[datensicherheit.de, 08.06.2022] Ryan Olson, Vize-Präsident „Unit 42 Incident Response and Threat Research Team“ bei Palo Alto Networks, hat nach eigenen Angaben die aktuelle Entwicklung der real bezahlten Lösegeldforderungen nach Ransomware-Angriffen beobachtet und aktuell ausgewertet. In seiner aktuellen Stellungnahme geht er auf seine Beobachtungen ein. Während sich Tausende von Cyber-Sicherheitsfachleuten in San Francisco zur jährlichen „RSA-Konferenz“ versammelten, sei ein guter Zeitpunkt, um einen kurzen Blick auf die von Palo Alto Networks bisher im Jahr 2022 beobachteten Ransomware-Aktivitäten zu werfen.

Foto: Palo Alto Networks

Ryan Olson: Diesjähriger Anstieg der Zahlungen durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen US-Dollar in die Höhe getrieben

Durchschnittliche Ransomware-Zahlung auf 925.162 US-Dollar gestiegen

Die Zahlen seien erschreckend: „Die durchschnittliche Ransomware-Zahlung in Fällen, die von ,Unit 42 Incident Responders‘ bearbeitet wurden, stieg in den ersten fünf Monaten des Jahres 2022 auf 925.162 US-Dollar und näherte sich damit der beispiellosen 1-Million-Dollar-Marke, da sie im Vergleich zum letzten Jahr um 71 Prozent gestiegen ist.“ Das sei vor den zusätzlichen Kosten, welche den Opfern entstanden seien, darunter Kosten für die Behebung des Schadens, der Ausfallzeit, der Rufschädigung und anderer Schäden.

Diese Kosten sind insbesondere deshalb erschreckend, „wenn man sich die Entwicklung dieser Kosten vor Augen führt“. Die durchschnittliche Zahlung in den von den „Unit 42“-Beratern bearbeiteten Fällen habe sich im Jahr 2020 auf etwa 300.000 US-Dollar belaufen. „Es ist kaum zu glauben, dass die meisten Transaktionen, mit denen die Berater im Jahr 2016 konfrontiert wurden, 500 Dollar oder weniger betrugen.“

Täglich Daten von sieben neuen Opfern auf Leak-Seiten im DarkWeb veröffentlicht

Jeden Tag würden die Daten von durchschnittlich sieben neuen Opfern auf den Leak-Seiten im sogenannten DarkWeb veröffentlicht, welche von Ransomware-Banden genutzt würden, um die Opfer zur Zahlung von Lösegeld zu zwingen. Diese als „Doppelte Erpressung“ bezeichnete Technik erhöhe den Druck auf die Opfer, weil sie zu der Schwierigkeit, den Zugriff auf Dateien zu verlieren, noch eine Ebene der öffentlichen Demütigung hinzufüge, „indem sie die Opfer identifiziert und angebliche Ausschnitte sensibler Daten, die aus ihren Netzwerken gestohlen wurden, weitergibt“. Die beobachtete Rate der Doppelten Erpressung bedeute, dass alle drei bis vier Stunden ein neues Opfer auftauche, so die laufende Analyse der Leak-Site-Daten durch „Unit 42“.

Die Cyber-Erpressungskrise halte an, weil Cyber-Kriminelle unerbittlich zunehmend ausgefeilte Angriffswerkzeuge, Erpressungstechniken und Marketingkampagnen einführten, welche diese beispiellose, weltweite digitale Verbrechenswelle anheizten. Das RaaS-Geschäftsmodell (Ransomware-as-a-Service) habe gleichzeitig die technische Einstiegshürde gesenkt, indem es diese leistungsstarken Tools mit benutzerfreundlichen Schnittstellen und Online-Support auch für nicht versierte Cyber-Erpresser zugänglich mache.

