Trace Id is missing

Wirtschaftserpressung

Herunterladen
Teilen
Ein weißes Labyrinth mit bunten Kreisen und Punkten

Cyber Signals Ausgabe 2: Ransomware als neues Geschäftsmodell

Während Ransomware immer noch ein pressewirksames Thema darstellt, gibt es im Endeffekt nur ein relativ kleines verknüpftes Ökosystem an Akteuren, die diesen Bereich der Cyberverbrechensökonomie antreiben. Die Spezialisierung und Konsolidierung der Cyberverbrechensökonomie hat Ransomware-as-a-Service zu einem dominanten Geschäftsmodell gemacht, und ermöglicht damit einer größeren Anzahl an Kriminellen, unabhängig von ihrer technischen Erfahrung, Ransomware bereitzustellen.
Mehr als 80 Prozent der Ransomwareangriffe können auf allgemeine Konfigurationsfehler in Software und Geräten zurückverfolgt werden.1

Sehen Sie sich das digitale Cyber Signals Briefing an, bei dem Vasu Jakkal, CVP von Microsoft Security, top Bedrohungsintelligenzexperten zur Ransomwareökonomie befragt und dazu, wie Organisationen sich schützen können.

Digitales Briefing: Schützen Sie sich gegen die Ransomwareökonomie

Neue Geschäftsmodelle bieten neue Einblicke für die Abwehr

Da viele Branchen aus Effizienzgründen auf Zeitarbeiter umgestiegen sind, vermieten oder verkaufen Cyberkriminelle ihre Ransomware-Tools für einen Teil des Profits oftmals, anstatt die Angriffe selbst durchzuführen.

Ransomware-as-a-Service ermöglicht es Cyberkriminellen, Zugriff auf Ransomware-Nutzdaten sowie Datenlecks und Zahlungsinfrastrukturen zu erwerben. Ransomware-Gangs sind in Wirklichkeit RaaS-Programme wie Conti oder REvil, die von vielen verschiedenen Akteuren verwendet werden und zwischen RaaS-Programmen und Nutzdaten wechseln.

RaaS vereinfacht den Zugang und verschleiert die Identität der Angreifer durch Ransoming. Einige Programme verfügen über 50 „Tochterunternehmen“ (so werden die Nutzer ihres Diensts bezeichnet), die verschiedene Tools, Stärken und Ziele aufweisen. Vergleichbar damit, dass jede Person, die ein Auto hat, auch für einen Fahrdienst arbeiten kann, kann auch jede Person mit einem Laptop und einer Kreditkarte, die sich dazu bereit erklärt, im Dark Web nach Eindringungstesttools oder ungewöhnlicher Malware zu suchen, dieser Wirtschaft beitreten.

Die Industrialisierung von Cyberverbrechen hat spezialisierte Rollen wie Zugriffsbroker erschaffen, die Zugriff auf Netzwerke verkaufen. Eine einzige Kompromittierung erfordert oft mehrere Cyberkriminelle in verschiedenen Phasen der Intrusion.

RaaS-Kits sind im Dark Web leicht zu finden und werden gleichermaßen angepriesen wie Waren im Internet.

Ein RaaS-Kit beinhaltet möglicherweise Kundenservice, gebündelte Angebote, Kundenreferenzen, Foren und andere Funktionen. Cyberkriminelle können einen festen Preis für ein RaaS-Kit zahlen, während andere Gruppen RaaS im Rahmen des Tochtergesellschaftsmodells verkaufen, und einen Prozentsatz des Ertrags einnehmen.

Ransomware-Angriffe beinhalten Entscheidungen, die auf Netzwerkkonfigurationen beruhen, und variieren je nach Opfer, auch wenn die Ransomware-Nutzlast gleich ist. Ransomware kulminiert einen Angriff, der Datenexfiltration und andere Auswirkungen beinhalten kann. Aufgrund des in sich verknüpften Aufbaus der Cyberverbrechensökonomie, können scheinbar beziehungslose Intrusionen auf einander aufbauen. Infostealer-Malware, die Kennwörter und Cookies stiehlt, wird mit einem geringeren Schweregrad behandelt. Cyberkriminelle verkaufen diese Kennwörter jedoch, um andere Angriffe zu ermöglichen.

Diese Angriffe folgen einem Muster des erstmaligen Zugriffs durch Malware-Infektion oder des Ausnutzen einer Schwachstelle, was zu einem Diebstahl von Anmeldeinformationen führt, und damit zu mehr Privilegien und lateralen Möglichkeiten führt. Industrialisierung ermöglicht erfolgreiche und wirkungsvolle Ransomware-Angriffe, die von ungebildeten Angreifern ohne erweiterte Fähigkeiten ausgeführt werden. Seit Conti stillgelegt wurde, konnten wir Änderungen in der Ransomware-Landschaft feststellen. Einige Tochtergesellschaften, die Conti bereitgestellt haben, haben ihre Nutzdaten von anerkannten RaaS-Ökosystemen wie LockBit und Hive entfernt, während andere Tochtergesellschaften ihre Nutzlasten nun gleichzeitig von mehreren RaaS-Ökosystemen bereitstellen.

Neue RaaS wie QuantumLocker und Black Basta füllen das Vakuum, das nach dem Stilllegen von Conti übrig geblieben ist. Da sich der Großteil der Ransomware-Abdeckung auf Nutzdaten und nicht auch Akteure fokussiert, wird dieser Nutzdatenwechsel wahrscheinlich eine Verwirrung für Regierungen, Polizei, Medien, Sicherheitsexperten und Abwehrkräfte darstellen, die sich fragen werden, wer hinter diesen Angriffen steckt.

Die Berichterstellung von Ransomware scheint ein endloses Skalierungsproblem darzustellen, obwohl in Wirklichkeit eine begrenzte Anzahl an Akteuren dahintersteht, die diesen Ansatz von Techniken verwendet.

Empfehlungen:

  • Schaffen Sie Ordnung in Ihren Anmeldeinformationen: Entwickeln Sie eine logische Netzwerksegmentierung, die auf Privilegien basiert, die neben Netzwerksegmentierung implementiert werden können, um laterale Vorgänge einzuschränken.
  • Überwachung der Gefährdung von Anmeldeinformationen: Das Überwachen der Gefährdung von Anmeldeinformationen ist ausschlaggebend, um Ransomware-Angriffen und Cyberkriminalität im Allgemeinen vorzubeugen. IT-Sicherheitsteams und SOCs können zusammenarbeiten, um administrative Privilegien zu reduzieren, und nachzuvollziehen inwiefern ihre Anmeldeinformationen offengelegt wurden.
  • Verringern der Angriffsfläche: Führen Sie Regeln zur Verringerung der Angriffsfläche ein, um häufigen Ransomware-Angriffstechniken vorzubeugen. Bei beobachten Angriffen von unterschiedlicher Ransomware durch Aktivitätsgruppen, konnten Organisationen mit klar definierten Regeln Angriffe im Anfangsstadium abschwächen während sie praktischer Tastaturaktivität vorbeugten.

Cyberkriminelle verdoppeln ihre Erpressungsmaßnahmen in ihrer Angriffsstrategie

Ransomware existiert, um eine Zahlung vom Opfer zu erpressen. Die aktuellsten RaaS-Programme legen auch gestohlene Daten frei, was als doppelte Erpressung bezeichnet wird. Da Ausfälle Kritik und Regierungsstörungen durch die Zunahme von Ransomware-Operatoren verursachen, verzichten manche Gruppen auf Ransomware und konzentrieren sich auf Datenerpressung.

Zwei dieser erpressungsorientierten Gruppen sind DEV-0537 (auch bekannt als LAPSUS$) und DEV-0390 (eine frühere Tochtergesellschaft von Conti). Die Intrusionen von DEV-0390 werden durch Malware veranlasst, verwenden jedoch legitime Werkzeuge, um Daten zu exfiltrieren und eine Zahlung zu erpressen. Sie stellen Eindringungstesttools wie Cobalt Strike, Brute Ratel C4 und das rechtmäßige Atera-Remoteverwaltungsdienstprogramm bereit, um Zugriff auf ein Opfer zu behalten. DEV-0390 eskaliert Privilegien, indem Anmeldeinformationen gestohlen werden, sensible Daten ausfindig gemacht werden (oftmals auf Geschäftssicherungen und Dateiservern) und sendet Daten an eine Cloud-Dateifreigabewebsite mithilfe eines Sicherungsdienstprogramms.

