Ransomware und die Notwendigkeit eines robusten Schutzes durch den NDR
Ransomware ist eine der besorgniserregendsten Bedrohungen für die Cybersicherheit von Unternehmen weltweit. Im Februar 2022 veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) ein [Cybersecurity Advisory] (https://www.cisa.gov/uscert/ncas/alerts/aa22-040a), in dem sie Organisationen vor der "erhöhten Ransomware-Bedrohung" im Jahr 2022 warnte. Ohne angemessene Sicherheitskontrollen ist jede Organisation anfällig für die katastrophalen Auswirkungen von Ransomware-Angriffen.
Hier ein Beispiel, das im Jahr 2021 Schlagzeilen machte: Im Mai 2021 wurde das europäische Versicherungsunternehmen AXA Opfer eines großen [Ransomware-Angriffs] (https://www.securitymagazine.com/articles/95245-insurance-giant-axa-victim-of-ransomware-attack) durch die berüchtigte Avaddon-Gruppe. Der Angriff ereignete sich kurz nachdem der multinationale Versicherer angekündigt hatte, die Erstattung von Ransomware-Zahlungen für viele seiner Kunden einzustellen. Bei diesem etwas ironischen Raubüberfall auf eine Cybersecurity-Versicherungsgesellschaft konnte sich die Hackergruppe Zugang zu 3 TB an sensiblen Daten verschaffen, darunter Passkopien und medizinische Berichte von Kunden.
Was ist Ransomware?
Ransomware ist eine Art von Malware, die auf dem System eines Opfers installiert wird, wenn dieses auf einen Link klickt oder einen Anhang in einer bösartigen E-Mail öffnet. Die Malware verschlüsselt die Dateien oder Daten des Opfers mit asymmetrischer Verschlüsselung und sperrt sie aus dem System aus. Um die verschlüsselten Dateien zu entschlüsseln und den Zugriff wiederherzustellen, verlangen die Cyberkriminellen ein Lösegeld. In diesem Zusammenhang behaupten die Angreifer, dass sie ein einzigartiges Entschlüsselungsschlüsselpaar (öffentlich und privat) generiert haben, das sie dem Opfer gegen ein hohes Lösegeld aushändigen werden.
Diese Angriffe sind oft erfolgreich, weil sie die Angst des Opfers vor dem Verlust sensibler und geschäftskritischer Daten ausnutzen, was die Kontinuität des Unternehmens und seinen Ruf erheblich beeinträchtigen kann. Daher zahlen viele Opfer in der Regel das geforderte Lösegeld.
Warum sollten sich Unternehmen Gedanken über Ransomware machen?
Es gibt viele Gründe, warum sich Unternehmen gegen Ransomware schützen sollten.
Jeder kann ein Opfer werden
Ein Hauptgrund ist, dass Unternehmen jeder Größe und Art Ziel und Opfer von Cyberangriffen werden können. Ransomware ist zudem eine branchenunabhängige Art von Cyberangriff, der Unternehmen in den Bereichen Gesundheitswesen, Finanzdienstleistungen, industrielle Fertigung, IT, Energie, Versorgungsunternehmen und sogar im Bildungswesen betrifft.
Ransomware betrifft viele Arten von Geräten
Ein weiterer beunruhigender Aspekt ist, dass Ransomware jede Art von Gerät infizieren kann - Desktops, Laptops, mobile Geräte, Router im Unternehmensnetzwerk und sogar IoT-Geräte. Moderne IT-Umgebungen umfassen in der Regel alle diese Geräte, so dass Unternehmen cleveren und opportunistischen Cyberangreifern ausgeliefert sind.
Mehrere Angriffsvektoren
Cyberkriminelle haben viele Angriffsvektoren zur Verfügung. Neben bösartigen Links oder Anhängen in Phishing-E-Mails können sie auch gestohlene Remote-Anmeldedaten verwenden oder sich die Einführung von Cloud-Diensten zunutze machen, um einen Angriff zu starten.
In der Post-COVID-Ära haben viele Organisationen Remote-Arbeitsmodelle und Cloud-basierte Dienste und Tools eingeführt, um die Geschäftskontinuität und die Bereitstellung von Diensten aufrechtzuerhalten - was sie zunehmend anfällig für Ransomware-Angriffe macht.
