Ransomware-Angriffe: Nicht nachher zahlen, sondern rechtzeitig vorbereiten! / Edgard Capdevielle kommentiert Ransomware-Vorfall beim Fleischhersteller JBS

datensicherheit.de, 09.06.2021
Fleischkonzern JBS als warnendes Beispiel: Cyber-Risiken globaler Lieferketten / Hacker-Angriff für Unternehmen und globalen Lieferketten mit zunehmend verheerenden Auswirkungen

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten