Ransomware – das profitable Geschäft der Cyberkriminellen

Dieser Blogbeitrag ist ein Follow-up-Beitrag des in der Onlinepublikation der manage it erschienenen Artikels „Von der Erpressung zum Datendiebstahl: Ransomware im Wandel der Zeit“.¹

Ransomware hat sich zu einem hochprofitablen Geschäftsmodell für Cyberkriminelle entwickelt. Analysen der Finanztransaktionen im Zusammenhang mit Ransomware haben ergeben, dass das kriminelle Geschäft mindestens so profitabel ist, wie der Handel mit Kokain ², allerdings bei Weitem nicht so gefährlich für die kriminellen Organisationen, die hinter diesen Angriffen stecken.

Im Jahr 2020 konnten Cyberkriminelle mindestens 350 Millionen US Dollar an Lösegeld einkassieren (was bereits einen Anstieg von ca. 310 % im Vergleich zum Vorjahr darstellte). Im Vergleich zum Vorjahr konnten alleine in der ersten Hälfte des Jahres 2021 bereits 590 Millionen US Dollar in Ransomware-Transaktionen den Angreifergruppen zugeordneten Blockchainadressen nachgewiesen werden.³ Erschreckender ist hier allerdings die Tatsache, dass sich diese Auswertung nur auf Transaktionen mit der Kryptowährung Bitcoin beziehen. Tatsächlich konnte eine zunehmende Popularität anderer Kryptowährungen, wie z. B. Monero, beobachtet werden. Betrachtet man die verfügbaren Informationen, erkennt man die Vorzeichen für eine düstere Zukunft.

Die Entwicklung beim Geschäft mit der digitalen Erpressung hat bislang ein paar erschreckend beeindruckende Zahlen zustande gebracht.

• In den vergangenen 3 Jahren haben die 10 erfolgreichsten Ransomware-Gruppierungen zusammen über 5,2 Milliarden USD gestohlen bzw. erpresst ³
• Der durchschnittlich gezahlte Betrag pro Erpressung ist von ca. 115.000 USD (2019) auf ca. 312.000 USD (2020) gestiegen – eine Steigerung von über 170 % ⁴
• Der durchschnittlich gezahlte Betrag pro Erpressung von mittleren und großen Unternehmen betrug sogar ca. 3 Millionen USD ⁴
• Der durchschnittlich verlangte Betrag der Erpresser betrug im Jahr 2020 zwischen 850.000 und 4.8 Millionen USD, abhängig der Ransomware-Gruppe ⁴
• Der größte (bekannte) bezahlte Betrag nach einer Ransomware-Infektion betrug 2020 sogar 30 Millionen USD ⁴
• 70 % der von Ransomware angegriffenen Unternehmen werden auch wirklich kompromittiert ⁵

Dass Kriminelle im Zweifel über eher weniger solide moralische Prinzipien verfügen, ist vermutlich für die wenigsten überraschend. Ebenso wenig überraschend ist es, dass einige der kriminellen Gruppierungen jetzt ihren Fokus auf die Branche der Healthcare Provider legen.

Die Gründe dafür liegen auf der Hand. Auf der einen Seite ist es ein bekannter Umstand, dass Institutionen im Bereich Healthcare in der Regel über weniger finanzielles Budget für den Bereich IT-Security verfügen (Umfragen ergaben, dass nur etwa 6 % des IT-Budgets für IT-Security verwendet werden).¹¹
Auf der anderen Seite sind eben diese Institutionen im Zeitalter der Covid-19-Pandemie besonders bemüht den Betroffenen medizinische Hilfe zu gewährleisten.

Die Ransomware-Akteure gehen also sicher davon aus, dass die Institutionen im Healthcare-Sektor in dieser Zeit besonders gewillt sind, die erpressten Summen zeitnah zur Verfügung zu stellen, um Beeinträchtigungen bei der täglichen Arbeit schnellstmöglich zu beseitigen. Zusätzlich wird hierzu angenommen, dass die pharmazeutischen Erzeuger und Zulieferer in Zeiten einer globalen Pandemie besonders hohe Profite erwirtschaften und diese somit lukrativer für die Erpresser werden.

Dieser Wechsel kann besonders bei der Cybercrime-Gruppierung FIN12 beobachtet werden. Hierbei handelt es sich um eine aggressive, besonders finanziell motivierte Gruppierung aus dem russischsprachigen Raum, welche in den letzten Monaten durch ihre exzessive Verwendung, der als Ryuk und Trickbot bekannten Schadsoftware, in Erscheinung getreten ist. ^{4 6 7}

State-of-the-Art EDR-Systeme: Gut, aber nicht perfekt

Zu den effektivsten Verteidigungsmethoden gegen die großflächige Verbreitung einer Ransomware-Infektion in einer Infrastruktur gehören State-of-the-Art EDR-Systeme. Diese Systeme sind in der Lage, viele der von Ransomware verwendeten Verhaltensmuster zu erkennen und aktiv zu unterbinden. Ein Team griechischer Akademiker hat eine Untersuchung veröffentlicht, bei der viele der derzeit aktuellen Top EDR-Produkte gegen einige der am häufigsten verwendeten Angriffstechniken (die allgemein bei Ransomware zum Einsatz kommen) getestet wurden. Das Ergebnis war allerdings sehr ernüchternd. Lediglich 2 Produkte konnten alle Techniken erfolgreich erkennen und unterbinden. ^{8 9}

Nicht auf einzelne Technologien und Maßnahmen verlassen

Allerdings bedeutet das nicht, dass wir nicht in der Lage sind, eine effektive Verteidigung gegen Ransomware-Angriffe zu etablieren. Es bedeutet nur, dass wir einen ganzheitlichen Ansatz verfolgen müssen, um dies zu bewerkstelligen. Ein erfolgreicher Ransomware-Angriff besteht aus mehreren Phasen, die erfolgreich durchlaufen werden müssen. Durch eine erfolgreiche Erkennung und Unterbindung der zugehörigen Techniken kann eine erfolgreiche Kompromittierung ganz oder zumindest teilweise verhindert werden.

Besonders während der Initial-Access-Phase können durch sorgsam gewählte User-Awareness-Trainings und Email-Security-Lösungen sowie mit korrekt implementierten Firewall-Security-Konzepten bereits viele der versuchten Angriffe abgefangen werden.
Vor allem in Kombination haben Sie eine ordentliche Schutzwirkung gegen die gängigsten Ransomware-Angriffsvektoren, wie beispielsweise ¹⁰:

• Ungesicherte / nicht überwachte Remote-Desktop-Protokoll-Verbindungen (-50%)
• Email Phishing (-25%)
• Software-Schwachstellen (-12%)

Auch ein sauberes Backup- und Recovery-Konzept (offline/offsite Backup) ist unerlässlich, um den Geschäftsbetrieb nach einer Kompromittierung wieder herstellen zu können. Ransomware-Akteure zielen unter anderem aktiv auf on-site Backup-Verschlüsselung ab, um ihren Forderungen größtmöglichen Nachdruck zu verleihen.

Eine hervorragende Publikation, die sich unter anderem damit befasst, wie Ransomware-resistente Backup-Konzepte aussehen können, wurde von Allan Liska und Recorded Future unter dem Namen „Ransomware Understand. Prevent. Recover“ ¹² veröffentlicht.

Wenn man sich, wie bei uns Cyber-Security-Analysten üblich, täglich mit dem Thema beschäftigen muss, kann einen nichts mehr so richtig schocken. So wie auch bei diesem Artikel, in dem ein Mitglied der bekannten Gruppierung REvil interviewt wurde und bei dem außer interessanter Fakten, auch Einsichten in die Denkweise der kriminellen Hintermänner zutage gefördert wurden.

Laut eigenen Angaben habe der befragte Unbekannte bereits über 500 Millionen Dollar persönliches „Vermögen“ angehäuft und keinerlei Absichten damit aufzuhören. Er sei stolz auf seinen Schadsoftware-Code, prahle mit seiner perfekten Implementierung einer Elliptic Curve Cryptography (ECC) in den Verschlüsselungsmechanismus und, dass er in Betracht ziehe, ein oder zwei Millionen an wohltätige Organisationen, wie z. B. freie Projekte zur Förderung der digitalen Anonymität zu spenden.

Er offenbare zudem, dass sie (REvil) unter anderem zeitweise Zugriffe auf ein nukleares Raketensilo sowie auf ein Kriegsschiff der U.S. Navy und auch auf ein Atomkraftwerk hatten. Allerdings hätten sie keinerlei Interesse diese Zugriffe auszunutzen, da ein realer Krieg nun mal nicht gut für das Ransomware-Geschäft wäre…

Das gesamte, äußerst lesenswerte Interview ist ein trauriges Zeugnis dafür, dass wir uns im Zeitalter des hochprofitablen Geschäfts mit der Ransomware befinden und, dass wir das Problem auch bis auf Weiteres nicht mehr loswerden können. ¹³

Auch wenn dieser Blogbeitrag zunächst ernüchternd wirken mag, gibt es dennoch Lichtblicke im Kampf gegen Ransomware. Ebenso, wie sich die Ransomware-Kampagnen weiter entwickeln, entwickeln sich auch die Verteidiger und deren Maßnahmen weiter.

Wenn Sie Beratung benötigen, wie Sie sich vor Ransomware-Angriffen bestmöglich schützen können oder sich im Falle einer Kompromittierung verhalten sollen, zögern Sie nicht, sich an die magellan netzwerke GmbH zu wenden. Unsere Security-Experten sind immer gewillt, Ihnen mit Rat und Tat zur Seite zu stehen.

In diesem Sinne, bleiben Sie sicher!

Hier finden Sie nochmals alle Links mit den weiterführenden Informationen:

[1]: „Von der Erpressung zum Datendiebstahl: Ransomware im Wandel der Zeit“
[2]: Artikel in LIFE INSURENCE INTERNATIONAL
[3]: Artikel in THE VERGE
[4]: Ransomware Threat Report
[5]: Ransomware-Statistiken, Daten, Trends und Fakten
[6]: FIN12-Ransomware-Angriffe
[7]: FIN12 bedroht aktiv Gesundheitswesen
[8]: EDR Software im Vergleich
[9]: Empirische Bewertung von Endpunktsicherheitssystemen gegen Advanced Persistent Threats Angriffsvektoren
[10]: Was sind die häufigsten Angriffsvektoren für Ransomware?
[11]: Gefahren für Patienten bei einem Cyberangriff im Krankenhaus
[12]: EBOOK - Ransomware
[13]: Interview mit Ransomware-Millionär