Share
Beitragsbild zu Fünf Gründe, warum sich die Ransomware-Situation seit WannaCry verändert hat

Fünf Gründe, warum sich die Ransomware-Situation seit WannaCry verändert hat

Im Mai dieses Jahres ist es fünf Jahre her, dass die WannaCry-Ransomware-Angriffswelle die ganze Welt überrascht hat. Es war bis dahin kaum vorstellbar, wie skrupellos Cyber-Kriminelle sein können. Denn dadurch, dass auch das Gesundheitswesen stark betroffen war, ging es in vielen Fällen tatsächlich um Leben und Tod. Die Angriffe, die sich schnell über alle Kontinente hinweg ausbreiteten, ließen zudem leicht ausnutzbare IT-Schwachstellen zutage treten.

Auch in Deutschland erschütterten die WannaCry-Angriffe die gesamte IT-Landschaft und machten deutlich, dass nichts und niemand sicher ist: Auch medizinische Einrichtungen im ganzen Land waren von den Angriffen betroffen.

Fünf Jahre später ist Ransomware endgültig zu einer allgegenwärtigen Bedrohung geworden für Unternehmen, öffentliche Einrichtungen und andere Institutionen. Was hat sich also seitdem geändert? Es gibt mehrere Faktoren, die die Verbreitung von Ransomware-Angriffen in den letzten fünf Jahren vorangetrieben haben, auf die hier näher eingegangen werden soll. Festzuhalten bleibt aber auch: Es gibt ein größeres Bewusstsein dafür, wie die Auswirkungen von Cyber-Attacken eingegrenzt werden können.

Ransomware ist heutzutage raffinierter als je zuvor

Wie schon zu Zeiten von WannaCry gehören Phishing und Links zu Schadprogrammen nach wie vor zu den häufigsten Verbreitungsmethoden von Ransomware. In den letzten Jahren sind die Phishing-Angriffe jedoch immer ausgefeilter geworden und Cyberkriminelle gehen immer subtiler und raffinierter dabei vor, E-Mails und Webseiten vertrauenswürdig erscheinen zu lassen. Anti-Phishing-Trainings für Mitarbeiter sind zwar mittlerweile zu Recht Standard, aber führen aufgrund der professionellen gefälschten Emails und Webseiten nicht immer zum Erfolg. Eine von Cloudian im Jahr 2021 durchgeführte Studie ergab, dass fast zwei Drittel (65 Prozent) der Befragten, die Phishing als Einfallstor für einen erfolgreichen Ransomware-Angriff angaben, zuvor ein Anti-Phishing-Training absolviert hatten.

Außerdem hat die zunehmende Raffinesse bei der Programmierung von Ransomware dazu geführt, dass andere bewährte Schutzmaßnahmen wie das automatisierte Erkennen von Bedrohungen, Antivirensoftware und Firewalls nicht mehr ausreichen, um Ransomware abzuwehren.

Ransomware-as-a-Service

Aufgrund des Aufkommens von Ransomware-as-a-Service ist es heute einfacher denn je, einen Ransomware-Angriff durchzuführen. Hochqualifizierte Hackergruppen verkaufen ihre Dienste tagtäglich im Dark Web, einer unregulierten und anonymen Plattform. Dort ist es sehr schwierig, diese illegalen Aktivitäten zu unterbinden. Tools, die die Durchführung eines Ransomware-Angriffs ermöglichen, können von jedem gekauft und innerhalb von Minuten eingesetzt werden – ohne jegliche technischen Kenntnisse.

Infolgedessen ist die Zahl der Ransomware-Angriffe auf Unternehmen sprunghaft angestiegen, da immer mehr Kriminelle in dieses lukrative Geschäft einsteigen können.

Krypto wird immer beliebter

Kryptowährungen sind in den letzten fünf Jahren sehr viel beliebter geworden und ihr Wert ist stark gestiegen. Darüber hinaus gibt es heutzutage viel mehr legitime Anwendungsfälle für den Einsatz von Kryptowährungen. Deshalb ist es für Cyberkriminelle heute einfacher denn je, anonym Lösegeld in digitaler Währung zu erpressen und anschließend Geldwäsche zu betreiben. Einem Bericht der Geldwäsche-Spezialeinheit des Deutschen Zoll (FIU) zufolge nehmen Verdachtsfälle auf Geldwäsche im Zusammenhang mit Kryptowährungen stark zu.