DEV-0537 verwendet eine andersartige Strategie und andere Techniken. Der anfängliche Zugriff wird durch den Kauf von Anmeldeinformationen im kriminellen Untergrund oder von Mitarbeitern bei angezielten Organisationen erworben.

Probleme

  • Gestohlene Kennwörter und ungeschützte Identitäten
    Mehr noch als Schadsoftware benötigen Angreifer Anmeldeinformationen, um erfolgreich zu sein. In fast allen erfolgreichen Ransomware-Bereitstellungen, gewinnen Angreifer Zugriff auf privilegierte Konten auf Administratorebene, die einen weitläufigen Zugriff auf das Netzwerk eines Unternehmens ermöglichen.
  • Nicht vorhandene oder deaktivierte Sicherheitsprodukte
    In fast jedem beobachteten Ransomware-Vorfall, wies mindestens eins der betroffenen Systeme beim Angriff fehlende oder fehlkonfigurierte Sicherheitsprodukte auf, die Eindringlingen das Hantieren an bestimmten Schutzeinrichtungen ermöglichten.
  • Fehlkonfigurierte oder missbrauchte Anwendungen
    Sie benutzen möglicherweise eine beliebte App für einen Zweck, was aber nicht bedeutet, dass Kriminelle dies nicht für ein anderes Ziel als Waffe einsetzen können. Zu häufig bedeutet der Begriff „Legacy-Konfiguration“, dass sich eine App in einem Ausgangszustand befindet, und ermöglicht damit benutzerweiten Zugriff über ganze Organisationen hinweg. Unterschätzen Sie dieses Risiko nicht bzw. zögern Sie nicht, die App-Einstellungen aus Angst vor Beeinträchtigungen zu ändern.
  • Langsames Patchen
    Ein Klischee wie „Iss dein Gemüse!“ – es ist jedoch ein ausschlaggebender Fakt: Die beste Möglichkeit Software resistenter zu machen, ist sie zu aktualisieren. Während einige cloudbasierte Updates ohne notwendigen Benutzereingriff durchführen, müssen Firmen Anbieterpatches jedoch sofort durchführen. In 2022 hat Microsoft festgestellt, das ältere Schwachstellen immer noch ein primärer Anlass für Angriffe sind.
  • Gestohlene Kennwörter und ungeschützte Identitäten
    Mehr noch als Schadsoftware benötigen Angreifer Anmeldeinformationen, um erfolgreich zu sein. In fast allen erfolgreichen Ransomware-Bereitstellungen, gewinnen Angreifer Zugriff auf privilegierte Konten auf Administratorebene, die einen weitläufigen Zugriff auf das Netzwerk eines Unternehmens ermöglichen.
  • Nicht vorhandene oder deaktivierte Sicherheitsprodukte
    In fast jedem beobachteten Ransomware-Vorfall, wies mindestens eins der betroffenen Systeme beim Angriff fehlende oder fehlkonfigurierte Sicherheitsprodukte auf, die Eindringlingen das Hantieren an bestimmten Schutzeinrichtungen ermöglichten.
  • Fehlkonfigurierte oder missbrauchte Anwendungen
    Sie benutzen möglicherweise eine beliebte App für einen Zweck, was aber nicht bedeutet, dass Kriminelle dies nicht für ein anderes Ziel als Waffe einsetzen können. Zu häufig bedeutet der Begriff „Legacy-Konfiguration“, dass sich eine App in einem Ausgangszustand befindet, und ermöglicht damit benutzerweiten Zugriff über ganze Organisationen hinweg. Unterschätzen Sie dieses Risiko nicht bzw. zögern Sie nicht, die App-Einstellungen aus Angst vor Beeinträchtigungen zu ändern.
  • Langsames Patchen
    Ein Klischee wie „Iss dein Gemüse!“ – es ist jedoch ein ausschlaggebender Fakt: Die beste Möglichkeit Software resistenter zu machen, ist sie zu aktualisieren. Während einige cloudbasierte Updates ohne notwendigen Benutzereingriff durchführen, müssen Firmen Anbieterpatches jedoch sofort durchführen. In 2022 hat Microsoft festgestellt, das ältere Schwachstellen immer noch ein primärer Anlass für Angriffe sind.

