Ransomware-Akteure nehmen die Cloud ins Visier
Immer häufiger kombinieren Cyberkriminelle bei Ransomware-Angriffen verschiedene Erpressungstaktiken. So betreiben sie etwa Datendiebstahl oder belästigen Führungspersonen des angegriffenen Unternehmens. Ihr nächster Schritt ist die Verlagerung ihrer Attacken in die Cloud.
Cyberkriminelle setzen bei Ransomware-Angriffen immer häufiger auf Mehrfacherpressung. Dies geht aus einer Analyse von Unit 42, der Malware-Analyseeinheit von Palo Alto Networks, hervor. Diese präsentiert in ihrem "Ransomware and Extortion Report" aktuelle Entwicklungen im kriminellen Geschäft mit Ransomware. Demnach betrieben Ransomware-Angreifer in durchschnittlich 70 Prozent der untersuchten Fälle auch Datendiebstahl. Mitte 2021 seien es dagegen noch 40 Prozent gewesen, schreibt Palo Alto Networks. Zunehmend drohen Angreifer auch damit, gestohlene Daten auf Leak-Sites im Dark Web zu veröffentlichen. Diese Sites stellen gemäss dem Bericht zunehmend eine Schlüsselkomponente der Erpressungsversuche dar.
In immer mehr Ransomware-Fällen beobachtet Palo Alto Networks auch Belästigung als zusätzliche Erpressungstaktik. Dabei zielen die Täter mit Drohungen und unerwünschten Mitteilungen auf bestimmte Personen im Unternehmen ab, häufig auf die Führungsebene. Hier erhöhte sich die Häufigkeit von einem Prozent Mitte 2021 auf ungefähr 20 Prozent Ende 2022.
Unternehmen in den USA am häufigsten betroffen
Der Analyse von Leak-Sites im Dark Web zufolge war die Fertigungsindustrie im Jahr 2022 mit 447 kompromittierten Unternehmen, die auf Leak-Sites öffentlich gemacht wurden, die am stärksten angegriffene Branche. In diesem Segment werde häufig veraltete Software eingesetzt, die nicht regelmässig oder einfach aktualisiert oder gepatcht werde, begründet Palo Alto Networks den Befund und fügt an, dies sei auch vor dem Hintergrund der geringen Toleranz der Branche gegenüber Ausfallzeiten zu sehen.
Nach Ländern aufgeschlüsselt, zielten die meisten Ransomware-Angriffe (42 Prozent) auf Unternehmen in den USA. Dahinter folgen Deutschland und das Vereinigte Königreich mit Anteilen von jeweils fast 5 Prozent.
Die Cloud im Visier
Im Bericht blickt Palo Alto Networks auch in die Zukunft. Das Unternehmen prognostiziert für das Jahr 2023 "einen grossen Cloud-Ransomware-Angriff": Bis jetzt hätten Bedrohungsakteure zwar gewusst, dass Unternehmen häufig grundlegende Sicherheitskontrollen vernachlässigen und die von den Hyperscalern angebotenen Sicherheitsfunktionen nicht nutzten. Für Ransomware-Angriffe nutzten sie diese Schwachstellen jedoch nicht aus – bis jetzt. Inzwischen sollen laut dem Bericht einige Bedrohungsakteure ihre Taktiken und Techniken spezifisch auf Cloud-Umgebungen angepasst haben, um sie in diesem Jahr einzusetzen.
Geht es darum, Ransomware-Angreifern das Handwerk zu legen, spielen Regierungen und Gesetze eine wichtige Rolle. Laut Palo Alto Networks beeinflussen etwa verhängte Sanktionen, ob Opfer von Ransomware-Angriffen das geforderte Lösegeld zahlen.
Weitere von Palo Alto Networks prognostizierte Ransomware-Trends sind:
-
Ein Anstieg der Erpressungen im Zusammenhang mit Insider-Bedrohungen
-
Ein Anstieg politisch motivierter Erpressungsversuche
-
Der Einsatz von Ransomware und Erpressung zur Ablenkung von Angriffen, die auf die Infizierung der Lieferkette oder von Quellcode abzielen
Die Analyse von Palo Alto Networks stützt sich auf die Ergebnisse von 1000 von Unit 42 behandelten Cybervorfällen, auf Daten überwachter Leak-Seiten im Darknet, Informationen der vom Unternehmen verfolgten Hacker-Gruppen sowie Einschätzungen von Fachpersonen. Der vollständige Bericht steht auf der Website von Unit 42 bereit.
Was man sonst noch zu Ransomware wissen muss, lesen Sie in diesem Fachbeitrag.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.