Ransomware 2.0: Worauf sich Unternehmen einstellen müssen
Cyberattacken entwickeln sich ständig weiter, werden ausgefeilter und passen sich den politischen und wirtschaftlichen Gegebenheiten an. Ransomware erlebt gerade einen Boost – die Geschäftsmodelle der Cyberkriminellen ändern sich. Wollen sich Unternehmen effektiv schützen, müssen sie wissen, wohin der Trend geht.
Das Nationale Zentrum für Cybersicherheit (NCSC) schätzt Ransomware-Angriffe als eine der grössten Bedrohungen im Cyberbereich ein. Diese Attacken, die unternehmenseigene Daten verschlüsseln, um Lösegeld zu erpressen, sind allerdings nicht wegen der Summen so bedrohlich, mit denen sich Betroffene freikaufen. Was zählt, ist, dass die Angriffsart aussergewöhnlich destruktiv ist. IT-Sicherheitsexperten informieren deshalb stetig über Sicherheitslücken, und gefährdete – für Hacker besonders lukrative – Unternehmen entwickeln Strategien, wie sie ihre Systeme schützen. Damit wird oftmals der Aufwand zu gross, diese Firmen direkt anzugreifen. Die Reaktion darauf: Cyberkriminelle verlagern ihre Ziele auf die kleinen Betriebe und den Mittelstand. Über die Sicherheitslücken in deren Systeme landen sie dank der Lieferkette möglicherweise wieder bei jenen Unternehmen, die höhere Erlöse versprechen. Dies ist aber nur eine der Veränderungen im Cybercrime-Markt, in dem sich die Gefahrenszenarien verschieben.
Wie sieht der Ransomware-Markt aktuell aus?
Zwei Hauptgruppierungen dominierten bislang den Markt: Conti, das vormals erfolgreichste «Ransomware-Unternehmen», hat mit hohen Erlösen Schlagzeilen gemacht, sich allerdings Mitte des letzten Jahres offiziell aufgelöst. Lockbit ist damit der zurzeit aktivste Akteur am Ransomware-Markt. Die Gruppierung fungiert als sogenannter Ransomware-as-a-Service-Anbieter, verhält sich wie ein Softwareunternehmen und bietet Angreifern alles, was eine erfolgreiche Attacke ausmacht: Die Technologie ebenso wie die Services im Hintergrund. Mitte 2022 hat die Gruppierung mit Lockbit 3.0. die aktuelle Version ihres Verschlüsselungstools veröffentlicht. Sie betreiben Marketing dafür und haben sogar einen Verhaltenskodex für die Zusammenarbeit mit ihren kriminellen Kunden herausgegeben. Die «Dos und Don’ts» zeigen, wohin die Reise bei den Ransomware-Angriffen geht. So ermutigt Lockbit Hacker explizit dazu, Daten immer zu stehlen, selbst wenn keine Verschlüsselung stattfindet.
Was steckt dahinter? Laut einer Untersuchung von Chainanalysis erlitten die Ransomware-Gangs im vergangenen Jahr Umsatzeinbussen von 40 Prozent. Trend Micro sieht als Hauptgrund dafür, dass immer weniger Unternehmen tatsächlich Lösegeld bezahlen. Vor allem die Gruppe Conti, die sich auf grössere Unternehmen spezialisiert hatte, erlebte massive Umsatzeinbrüche. Dies liegt unter anderem daran, dass es für immer mehr Firmen nicht vertretbar ist, Lösegeld an eine Ransomware-Gruppe zu zahlen. Nicht nur in moralischer Hinsicht, sondern auch aufgrund rechtlicher Konsequenzen, seit gegenüber bestimmten Ländern Sanktionen verhängt wurden. Diese Entwicklungen veranlassen Cyberkriminelle dazu, andere, erfolgversprechendere Geschäftsmodelle zu verfolgen.
Weg von der Erpressung, hin zum Datendiebstahl
Die Schadsoftware gibt ihnen das Werkzeug in die Hand. Mit ihr dringen die Hacker nicht nur in ein Unternehmenssystem ein. Sie können sich in aller Ruhe darin umsehen, denn wenn die Zugriffsbarrieren einmal umgangen sind, stossen sie in der Regel auf wenig Widerstand. Zunächst recherchieren sie, bei wem sie eingedrungen sind und wie viel Lösegeld sie von diesem Unternehmen erpressen können. Dazu eruieren sie das Jahreseinkommen, den Umsatz und wie das Unternehmen finanziell aufgestellt ist. Ausserdem versuchen sie, herauszufinden, wie umfangreich sie selbst bereits im System verzahnt sind und ob das Backup lahmgelegt werden konnte. Anhand dieser Kriterien legen sie die nächsten Schritte fest.