Aktionen

  • Authentifizieren von Identitäten Multi-Faktor-Authentifizierung (MFA) für alle Konten erzwingen und Administrator- und andere sensible Rollen priorisieren. Bei einem hybriden Mitarbeiterstamm, muss MFA für alle Geräte an allen Orten zu jeder Zeit vorausgesetzt werden. Ermöglichen Sie kennwortlose Authentifizierung wie FIDO-Schlüssel oder Microsoft Authenticator für Apps, die dies unterstützen.
  • Tote Winkel in der Sicherheit behandeln
    Wie Rauchmelder müssen auch Sicherheitsprodukte an den richtigen Orten installiert, und regelmäßig getestet werden. Stellen Sie sicher, dass Sicherheitstools in ihrer sichersten Konfiguration ausgeführt werden, und kein Teil des Netzwerks ungeschützt ist.
  • Mit dem Internet verbundene Ressourcen stärken
    Ziehen Sie es in Erwägung, doppelte oder ungenutzte Apps zu löschen, um riskante unbenutzte Dienste zu löschen. Seien Sie sich darüber bewusst, für welche Bereiche Sie remote Helpdesk-Apps wie TeamViewer zulassen. Diese werden offenkundig von Bedrohungsakteuren angezielt, um schnellen Zugriff auf Laptops zu erlangen.
  • Systeme auf dem aktuellen Stand halten
    Machen Sie Softwarebestandsaufnahme zu einem fortlaufenden Prozess. Verfolgen Sie die Programme, die von Ihnen ausgeführt werden, und priorisieren Sie den Support für diese Produkte. Nutzen Sie Ihre Fähigkeit schnell zu patchen und damit einzuschätzen, wo der Umstieg auf cloudbasierte Dienste vorteilhaft wäre.

Das Verständnis der in sich verknüpften Art von Identitäten und das Vertrauen in Beziehungen in modernen Technologieökosystemen beinhaltet das Anzielen von Telekommunikation, Technologie, IT-Diensten und die Unterstützung von Firmen, um Zugang zu einer Organisation zu erlangen und damit den Einstieg in Partner- oder Lieferantennetzwerke zu erreichen. Angriffe, die nur aus Erpressung bestehen, verdeutlichen, dass Netzwerkabwehr nicht nur Ransomware im Endstadium betrachten muss, sondern auch Datenexfiltration und laterale Bewegungen im Auge behalten sollte.

Wenn ein Bedrohungsakteur die Erpressung einer Organisation plant, ist eine Ransomwarenutzlast der nutz- und wertloseste Teil der Angriffsstrategie, um Daten privat zu halten. Schließlich liegt die Wahl, was bereitgestellt werden soll beim Operator, und Ransomware ist nicht immer die profitabelste Ausschüttung, die von Bedrohungsakteuren angestrebt wird.

Obwohl Ransomware oder eine Doppelerpressung wie unumgängliche Resultate eines Angriffs eines klugen Angreifers erscheinen, ist Ransomware jedoch ein vermeidbares Desaster. Das Vertrauen der Angreifer auf Sicherheitsschwächen weist darauf hin, dass sich Investitionen in Cyberhygiene auszahlen.

Microsofts einzigartige Visibilität gibt uns einen Einblick in die Aktivitäten von Bedrohungsakteuren. Anstatt auf Beträge in Foren oder Chat-Leaks zu vertrauen, informiert sich unser Sicherheitsexpertenteam über neue Ransomware-Taktiken und entwickelt eine Bedrohungsintelligenz, die unsere Sicherheitslösungen beeinflusst.

