Kaspersky Lab identifiziert acht auf Cybererpressung spezialisierte Gruppen
Zu den acht identifizierten Gruppen gehören die Autoren der PetrWrap-Malware, die sich weltweit gegen Finanzinstitute richtet, die berüchtigte Mamba-Gruppe sowie sechs weitere namenlose Gruppen. Die auf Ransomware spezialisierten Akteure haben es verstärkt auf Unternehmen abgesehen, nachdem sie zuvor Heimanwender attackiert und dabei auch Affiliate-Programme genutzt hatten. Der Grund für die Neuausrichtung: die zu erwartende Schadenshöhe für den laufenden Geschäftsbetrieb nach einem Ransomware-Angriff erhöht die Bereitschaft von Unternehmen, das geforderte Lösegeld zu bezahlen. Für Cyberkriminelle sind derartige Angriffe lukrativer als Massenangriffe auf Heimanwender.
Bei ihren Attacken gehen alle Gruppen ähnlich vor. Über Server-Schwachstellen oder Spear-Phishing-E-Mails wird die Malware in die Unternehmensnetzwerke eingeschleust. Sie versucht sich dort dauerhaft festzusetzen und sucht nach geschäftsrelevanten Datenressourcen, die dann verschlüsselt werden. Für die Entschlüsselung wird Lösegeld verlangt.
Mamba und PetrWrap mit eigener Handschrift
Manche Gruppen zeichnen sich auch durch eigene Vorgehensweisen aus. So nutzt etwa die Mamba-Gruppe eine eigene Verschlüsselungs-Malware auf Basis der Open-Source-Software DiskCryptor; die Entschlüsselungssoftware wird mit Hilfe eines legitimen Programms für Windows Remote Control installiert. Dieses Vorgehen ist für die Sicherheitsfachleute der Unternehmen nur schwer zu erkennen. In manchen Fällen beträgt die Lösegeld-Forderung pro Endgerät ein Bitcoin, was etwa der Summe von knapp 1.000 Euro entspricht (Stand Ende März 2017).
Auch PetrWrap nutzt eigene Tools und setzt sich bis zu sechs Monate lang im Netzwerk fest. Diese Ramsomware-Angriffe richten sich vorwiegend gegen Großunternehmen mit vielen Netzknoten.
Prognose des Experten
Anton Ivanov, Senior Security Researcher, Anti-Ransom, bei Kaspersky Lab prognostiziert:
„Wir müssen darauf gefasst sein, dass gezielte Ransomware-Attacken auf Unternehmen weiter zunehmen und zu nennenswerten Schäden führen werden“
„Dieser Trend ist alarmierend, weil die Akteure ihren Kreuzzug gegen neue und finanzkräftige Opfer gerade erst begonnen haben. Es gibt da draußen noch sehr viel mehr potenzielle Opfer, für die Angriffe mit Ransomware noch verheerendere Folgen haben könnten.“
Empfehlungen für Organisationen:
- Eine Sicherheitslösung einsetzen, die mit verhaltensbasierter Erkennung arbeitet. Malware, inklusive Ransomware, kann dann rechtzeitig durch ihr Verhalten als solche erkannt werden. So lassen sich auch noch unbekannte Samples identifizieren.
- Die Website NoMoreRansom.org hilft Opfern von Ransomware, Daten auch ohne Lösegeldzahlung zurück zu bekommen.
- Jede installierte Software auf Endpoints, aber auch auf Netzknoten und Servern, sollte geprüft werden und immer auf dem neuesten Stand sein.
- Security-Assessments (zum Beispiel Sicherheits-Audits, Penetrationstests oder Gap-Analysen) können Schwachstellen identifizieren und schließen. Haben externe Lieferanten und Dritte Zugriff auf das Unternehmensnetzwerk, sollten deren Sicherheitsrichtlinien ebenfalls überprüft werden.
- Das Fachwissen beziehungsweise die Intelligence externer Sicherheitsanbieter unterstützten Organisationen bei der Prognose zukünftiger Angriffe.
- Speziell die Mitarbeiter im operativen Bereich und alle Ingenieure im Unternehmen sollten sensibilisiert werden und über aktuelle Ransomware-Gefahren Bescheid wissen.
- Und nicht zuletzt muss eine wirksame Sicherheitsstrategie Angriffe abwehren können, bevor Malware kritische Firmenressourcen überhaupt erreichen kann.
Hilfreiche Tools und Blogpost
Kaspersky Lab hat Tools für die Opfer von Ransomware unter NoRansom.kaspersky.com bereitgestellt.
Mehr Informationen zu gezielten Ransonware-Angriffen finden sich im folgenden Blogpost: https://securelist.com/blog/sas/77877/ransomware-in-targeted-attacks