Viele Angriffsarten
Ein weiteres zunehmendes Problem ist, dass Angreifer viele Möglichkeiten haben, einen Ransomware-Angriff zu starten. So können sie beispielsweise Krypto-Malware erstellen, die Festplatten, Ordner und Dateien verschlüsselt. Anschließend können sie ein Lösegeld in Kryptowährung fordern, das sich nur schwer zurückverfolgen lässt.
Der Angreifer kann auch Gerätebetriebssysteme mit Sperren infizieren, die das Opfer vollständig vom Gerät aussperren, bis es das Lösegeld bezahlt. Andere gängige Ransomware-Typen sind:
- Scareware: Gefälschte Software, die das Opfer zur Zahlung eines Lösegelds zwingt, um ein sogenanntes Sicherheitsproblem zu beheben
- Leakware: Der Angreifer droht damit, die vertraulichen Daten des Opfers preiszugeben, nachdem er dessen Gerät gekapert hat
- WannaCry: Eine bekannte Ransomware-Variante, die bereits über 100.000 Organisationen in über 150 Ländern infiziert hat
- Locky: Eine Ransomware-Variante, die sich über E-Mail-Nachrichten verbreitet, die als echte Rechnungen getarnt sind
Die Akzeptanz von RaaS
Der Ausbruch von Ransomware-as-a-Service (RaaS) ist ein weiterer wichtiger Treiber für Ransomware-Angriffe im Jahr 2022. In der Vergangenheit benötigten Angreifer technische oder programmiertechnische Kenntnisse, um Ransomware zu erstellen und Cyberangriffe zu verüben. Heute jedoch sind RaaS-Lösungen im Dark Web als Abonnements erhältlich, mit denen Angreifer mühelos groß angelegte, äußerst schädliche Ransomware-Angriffe auf Unternehmen starten können.
Dies ist für Cyberkriminelle sehr verlockend, da Ransomware-Angriffe leicht einzurichten und auszuführen sind und den Angreifern hohe Gewinne bescheren können. Der Angreifer benötigt lediglich einen Tor-Browser und Zugang zu Untergrundmärkten im Dark Web, um Ransomware-Toolkits (vorgefertigte Schadcode-Pakete) zu kaufen. Dies ermöglicht es Angreifern, Ransomware für eine beliebige Anzahl von Organisationen unabhängig von ihrer [Branche] (https://www.exeon.com/solutions/industries) zu erstellen und zu verbreiten.
Die Folgen eines Ransomware-Angriffs
Nach einem Ransomware-Angriff verlieren die Opfer den Zugang zu ihren Systemen und Daten. Viele Unternehmen zahlen das Lösegeld, um den Zugang wiederherzustellen, obwohl Behörden wie das FBI von dieser Praxis abraten.
Aber selbst nach der Zahlung des Lösegelds gibt es keine Garantie, dass die Angreifer alle verschlüsselten Systeme oder Daten freigeben. Im Jahr 2019 zahlten 45 % der angegriffenen Organisationen das Lösegeld und nur die Hälfte von ihnen erhielt ihre Daten zurück, was zu geschätzten Lösegeldzahlungen in Höhe von 10,1 Milliarden Euro führte.
Im Jahr 2020 kostete ein Ransomware-Angriff Unternehmen im Durchschnitt 1,85 Millionen US-Dollar. Dieser Betrag umfasste das gezahlte Lösegeld und die tatsächlichen Kosten für die Behebung des Angriffs und die Minimierung des Schadens. Die Lösegeldzahlungen sind jedoch nicht die einzige Auswirkung auf die angegriffenen Unternehmen. Aufgrund von Ausfallzeiten und verpassten Gelegenheiten verlieren die betroffenen Firmen auch ihre geschäftliche Zuverlässigkeit und potenzielle Einnahmen. Nach Angaben der [EU-Agentur für Cybersicherheit] (https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021) ist die durchschnittliche Ausfallzeit von Unternehmen von 15 Tagen im Jahr 2020 auf 23 Tage im Jahr 2021 gestiegen. Darüber hinaus hat eine in 30 Ländern durchgeführte Umfrage ergeben, dass die Gesamtkosten für die Behebung eines Ransomware-Angriffs erheblich gestiegen sind, nämlich von 761.106 US-Dollar im Jahr 2020 auf 1,85 Millionen US-Dollar im Jahr 2021.