Integrierter Bedrohungsschutz auf verschiedenen Geräten, Identitäten, Apps, E-Mail, Daten und der Cloud hilft uns dabei, Angriffe zu identifizieren, die als Angriffe von mehreren Akteuren eingestuft würden, obwohl tatsächlich nur eine einzige Gruppe an Cyberkriminellen dahinter steckt. Unsere Digital Crimes Unit, die aus technischen, Rechts- und Geschäftsexperten besteht, arbeitet weiterhin mit Vollzugsbehörden, um Cyberverbrechen einzudämmen

Empfehlungen:

Die Cloud stärken: Da Angreifer Cloudressourcen anzielen, ist es wichtig, diese Ressourcen und Identitäten, sowie lokale Konten zu sichern. Sicherheitsteams sollten sich auf die Verstärkung der Sicherheitsidentitätsinfrastruktur konzentrieren und Multi-Faktor-Authentifizierung (MFA) für alle Konten erfordern, sowie Cloudadministratoren und Mandantenadministratoren mit der gleichen Hygiene für Sicherheit und Anmeldeinformationen behandeln wie Domänenadministratoren.
Erstzugriff verhindern: Die Codeausführung durch die Verwaltung von Makros und Skripts verhindern, und Regeln zur Verringerung der Angriffsfläche in Kraft setzen.
Tote Winkel der Sicherheit schließen: Organisationen sollten sicherstellen, dass ihre Sicherheitstools optimal konfiguriert sind und regelmäßig Netzwerküberprüfungen durchführen, um sicherzustellen, dass ein Sicherheitsprodukt alle Systeme schützt.

Microsoft bietet eingehende Empfehlungen unter  https://go.microsoft.com/fwlink/?linkid=2262350.

Erfahren Sie von Emily Hacker, Threat Intelligence-Analystin, wie Sie im Hinblick auf die sich ständig ändernde Ransomware-as-a-Service-Landschaft stets auf dem Laufenden bleiben.

Microsoft Digital Crimes Unit (DCU):
Leitete die Entfernung von mehr als 531.000 eindeutigen Phishing-URLs und 5.400 Phish-Kits zwischen Juli 2021 und Juni 2022, was zur Identifikation von über 1.400 schädlichen E-Mail-Konten führte, die zur Sammlung gestohlener Kundenanmeldeinformationen verwendet wurde.1
E-Mail-Bedrohungen:
Die durchschnittliche Zeit für einen Angreifer, Zugriff auf Ihre privaten Daten zu erhalten, wenn Sie Opfer einer Phishing-E-Mail werden, beträgt 12 Minuten.1
Endpunktbedrohungen:
Die anfängliche durchschnittliche Zeit eines Angreifers sich lateral innerhalb Ihres Geschäftsnetzwerks zu bewegen, wenn ein Gerät kompromittiert wurde, beträgt eine Stunde und 42 Minuten.1
  1. [1]

    Methodik: Für die Momentaufnahmedaten lieferten Microsoft-Plattformen, darunter Defender und Azure Active Directory, anonymisierte Daten zu Bedrohungsaktivitäten wie bösartige E-Mail-Konten, Phishing-E-Mails und Angreiferbewegungen in Netzwerken. Weitere Erkenntnisse stammen aus den 43 Milliarden Sicherheitssignalen, die Microsoft täglich erfasst. Diese stammen unter anderem aus der Cloud, von Endpunkten, von Intelligent Edge sowie von unseren Compromise Security Recovery Practice- und Detection and Response-Teams.

Cyber Signals Cyber Resilience Ransomware Bedrohungsakteure

Expertenprofil: Emily Hacker

Die Threat Intelligence-Analystin Emily Hacker berichtet, wie ihr Team auf dem neuesten Stand über die sich ständig weiterentwickelnde Ransomware-as-a-Service-Landschaft bleibt und welche Maßnahmen ergriffen werden, um Pre-Ransomware-Akteure aufzuspüren.
Mehr erfahren

Cyber Signals: 3. Ausgabe: Das wachsende IoT und das Risiko für OT

Die zunehmende Nutzung des Internets der Dinge (Internet of Things, IoT) stellt ein Risiko für die OT dar, da es mehrere potenzielle Schwachstellen aufweist und Bedrohungsakteuren Angriffsflächen bietet. Erfahren Sie, wie Sie Ihre Organisation schützen können
Mehr erfahren

Cyber Signals: 1. Ausgabe

Identität ist das „Schlachtfeld“ unserer Zeit. Gewinnen Sie Einblicke in die sich ständig weiterentwickelnden Cyberbedrohungen und erfahren Sie, welche Maßnahmen Sie ergreifen können, um Ihr Unternehmen besser zu schützen.
Mehr erfahren

Microsoft folgen