Die Landschaft der Cybersicherheit befindet sich in einem ständigen Wandel, wobei die Bedrohungen stetig komplexer werden. Ein jüngster Bericht von Allianz Commercial zeigt eine besorgniserregende Zunahme von Ransomware-Angriffen, die sich auf Daten und Lieferketten konzentrieren. Der Bericht liefert aufschlussreiche Erkenntnisse über die aktuelle Lage und Trends, die für Unternehmen jeder Größe von Bedeutung sind.
Steigende Ransomware-Angriffe
Der Bericht verzeichnet einen Anstieg der Ransomware-Opfer um 143% weltweit im ersten Quartal 2023. Besonders besorgniserregend ist die Prognose, dass Ransomware bis 2031 jährlich Kosten von etwa 265 Milliarden US-Dollar verursachen wird.
Kriminelle zielen zunehmend auf IT- und physische Lieferketten ab, nutzen Datenexfiltration und führen massenhafte Cyber-Angriffe durch, um ihren Erpressungsdruck zu maximieren:
- Anstieg der Ransomware-Opfer: Im ersten Quartal 2023 stieg die Anzahl der Ransomware-Opfer weltweit um 143%.
- Kosten von Ransomware: Bis 2031 wird prognostiziert, dass Ransomware seine Opfer jährlich etwa 265 Milliarden US-Dollar kosten wird.
- Zahlungen von Ransomware-Opfern: Im ersten Halbjahr 2023 zahlten Opfer von Ransomware Forderungen in Höhe von 449,1 Millionen US-Dollar, was fast dem Gesamtbetrag des Vorjahres von 500 Millionen US-Dollar entspricht.
- Datenexfiltration: Die Anzahl der Fälle, in denen Daten exfiltriert wurden, ist von 40% im Jahr 2019 auf etwa 77% der Fälle im Jahr 2022 gestiegen, mit einem voraussichtlichen weiteren Anstieg im Jahr 2023.
- Lösegeldzahlungen: Die Wahrscheinlichkeit, dass Unternehmen Lösegeld zahlen, ist in Fällen, in denen Daten exfiltriert wurden, 2,5-mal höher als in Fällen ohne Datenexfiltration. Im Jahr 2022 zahlten 54% der betroffenen Unternehmen ein Lösegeld.
- Zielsektoren für Ransomware: Der Industriesektor war im Jahr 2022 der am häufigsten von Ransomware-Angriffen betroffene Sektor.
- Massenransomware-Angriffe: Das Jahr 2023 hat bereits mehrere große Massenransomware-Angriffe erlebt, in denen Schwachstellen in der Software ausgenutzt wurden, um Daten zu exfiltrieren und von Hunderten von Unternehmen Lösegeld zu fordern.
- Durchschnittskosten eines Datenlecks: Die durchschnittlichen Kosten eines Datenlecks im Jahr 2023 wurden auf 4,45 Millionen US-Dollar geschätzt, was einem Anstieg von 15% über drei Jahre entspricht.
- Cyberangriffe auf mobile Geräte: Eine wachsende Zahl von Cyberangriffen zielt auf mobile Geräte ab, um an Anmeldeinformationen zu gelangen oder Ransomware zu platzieren.
Neue Herausforderungen bei Ransomware ohne Verschlüsselung
Ein besonderes Augenmerk liegt auf Ransomware-Angriffen, die ohne Verschlüsselung auskommen. Solche Angriffe beinhalten oft andere Formen der Nötigung, wie beispielsweise DDoS-Angriffe (Distributed Denial of Service) oder die Androhung, gestohlene Daten zu veröffentlichen.
Diese Methode wird zunehmend beliebter, da sie schneller durchführbar ist und nicht die technischen Herausforderungen und Risiken einer vollständigen Verschlüsselung birgt. Allerdings erhöht sie die Komplexität der Cyberabwehr, da Unternehmen nicht nur ihre Daten sichern, sondern auch die Integrität und Vertraulichkeit ihrer Informationen gewährleisten müssen.