Ransomware-Erpresserbanden werden wohl kaum aufhören, Zahlungen in Höhe mehrerer Millionen US-Dollar zu fordern

Die Folgen könnten verheerend sein: „Die Regierung Costa Ricas wurde in diesem Jahr bereits mehrfach Opfer von Ransomware-Angriffen, darunter auch im Mai, als die Erbringung von Gesundheitsdiensten unterbrochen wurde. Das 157 Jahre alte Lincoln College wurde letzten Monat geschlossen, nachdem ein Ransomware-Angriff den Zugang zu allen Universitätsdaten gekappt und die Zulassungen für den Herbst 2022 unterbrochen hatte – ein harter Schlag für eine Einrichtung, die sich bereits von der Pandemie erholen wollte.“

Der diesjährige Anstieg der Zahlungen sei durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in die Höhe getrieben worden – eine an eine aufstrebende Gruppe, „Quantum Locker“, und eine an „LockBit 2.0“, welche bisher in diesem Jahr – 2022 – die aktivste Ransomware-Bande auf Leak-Seiten mit Doppelter Erpressung gewesen sei. Olsons gegenwärtiges Fazit: „Leider haben die Berater von ,Unit 42‘ keinen Grund zu der Annahme, dass Erpresserbanden aufhören werden, Zahlungen in Höhe von mehreren Millionen Dollar zu fordern. Kritisch sind insbesondere Fälle, in denen Unternehmen in den Ruin getrieben werden könnten, wenn sie nicht zahlen.“

Weitere Informationen zum Thema:

paloalto NETWORKS Blog, Ryan Olson, 07.06.2022
Average Ransom Payment Up 71% This Year, Approaches $1 Million

datensicherheit.de, 01.07.2021
Ransomware-Bedrohung nimmt zu: Diskussion um Verbot von Lösegeldzahlungen / Adam Kujawa fordert, nicht die Ransomware-Opfer zu bestrafen, sondern diese zur Meldung des Vorfalls zu veranlassen

[datensicherheit.de, 27.05.2020] Vor dem Hintergrund der sogenannten Corona-Krise wird die Verletzlichkeit unserer modernen, globalisierten Welt deutlicher als je zuvor. Dies gelte genauso für die digitale Welt, wie die grassierenden Cyber-Angriffe der jüngsten Vergangenheit gezeigt hätten, so Palo Alto Networks. Es sei kein Zufall, dass ein Teil der Sprache, die Experten zur Beschreibung von Cyber-Sicherheitsbedrohungen verwenden, aus der biologischen Welt stamme, insbesondere Begriffe wie „Viren“ und „Infektionen“. Die Ähnlichkeiten seien frappierend. Es stelle sich die Frage, wie wir die Lehren aus der Bedrohung durch Corona auf die Welt der Cyber-Sicherheit anwenden könnten.

Corona als Metapher für virale Bedrohungen auch der IT-Sicherheit

Das Corona-Virus sei, ähnlich wie viele Computer-Viren, ein sogenannter Zero-Day-Angriff: Es habe keine Vorwarnung gegeben, keinen kleineren Ausbruch, bei dem es hätte schnell eingedämmt werden können, bevor es sich ausbreitete.
Es habe sich indes schnell verbreitet, ohne effektive Möglichkeiten zur Behandlung oder Eindämmung, und enormen Schaden verursacht. Das Corona-Virus werde von Einzelpersonen übertragen, wenn sie persönlich miteinander interagieren – wie bei der Ausbreitung von Computer-Viren in einem Netzwerk. All diese Eigenschaften spiegelten bestimmte Arten von Computer-Malware wider.

Corona ähnlich einem Computer-Virus in einem Netzwerk ausgebreitet

Ryan Olson von Palo Alto Networks merkt an, dass sich das Corona-Virus wie Computer-Viren in einem Netzwerk verbreite: „Die frühesten Proben von Computer-Viren würden zusätzlichen Code in eine andere ausführbare Datei schreiben und den Eintrittspunkt ändern, um die Ausführung an ihrem Code zu beginnen. Dies ist fast identisch mit einem biologischen Virus, das nicht allein leben kann und sich an eine Wirtszelle anhängen muss, um zu überleben und sich zu vermehren.“
Eine weitere wesentliche Gemeinsamkeit sei die Notwendigkeit eines Antivirus-Impfstoffs. Klassische Antivirus-Computerlösungen funktionierten auf ähnliche Weise wie unser Immunsystem bei der Abwehr von Viren. Sie enthielten ein kleines Stück des Virus und erstellten Dateien, um virusinfizierte Dateien zu identifizieren. Das Immunsystem im Körper mache eigentlich das Gleiche, indem es einen kleinen Teil des Virus speichere und diesen zur Identifizierung infizierter Zellen verwendet, um diese dann zu zerstören.