Die Dunkelziffer ist sicher hoch, da vor allem die in letzter Zeit auf dem Kryptomarkt aktiv werdenden etablierten Institute Verdachtsfälle auf Geldwäsche konsequenter melden. Das bedeutet, dass vermutlich im großen Maße ein rechtsfreier Raum existiert, der Cyberkriminelle erst recht dazu ermutigt Straftaten zu begehen.

Die Gefahr von Datenlecks ist gestiegen

Früher bestand das Hauptziel von Ransomware darin, die Daten der betroffenen Unternehmen zu verschlüsseln und so deren Geschäftsabläufe zu stören. Die Cyber-Kriminellen verlangten ein Lösegeld und drohten, die Daten zu löschen, wenn die Opfer nicht zahlten.

Inzwischen ist es auch üblich, dass Cyberkriminelle Unternehmen mit der Veröffentlichung der abgegriffenen Daten drohen. Das kann das Vertrauen der Stakeholder in die Unternehmen und somit deren Wettbewerbsfähigkeit ernsthaft beschädigen. Außerdem können Datenlecks behördliche Strafzahlungen zur Folge haben.

Verstärkte Konzentration der Unternehmen auf schnelle Datenwiederherstellung

Herkömmliche Schutzmechanismen gegen Ransomware versagen zunehmend. Deshalb erkennen immer mehr Unternehmen die Notwendigkeit, sich auf Datensicherungsmaßnahmen zu konzentrieren. So können sie sich schnell von einem Ransomware-Angriff erholen, idealerweise ohne Lösegeld zahlen zu müssen.

Der beste Weg, dies zu erreichen, ist ein unveränderliches Daten-Backup. Die Unveränderbarkeit von Daten gewährleistet, dass einmal geschriebene Daten bis zum Ablauf einer bestimmten Frist nicht mehr geändert oder gelöscht werden können. Das verhindert, dass Cyber-Kriminelle die Daten verschlüsseln können, und ermöglicht es im Falle eines Ransomware-Angriffs, die unverschlüsselte Sicherungskopie schnell wiederherzustellen. Somit kann der Betrieb wiederaufgenommen werden, ohne Lösegeld zu zahlen.

Die Unveränderbarkeit von Daten basiert auf der WORM-Technologie (Write Once, Read Many), die es schon seit Jahren gibt. Während diese Technologie in der Vergangenheit nur schwer zu implementieren war, kann sie heute problemlos eingesetzt und als Teil eines routinemäßigen Backup-Plans automatisch angewendet werden.

Unternehmen erkennen aber nicht nur, wie wichtig die Unveränderbarkeit von Daten ist. Denn sie wissen auch, dass sie sensible Daten sowohl im Ruhemodus als auch während der Übertragung verschlüsseln müssen, um die Gefahr von Datenlecks durch Ransomware zu minimieren. Die Verschlüsselung verhindert, dass Cyber-Kriminelle Daten lesen und somit veröffentlichen können.

Was kommt als Nächstes?

Ransomware wird in absehbarer Zeit nicht verschwinden und einige Experten sagen voraus, dass die Gesamtkosten bis 2031 weltweit auf erschreckende 265 Milliarden US-Dollar jährlich ansteigen werden.

In Zukunft scheint es wahrscheinlich, dass Cyber-Kriminelle ihrem bereits beeindruckenden Arsenal von Tools neue Angriffsvektoren hinzufügen werden. Laut Mick Cooper, Geschäftsführer von iSYSTEMS, einem Unternehmen mit jahrelanger Erfahrung bezüglich der Unterstützung von Unternehmen bei der Abwehr von Cyber-Angriffen und bei der Datenwiederherstellung, wird sich Ransomware wahrscheinlich immer weiter verbreiten. So könnten internationale Banden von Cyberkriminellen beispielsweise Angehörige vor Ort zu Räumlichkeiten mit IT-Infrastruktur schicken. Diese könnten dort Malware einschleusen, die bis zur eigentlichen Aktivierung unentdeckt bleiben kann. Aber das ist nur eine von vielen möglichen Entwicklungen.

Alles in allem ist es klar, dass sich Ransomware erheblich weiterentwickelt hat und dies auch weiterhin der Fall sein wird. Deshalb müssen Unternehmen nicht nur beim Schutz vor Ransomware wachsam bleiben, sondern auch sicherstellen, dass sie über einen robusten Backup-Plan verfügen. Ein solcher muss sowohl die Unveränderbarkeit der Daten als auch eine sichere Verschlüsselung beinhalten.

Autor: Sascha Uhl, Object Storage Technologist, Cloudian