Details zu Ransomware ohne Verschlüsselung
Ein Dokument der CISA behandelt beispielhaft zum Themenkomplex „Ransomware ohne Verschlüsselung“ die Aktivitäten der BianLian Ransomware-Gruppe, die seit Juni 2022 Organisationen in verschiedenen kritischen Infrastruktursektoren der USA und Australiens angegriffen hat. Die Gruppe verwendet eine Kombination aus Ransomware-Entwicklung, Einsatz und Datenerpressung.
In jüngerer Zeit hat die „BianLian“-Gruppe eine Verschiebung ihrer Taktik hin zu primär erpressungsbasierten Angriffen vollzogen, bei denen die Systeme der Opfer unverschlüsselt bleiben. Dies stellt eine Abkehr von der traditionellen Ransomware dar, bei der die Daten der Opfer verschlüsselt werden, um Lösegeldforderungen durchzusetzen. Seit Januar 2023 konzentriert sich die Gruppe auf das Ausnutzen von Daten ohne die Verwendung von Verschlüsselung.
Diese Änderung in der Vorgehensweise hat mehrere Vorteile für Cyberkriminelle:
- Schnellere Durchführung: Die Ausführung von Verschlüsselungsprozessen kann zeitaufwendig sein und technische Herausforderungen mit sich bringen. Durch das Weglassen der Verschlüsselung können Angreifer schneller operieren und möglicherweise mehr Ziele in kürzerer Zeit angreifen.
- Weniger technische Spuren: Verschlüsselung hinterlässt oft eindeutige Spuren, die von Sicherheitsteams genutzt werden können, um Angriffe zu erkennen und zu mitigieren. Durch das Vermeiden der Verschlüsselung sind die Angriffe diskreter.
- Psychologischer Druck: Das direkte Drohen mit der Veröffentlichung gestohlener Daten kann oft einen stärkeren unmittelbaren Druck auf die Opfer ausüben, das Lösegeld zu zahlen, insbesondere wenn es sich um sensible oder geschäftskritische Daten handelt.
Herausforderungen
Die hauptsächliche Herausforderung für Unternehmen besteht darin, diese Art von Angriff effektiv zu erkennen und darauf zu reagieren, da herkömmliche Ransomware-Erkennungstools möglicherweise nicht greifen.
Unternehmen müssen ihre Sicherheitsstrategien anpassen, um auch auf solche erpresserischen Taktiken vorbereitet zu sein, die keine Malware im eigentlichen Sinne verwenden. Dies erfordert eine umfassendere Überwachung des Netzwerkverkehrs und eine stärkere Betonung der Datensicherheit und des Incident Response Managements.
Ausblick
Der Verzicht auf Verschlüsselung ermöglicht es Angreifern, schnell und effektiv zu agieren, ohne aufwändige Malware-Operationen durchzuführen. Diese Art der Bedrohung stellt eine erhebliche Herausforderung für die Erkennung und Reaktion dar, da traditionelle Sicherheitsmaßnahmen, die auf die Erkennung von Verschlüsselungsaktivitäten ausgerichtet sind, möglicherweise nicht greifen. Unternehmen müssen ihre Sicherheitsstrategien anpassen, um solche unkonventionellen Angriffsmuster frühzeitig erkennen und abwehren zu können.
Im Ausblick ebenfalls zu erwähnen sind Lieferketten:
Es wird detailliert auf die wachsende Bedrohung durch Ransomware-Angriffe eingegangen, die zunehmend IT- und physische Lieferketten ins Visier nehmen. Hier sind einige Kernpunkte zur Thematik der Supply-Chains:
- Zunehmende Häufigkeit und Raffinesse: Ransomware-Gruppen adaptieren ihre Taktiken und Geschäftsmodelle, um auf Änderungen in der Cybersicherheit zu reagieren und neue Wege zu finden, Geld von Unternehmen und öffentlichen Einrichtungen zu erpressen. Insbesondere wird die IT-Lieferkette als Angriffsziel ausgewählt, da sie oft Zugang zu sensiblen und umfangreichen Daten bietet.