Ein weiteres Problem ist, dass ein Ransomware-Angriff die Vorstufe zu einem größeren, längerfristigen Angriff sein kann. Sobald der Angreifer in das Unternehmenssystem eingedrungen ist, kann er sich seitlich durch das Netzwerk bewegen, um Zugang zu noch mehr geschäftskritischen Dateien und sensiblen Daten zu erlangen, die dann exfiltriert und verschlüsselt werden können - was zu massivem Chaos und Schaden in der Organisation führt.
Schutz vor Ransomware mit NDR
Ein Grund, warum es so schwierig ist, Ihr Unternehmen vor Ransomware zu schützen, ist, dass bösartiger Code mühelos in jedes Unternehmensnetzwerk oder -system eindringen kann, indem er sich in harmlos aussehenden Links oder E-Mail-Anhängen versteckt. Clevere Angreifer nutzen RaaS auch, um groß angelegte Cyberangriffe zu verfassen und Unternehmensdateien zu verschlüsseln.
Um solchen Bedrohungsakteuren einen Schritt voraus zu sein, benötigen Unternehmen eine proaktive Methode, um Ransomware-Bedrohungen schnell und effektiv zu erkennen, bevor sie Schaden anrichten. An dieser Stelle kommt Network Detection and Response (NDR) ins Spiel.
Eine NDR-Lösung beobachtet kontinuierlich das Netzwerkverhalten und weiß, was ein "normales" Verhalten ist. Netzwerkkommunikation, die von diesem normalen Verhalten abweicht, wird automatisch als verdächtig oder unbefugt gekennzeichnet, wodurch ein Frühwarnsystem für Netzwerkanomalien und Angriffe entsteht.
Mit NDR verbringen Netzwerkadministratoren weniger Zeit mit der Suche nach Netzwerkschlupflöchern und haben mehr Zeit, die Sicherheitslage des Unternehmens zu verbessern. Auf diese Weise können Unternehmen Ransomware-Angriffe verhindern, anstatt nur darauf zu reagieren und unter Geschäftsausfällen und teuren Ransomware-Zahlungen zu leiden.
Exeon's NDR-Lösung für Ransomware
Mit Exeon haben Unternehmen ein proaktives und zukunftssicheres Mittel, um Ransomware-Angriffe frühzeitig zu erkennen. Die fortschrittliche NDR-Software von Exeon nutzt KI-gesteuerte Analysen, um alle Netzwerkoperationen zu überwachen, Cyber-Bedrohungen sofort zu erkennen und schneller und effizienter auf lokale und Cloud-basierte Vorfälle zu reagieren.
[Im Gegensatz zu herkömmlichen NDR-Anbietern (https://www.exeon.com/blog/deep-packet-inspection-vs-metadata-analysis-of-ndr-solutions-blog-exeon) stützt sich Exeon auf die Analyse von Protokolldaten (NetFlow/IPFIX, Firewall-, DNS-, Proxy- und Anwendungsprotokolle), benötigt keine Verkehrsspiegelung, ist völlig hardwarefrei, unbeeinflusst von Verschlüsselung und kompatibel mit mehreren Netzwerkgeräteanbietern. Exeon bietet detaillierte Einblicke und hervorragende Analysen für eine ganzheitliche Erkennung von Ransomware-Bedrohungen innerhalb des gesamten IT/OT-Netzwerks. Die ExeonTrace Plattform
Fazit
Unternehmen können es sich heute nicht mehr leisten, der wachsenden Bedrohung durch Ransomware gelassen entgegenzusehen. Da präventive Sicherheitsmaßnahmen nicht mehr ausreichen, benötigen Unternehmen eine leistungsfähige Sicherheitslösung, um Ransomware im Netzwerk zu erkennen, bevor sie Schaden anrichtet. Mit Exeons NDR-Lösung verfügen Sicherheitsteams über ein leistungsstarkes Tool zur Überwachung aller Netzwerkaktivitäten und können sofort auf bösartiges Netzwerkverhalten reagieren, das auf einen potenziellen Ransomware-Angriff hinweist.