Warum sich Ransomware in die Cloud verlagert

Autor/Redakteur: Greg Day, Senior Vice President, Global Field CISO bei Cybereason/gg

In den letzten Jahren hat die Zahl der Ransomware-Angriffe erheblich zugenommen. Angesichts der Tatsache, dass rund 75 Prozent aller Unternehmen Opfer von Ransomware-Angriffen geworden sind, scheint es so, als ob wir bald einen gewissen Sättigungsgrad erreicht hätten. Die Angreifer ruhen sich jedoch nicht auf ihren Lorbeeren aus. Im Gegenteil, sie entwickeln Ransomware ständig weiter und befinden sich bereits in der vierten Generation dieser schadhaften Programme.

Ransomware hat sich weit über das einfache Konzept, verschlüsselte Daten nur gegen Lösegeld wieder zu entschlüsseln, hinaus entwickelt. Heute umfasst Ransomware mehrere Ebenen der Lösegeldforderungen und erpresst sowohl Unternehmen als auch Einzelpersonen, damit ihre Daten nicht an andere weitergegeben oder weiterverkauft werden. 

Gleichzeitig ist zu beobachten, dass Ransomware-Gruppen die Daten in den Netzwerken der Opfer umfassender analysieren. Genau das ist ein wichtiger Punkt, den Unternehmen beachten sollten: Ransomware schlummert immer häufiger für eine gewisse Zeit, sobald sie erst einmal im System ist. So können sich die Cyberangreifer in den Netzwerken schrittweise bewegen, um Daten zu sammeln und diese Daten unbemerkt auszuwerten. Dabei geht es nicht mehr nur um einzelne Dateien, sondern um alle Daten. So sehen wir beispielsweise häufig, dass Ransomware Anmeldedaten ausspäht, um den Zugriff auf weitere Daten zu ermöglichen, die dann an andere Cyberkriminelle weiterverkauft werden oder um ein höheres Lösegeld zu erpressen.   

Es mag zwar den Anschein haben, dass nicht nur der Umfang von Ransomware einen Grenzwert erreicht hat, sondern auch die Funktionen. Denn viele Ransomware-Angriffe sind inzwischen viel breiter angelegt und sollten daher diese Bezeichnung eigentlich gar nicht mehr tragen. Besser sollte man sie beispielsweise “Blended Ransomware” oder “Cyber-Datenkriminalität” nennen.

Der Umfang der IT-Welt verändert sich weiterhin rasant und eröffnet Angreifern damit neue Bereiche, die sie ausnutzen können. Früher bewegten sich solche Angriffe schrittweise durch das Netzwerk. Da die meisten Unternehmen nun jedoch Cloud-basierte Collaboration-Tools wie Office 365, G-Suite oder Slack nutzen, ist es nur natürlich, dass die Angreifer nachziehen müssen. 

Wir erleben bereits Ransomware, die nach Cloud-basierten Kollaborationspunkten Ausschau hält. Und obwohl man vielleicht glauben mag, dass die Risiken dieselben sind, ist das nicht der Fall. In den meisten Unternehmen hat die Verwaltung von Anmeldeinformationen einen Rückschritt gemacht, da sich nicht unbedingt jedes SaaS-Tool nahtlos in die Single Sign-On-Prozesse einfügt. Auch die sogenannte Schatten-IT in der Cloud erschwert es den Sicherheitsteams, den Überblick über die zu schützenden Daten zu behalten. 

Cloudbasierte SaaS-Ressourcen können hier gleich doppelt gefährlich sein. Einerseits ist nicht immer klar, wer der Eigentümer des Problems und der Lösung ist – der Anbieter oder der Endkunde. Andererseits können die sich entwickelnden Funktionen für die Sicherheitsteams zu einer Herausforderung werden, wenn sie die neuen Risiken der einzelnen Funktionen verstehen sollen und entscheiden müssen, ob sie diese nutzen wollen. Das Sicherheitsteam muss also rasch prüfen, ob diese Lösung die richtige für sie ist. Und auch wenn die Unternehmen nicht mit diesen Entwicklungen Schritt halten – die Angreifer werden es mit Sicherheit tun.

Das gilt aber nicht nur für SaaS. Es ist zu beobachten, dass Angreifer prüfen, welche Datenspeicher die Unternehmen oder Privatleute sowohl bei typischen Cloud-Anbietern als auch bei einigen anderen wichtigen SI- und Hosting-Anbietern nutzen. Bislang haben wir festgestellt, dass die Cloud-Konfigurationen bei unserem Vorstoß in die Cloud in der Regel nicht so ausgereift sind wie unsere bisherigen On-Premises-Datenspeicher. Es fehlt hier oft an Erfahrung in diesem von Natur aus offeneren und komplexeren Bereich.

Die Frage, wer für welche Teile der Sicherheit verantwortlich ist, mag zunächst simpel erscheinen, doch in Wirklichkeit ist die Angelegenheit komplex. Cloud-Anbieter sichern ihre eigene Infrastruktur, aber der Endkunde sichert seine Daten und Anwendungen selbst. Darüber hinaus wurden in den letzten Jahren eigene Encryption Keys eingeführt, um sicherzustellen, dass nur die Mitarbeiter des Unternehmens und nicht der Cloud-Anbieter auf die Daten zugreifen können. Das Ergebnis ist, dass die Cloud viel komplexer ist, als angenommen, was wiederum mehr mögliche Sicherheitsfehler und neue Chancen für den Angreifer mit sich bringt.