- Massenhafte Ransomware-Angriffe: 2023 erlebte mehrere große Ransomware-Angriffe, bei denen Angreifer Schwachstellen in Software und IT-Lieferketten ausnutzten, um multiple Unternehmen gleichzeitig zu treffen. Beispiele sind Angriffe durch die Gruppe Clop, die eine „Zero-Day“-Schwachstelle im MOVEit-Dateiübertragungssoftware ausnutzte, um Daten von Unternehmen und öffentlichen Organisationen zu stehlen.
- Lieferketten als etablierte Methode im Ransomware-Handbuch: Angriffe, die Lieferketten ausnutzen, sind nicht neu, haben sich jedoch zu einem festen Bestandteil des Repertoires von Ransomware-Banden entwickelt. Diese Gruppen zielen vermehrt auf Unternehmen in der IT-Lieferkette sowie auf Unternehmen, die sensible Daten in physischen Lieferketten halten, um Erpressungszahlungen von mehreren Unternehmen gleichzeitig zu fordern.
- Interkonnektivität und Abhängigkeiten: Versicherungen müssen die Verflechtungen und Abhängigkeiten verstehen, die zwischen Unternehmen und innerhalb digitaler Lieferketten bestehen. Massenhafte Ransomware-Angriffe, wie der MOVEit-Angriff, heben die Bedeutung dieses Verständnisses hervor, da sie gleichzeitig mehrere Ansprüche auslösen können.
- Schwächen in der Cybersicherheit: Oftmals weisen IT-Anbieter, von denen man annimmt, dass sie über ausgefeilte Cybersicherheitsmaßnahmen verfügen, tatsächlich Schwächen auf. Diese Schwachstellen machen es großen Angreifergruppen leichter, interessante Daten zu erlangen oder Zugang zu anderen Unternehmen zu erhalten, was die Wahrscheinlichkeit von Erpressungszahlungen oder zukünftigen Angriffen erhöht.
Natürlich taucht auch das Thema künstliche Intelligenz auf, die Technologie kann schließlich auf beiden Seiten genutzt werden: So nutzen Bedrohungsakteure KI zunehmend, um Angriffe zu automatisieren und zu beschleunigen („Automatisierung von Angriffen„). Dies beinhaltet die Entwicklung effektiverer, KI-gestützter Malware und Phishing-Methoden. KI-basierte Sprachmodelle wie ChatGPT werden dabei von weniger technisch versierten Angreifern verwendet, um eigenen Code zu schreiben oder neue Varianten bestehender Ransomware zu erstellen. Dies erhöht die Anzahl potenzieller Angriffe.
Aber: KI kann natürlich auch zur Verbesserung der Cybersicherheit eingesetzt werden, indem sie schnellere und effektivere Erkennung und Bedrohungsanalyse ermöglicht. Investitionen in KI-getriebene Erkennungstools sind wichtig, da sie helfen können, Angriffe in frühen Stadien zu erkennen und so schwerwiegendere Vorfälle zu vermeiden. Es wird erwartet, dass die Nutzung von KI durch Cyberkriminelle weiter (drastisch) zunehmen wird, was noch stärkere Cybersicherheitsmaßnahmen erforderlich macht. KI bietet im Gegenzug Potenziale zur Entwicklung neuer Techniken zum Stehlen oder Verfälschen von Daten, was die Notwendigkeit für Unternehmen unterstreicht, ihre Sicherheitssysteme kontinuierlich zu aktualisieren und anzupassen.
Fazit
Angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft ist es für Unternehmen unerlässlich, ihre Cybersicherheitsstrategien fortlaufend zu überdenken und anzupassen.
Der Bericht von Allianz Commercial unterstreicht die Notwendigkeit einer proaktiven Haltung und der Investition in fortschrittliche Erkennungssysteme und Reaktionsstrategien, um potenzielle Schäden durch Cyberangriffe zu minimieren. Die Bedrohung durch Ransomware, insbesondere durch neue Techniken wie Angriffe ohne Verschlüsselung, erfordert eine umfassende Vorbereitung und eine flexible Anpassung an neue Sicherheitsherausforderungen.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024