Aus Kostengründen zunächst ignoriert

Während es in der Cyber-Welt im Vergleich zur biologischen Welt wahrscheinlich einfacher und schneller sei, eine Milderung zu schaffen, könne sich ein Computer-Virus aufgrund der allgegenwärtigen digitalen Konnektivität viel schneller verbreiten. Die Frage sei von Fall zu Fall zu stellen: „Wird es weit verbreitete Schäden geben, und wie destruktiv sind diese letztlich?“
In der realen Welt hätten alle besser auf COVID-19 vorbereitet sein können – mit einer angemessenen Ausstattung an kritischen Geräten wie Testsätzen, Masken und Beatmungsgeräten. Nur wenige Länder seien jedoch bereit, ein Risikomodell für etwas zu akzeptieren, das abstrakt erscheine. Viele warnende Stimmen seien aus Kostengründen ignoriert worden.

Lehren aus Corona für die Cyber-Sicherheit in Unternehmen

Eine Lektion, die Unternehmen hoffentlich mitnehmen könnten, ist demnach, dass sie auf das Unvorstellbare in der Cyber-Sicherheit genauso vorbereitet sein müssten, wie sie auf diese Pandemie hätten vorbereitet sein sollen. Planung könne sich im schlimmsten Fall unnötig anfühlen, aber im Falle einer unvorhersehbaren Krise sei der Aufwand sicher nicht vergeudet.
Eine weitere Lektion sei die der Schadensbegrenzung. Die Umsetzung eines Zero-Trust-Sicherheitsmodells sei der Schlüssel zu Prävention und Reaktion. Mit „Zero Trust“ werde wie bei einem biologischen Virus definiert, was am wichtigsten zu schützen ist, d.h. z.B. sich selbst und seine Familie zu schützen.

Segmentierung empfohlen

Im Bereich der Cyber-Sicherheit sei die Segmentierung nützlich, um Kontrollen um wichtige Ressourcen herum aufzubauen und Richtlinien anzuwenden, damit das Eindringen von Malware oder Zero-Day-Angriffen in diese Umgebung eingeschränkt werden könne. Unternehmen könnten Kontrollen einbauen, welche die Fähigkeit von Viren, andere Teile der Umgebung zu infizieren, einschränkten.
Mittels Segmentierung blieben sensible Daten und Anlagen voneinander getrennt, so dass sich eine Infektion nicht ausbreiten könne. Dieser Ansatz sei ähnlich wie bei der „sozialen Distanzierung“, auch vergleichbar mit der Verwendung von Masken oder Selbstquarantäne, um die Ausbreitung einzudämmen. Genau wie in der biologischen Welt lasse sich auch im Cyberspace verhindern, dass Infektionen bidirektional ein- und ausgingen.

Rechtzeitige Prävention besser als aktionistische Reaktion

Die Analogie von COVID-19 und Bedrohungen für die Cyber-Sicherheit gehe sogar noch weiter. Mit Zero-Trust-Methoden nehme man die „Abstriche“ vor, führe die Tests, die Isolierung und die Quarantäne in Echtzeit durch, bevor die Infektion in das System eindringt und andere infiziert. Da alles vorgetestet und vorvalidiert sei, könne es keine asymptomatischen Träger geben, welche die Infektion heimlich verbreiteten.
Die Welt sei niemals sicher und die „COVID-19-Pandemie“ sei verheerend. Olson: „Es ist zu hoffen, dass Unternehmen und Privatpersonen in der Welt der Cyber-Sicherheit nicht auf ein derartiges Szenario stoßen.“ Wenn es jemals dazu kommen sollte – was gut möglich sei, „dann wäre das Mindeste, was man tun könnte, die Risiken zu verstehen, besser auf die Prävention vorbereitet zu sein und bei der Schadensbegrenzung schnell zu reagieren“. Es gelte nun an sämtlichen Stellen die Voraussetzungen zu schaffen, „dass Führungskräfte die richtigen Schritte einleiten, bevor eine Krise unerwartet zuschlägt“.

Weitere Informationen zum Thema:

datensicherheit.de, 15.05.2020
PIRATEN: Kritik an Meldepflicht für alle auf COVID-19 getesteten Personen