Diese können beispielsweise «Double» oder «Triple Extortion» umfassen. Bei ersterem drohen die Angreifer, die gestohlenen Daten des Opfers zu veröffentlichen oder sie zu verkaufen, wenn das Lösegeld nicht bezahlt wird. Bei der «Triple Extortion» geht es noch einen Schritt weiter, indem Informationen analysiert und Kunden beziehungsweise Partner des Opfers erpresst werden – meist auch mit der Drohung, diese Informationen zu veröffentlichen.
Vom Datendiebstahl zur Chefmasche
Auch lassen sich die erbeuteten Daten für eines der erfolgreichsten Cybercrime-Geschäftsmodelle verwenden: die Chefmasche. Diese Methode zielt auf das Vertrauen in Vorgesetzte und Autoritätspersonen ab. Hierbei geben sich die Hacker als Führungskräfte aus und fordern Mitarbeitende auf, Geld zu überweisen. Ein vorhandener Zugriff zum Firmensystem ermöglicht den Angreifern ein glaubwürdigeres Auftreten.
Das potenziell machtvollste Werkzeug wird dabei zukünftig vermutlich die künstliche Intelligenz (KI) sein. Denn viele Phishing-Attacken scheiterten bisher an den Hürden «Rechtschreibung» und «kulturelle Übersetzung». Wenn E-Mails vor Fehlern strotzen oder Formulierungen beinhalten, die in der Schweiz niemand nutzt, landen sie im Spamordner oder im Papierkorb. Das können Kriminelle mithilfe von KI relativ leicht umgehen. Sendet vermeintlich jemand aus der Chefetage eine grammatikalisch und sprachlich korrekte E-Mail und vielleicht noch ein anderes, sich darauf beziehendes Mailing, ist es praktisch unmöglich, misstrauisch zu werden.
Bei der Auswahl ihrer Werkzeuge reagieren Täter auch auf Massnahmen der Security-Gemeinschaft. Infolge von Microsofts Entscheidung, die Ausführung von aus dem Internet geladenen Macros zu verhindern, setzen sie beispielsweise verstärkt auf andere Techniken für den «Initial Access». Hierzu zählen HTML-Smuggling und Malvertising.
Von klein zu gross: Warum der Lieferkette Rechnung getragen werden muss
Angriffe auf die Lieferkette sind attraktiv – für Hacker zumindest. Hierbei infiltrieren sie das System eines kleineren Unternehmens, übernehmen dessen Geschäftsprozesse und attackieren über diesen Weg die Kunden des Unternehmens. Ein aktuelles Beispiel ist die Attacke auf 3CX, einen Voice-over-IP-Anbieter. Der Angriff erfolgte über die Entwicklungsinfrastruktur des Unternehmens, wobei die Malware als Teil einer offiziellen, zertifizierten Applikation ausgeliefert wurde. So gelang es den Tätern, mehrere tausend Unternehmen weltweit zu befallen.
Der Vorfall bei 3CX zeigt deutlich, wie bedeutend die Supply-Chain-Sicherheit auch für kleinere und mittelständische Unternehmen ist. In der EU wird dem Schadensausmass solcher Angriffe bereits Rechnung getragen: Nach der neuen EU-Richtlinie NIS2 müssen sich Betreiber kritischer Infrastrukturen künftig besser schützen. Auch Unternehmen, die Teil ihrer Supply Chain sind, werden in Zukunft verstärkt in die Pflicht genommen, um das Risiko von Angriffen zu minimieren. So kann diese Vorgabe indirekt auch Schweizer Unternehmen betreffen, wenn diese als Zulieferer für entsprechend regulierte Firmen in der EU agieren.
Cyberkriminalität ist in den vergangenen Jahren zu einem regelrechten «Wirtschaftszweig» geworden. Um profitabel zu bleiben, entwickeln Angreifer ihre Geschäftsmodelle regelmässig weiter und bauen ihr «Portfolio» aus. Ransomware und digitale Erpressungsmodelle befinden sich deshalb im Wandel. Unternehmen müssen diese Entwicklungen verfolgen und angemessen darauf reagieren, um weiterhin bestmöglich geschützt zu sein.