Von schnell und laut zu langsam und präzise: Warum Ransomware auch 2020 ein Problem bleibt

Autor/Redakteur: Klaus Nemelka, Technical Evangelist bei Varonis Systems/gg

Seit Jahren hören wir, dass Cyberattacken immer gefährlicher und ausgefeilter werden (was zweifellos stimmt). Eine Ausnahme bildete über eine sehr lange Zeit eine sehr einfach gestrickte und überaus laute Angriffstechnik: Ransomware. Doch auch hier haben sich die Zeiten geändert und so müssen wir davon ausgehen, dass 2020 auch diese Angriffe wesentlich gezielter und raffinierter ausgeführt werden.

Grafik: Varonis Systems

Ransomware ist für Cyberkriminelle vor allem deshalb attraktiv, weil sie nicht viel Arbeit erfordert: Der Angreifer muss nur in das System eindringen (was üblicherweise über Phishing geschieht), Daten, die oft nicht besonders überwacht werden und vielfach offen zugänglich sind, verschlüsseln, und auf die Zahlung des Lösegeldes warten. Zunächst hatten Cyberkriminelle kommerzielle Unternehmen im Visier, die mittlerweile jedoch in die Verbesserung ihrer Sicherheit investiert haben und kein ganz so leichtes Ziel mehr sind. Ganz im Gegensatz zur Öffentlichen Hand, die meist (in Hinblick auf die IT) unterbesetzt und unterfinanziert ist. Die zahlreichen Opfer der jüngsten Zeit gerade aus dem Krankenhaus-Bereich und bei städtischen Verwaltungen sind kein Zufall.

Diese Verlagerung der Zielbranchen ist ein (erstes) Anzeichen für die Abkehr des Schrotflinten-Prinzips, bei dem einfach mal geschossen und hinterher geschaut wird, was man getroffen hat. Aber nicht nur die Auswahl der Opfer, auch die Vorgehensweise entwickelt sich. Statt eines Blitzangriffs, bei dem möglichst schnell möglichst viel Schaden angerichtet werden soll, halten sich auch Ransomware-Angreifer mittlerweile länger im Netzwerk auf und suchen die wertvollsten Daten, um diese gezielt zu verschlüsseln. Die Sicherheitsforscher der Varonis-Labs sehen immer mehr Fälle, in denen Angreifer in ein Netzwerk eindringen und sich auf der Suche nach einer Entdeckung langsam und unauffällig (low and slow) bewegen. Fortgeschrittene Angreifer setzen also auf einen chirurgischen Ansatz. Sie nehmen sich Zeit, um die EDR-Verteidigung zu umgehen, sich in einem Netzwerk zu bewegen, die sensibelsten Daten zu entdecken, herauszufinden, wie viel ein Unternehmen zahlen könnte, und legen erst dann das Netzwerk lahm. Es liegt auf der Hand, dass diese Angriffe ein wesentlich höheres Schadenspotenzial haben als gängige Ransomware-Attacken.