Einiges tut sich auf dem Markt der Ransomware, allerdings ist eine Entspannung nicht in Sicht – dafür sind die Aussichten, mit Ransomware gutes Geld „zu verdienen“ schlicht zu hoch. Und es zeigt sich schon länger, dass Cyberkriminelle verstanden haben, auf dem Weg am besten zu verdienen.
Während die Welle um Emotet zu Ende zu sein scheint, mehren sich die Gerüchte, dass GandCrab seinen Nachfolger in „REvil“ (auch „Sodinokibi“) gefunden hat und weiter wütet (zusammenfassender Bericht zu all dem bei Heise und ZDNET). Das Interessante dabei wäre die theatralische Verabschiedung von GandCrab und die Frage, was die Show soll – ob man hier einfach Zäsuren schaffen möchte, um im Fall des Auffliegens nur einzelne Tatabschnitte sich selbst zuordnen zu lassen klingt kriminologisch schlau, ich bezweifle aber, dass man ersthaft derart strategisch denkt. Ein Auflösen und teilweise Neugründen der bisherigen Hacker-Formation erscheint da eher vorstellbar.
Die wichtige Erkenntnis ist zum einen, dass Ransomware fortan ein „heisses“ Thema bleibt, wobei statistisch 3/4 der Angriffe per Mail ausgerollt werden. Im November 2019 berichtete ZDENT auch erneut, dass Ransomware massiv als Bedrohung zugenommen hat. Weiterhin besonders beliebt als Angriffszenario für Unternehmen ist das Zusenden von Bewerbungen, da hier naturgemäß Anhänge vorhanden sind und Personalabteilungen immer noch zu sorglos damit umgehen. Die Hausinterne Schulung sollte daher bei den Abwehrmaßnahmen ganz oben stehen, noch vor dem Umsetzen technischer Maßnahmen wie Mail-Scanner.
Die vergangenen Monate zeigen, dass diese Angriffsmethode per Ransomware keineswegs nur grosse Unternehmen trifft – als Ziel kamen und kommen jegliche Betriebe in Betracht. Aus meiner Sicht kann der Rat nur dringend lauten, sofort eine geeignete Backup-Strategie zu entwickeln, die in jedem Fall rotierende Backups vorsieht, die physisch getrennt zum Hauptsystem aufbewahrt werden (und Chroniken vorhalten). In den nächsten Monaten wird es nicht ruhiger werden, sondern die Angriffsobjekte werden sich verschieben – wenn zunehmend Kliniken abgesichert sind, werden bevorzugt andere Gewerbezweige folgen, besonders beliebt dürften dabei diejenigen sein, die sensible und kurzfristig benötigte Daten vorhalten, wie etwa Apotheken und Ärzte.
Aktuelle Varianten 2019, die Beachtung verdienen:
- Eine sehr perfide Variante ist aktuell die Version „GermanWiper“, die nachhaltig vorhandene Daten löscht und bei Zahlung eines Betrages den Rückerhalt der Daten in Aussicht stellt – tatsächlich aber ist die Rettung der Daten laut Heise nur noch durch ein eigenes Backup möglich, die Zahlung also vollkommen Unsinnig.
- Es verbreitet sich eine Schad-Software, die gezielt eine Sicherheitslücke in Kombination von PHP-FPM/nginx ausnutzt um Nextcloud-Instanzen anzugreifen. Das Risiko ist enorm, wie inzwischen auch Heise berichtet, der einfachste Weg dürfte sein, nginx auf Nextcloud-Instanzen zu deaktivieren.
- Eine hochinteressante Schadsoftware ist die bisher nicht bekannte „Purelocker„, die zielgerichtet Server in Unternehmen angreift und in Purebasic geschrieben wurde (dazu auch ZDNET).
Beachten Sie dazu auch:
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024