Malware zur Miete

Vorsicht vor Ransomware as a Service

Welches neue Monetarisierungsmodell hinter Ransomware as a Service steckt, erklärt Srinivasan CR, Senior Vice President bei Tata Communications, im Interview.

Neu im Darknet: Ransomware as a Service

Hinter Ransomware-as-a-Service (RaaS) verbirgt sich ein neues Monetarisierungsmodell für Schad-Software.

IT-DIRECTOR: Aus welchen Gründen konnten Ransomware-Attacken Petya und Wanna Cry so erfolgreich verlaufen?
S. CR:
Einer der Hauptgründe ist, dass Unternehmen die Implementierung von Sicherheits-Patches und -Updates oft in die Länge ziehen. Theoretisch hätten die Auswirkungen von Wanna Cry minimal sein sollen, da Microsoft bereits im März dieses Jahres einen Patch für diese Sicherheitslücke bereitgestellt hatte. Nach unseren Schätzungen haben allerdings nur zehn bis 15 Prozent der Unternehmen weltweit das wichtige Update auch installiert. Die Mehrheit der Unternehmen musste darum in einem Notfallverfahren die Patches implementieren.

Nur allzu oft müssen IT-Abteilungen auf die Genehmigung von in der Hierarchie höher gestellten Abteilungen warten, bevor sie wichtige Updates installieren können. CFOs mögen bei der Genehmigung von Updates etwas zögerlich sein, da diese Ausfallzeiten von Anwendungen innerhalb unternehmenskritischer Zeiträume nach sich ziehen könnten. Ein Sicherheitsupdate zu verzögern, mag kurzfristig einen Vorteil bringen, aber – wie Wanna Cry nachdrücklich bewiesen hat – eine langfristige Verwundbarkeit bedeuten.

IT-DIRECTOR: Welche Sicherheitslücken – über die Schwachstellen in Windows-Betriebssystemen hinaus – nutzen die Angreifer weiterhin für Ransomware-Attacken aus?
S. CR:
Ransomware-Angriffe nutzen häufig auch andere Software-Sicherheitslücken, um eine Organisation zu infiltrieren. Adobe Flash beispielsweise war in der Vergangenheit ein oft genutztes Einfallstor für Ransomware. Einige der aktuellen Malware nutzt z.B. das HTTPS-Protokoll, indem Ransomware versteckt in Codes von Werbeanzeigen auf Webseiten verbreitet wird, die nicht immer für Anti-Virus-Programme aufspürbar sind. Der Faktor Mensch bleibt ebenfalls ein wichtiger Punkt: Zugang zu Firmennetzwerken sind üblicherweise passwortgeschützt. Doch nur zu oft sind diese Passwörter zu einfach für Hacker und ihre auf Künstlicher Intelligenz (KI) basierten Werkzeuge zu knacken. Nur rund ein Prozent der Menschen nutzen Passwörter, die schwer zu erraten oder zu entschlüsseln sind. Der Rest nutzt Wörter, die erkennbare Muster haben oder einfach zu kurz und einfach sind. Schwache Passwörter sind eine offene Einladung für Hacker, um IT-Systeme zu infiltrieren.

IT-DIRECTOR: Welche Höhe betragen die Lösegelder in der Regel?
S. CR:
Die Lösegelder variieren von Fall zu Fall, betragen üblicherweise rund 300 bis 600 US-Dollar pro infiziertem Gerät, was sich für große Organisationen schnell zu einer Lawine an Forderungen auftürmen kann. Doch mit steigendem Erfolg immer raffinierter werdender Angriffe und daraus resultierender steigender Verzweiflung der Unternehmen, sind auch die Lösegeldforderungen in den letzten Jahren rapide angestiegen. Daten aus 2015 und 2016 zeigen, dass der Durchschnittsbetrag um 266 Prozent angestiegen ist. Somit ist Ransomware zu einem äußerst profitablen Geschäft für Cyber-Kriminelle geworden. Auf der anderen Seite müssen Unternehmen unter der EU-Datenschutzverordnung bis zu vier Prozent ihres weltweiten Umsatzes oder 20 Millionen Euro zahlen müssen, wenn die Behörden entscheiden, dass die nötigen Vorkehrungen in Sachen Schutz der IT-Systeme nicht getroffen wurden. Wie auch immer man das Problem Ransomware betrachtet, kann es für Unternehmen also sehr teuer werden.

IT-DIRECTOR: Wie sollten Nutzer und Firmenverantwortliche reagieren, wenn sie Opfer von Erpresser-Software werden?
S. CR:
Kommunikation ist entscheidend: Wenn das IT-Team sofort informiert wird, kann meistens verhindert werden, dass sich der Virus innerhalb des Unternehmens ausbreitet wie ein Lauffeuer. Die Reaktion muss schnell und entschieden erfolgen – mit dem Fokus, infizierte Systeme und Netzwerke zu isolieren. Unternehmen sollten hierfür erfahrenes Personal auf Stand-by haben, um Schwachstellen schnell identifizieren zu können. Ebenso sollten sie ihre Mitarbeiter über finanzielle und Image-Schäden einer nicht entdeckten Attacke aufklären. Für viele Unternehmen ist der beste und kosteneffizienteste Weg, mit einem spezialisierten Managed Security Services Provider zusammenzuarbeiten, der die IT-Abteilung bei der richtigen Reaktion auf Attacken unterstützten kann. In unmittelbarer Nachverfolgung ist auch die Kommunikation innerhalb der Organisation kritisch – regelmäßige Aktualisierungen der Benutzerbasis werden bei der Klärung von Aufklärungsmaßnahmen helfen und die Mitarbeiter und Kollegen auf dem neuesten Stand halten.

IT-DIRECTOR: Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
S. CR:
Es gibt keine Garantie, dass Unternehmen nach Zahlung der Lösegeldforderung den Betrieb wieder normal aufnehmen können. Die Organisationen sind den Cyber-Kriminellen während einer Attacke ausgeliefert. Manchmal zahlt ein Unternehmen die geforderte Summe, erhält aber dennoch keinen Entschlüsselungscode – und wurde damit gleich zweimal betrogen. Wenn ein Unternehmen nicht zahlt, bleiben ihre Anwendungen und Daten verschlüsselt. Der einzige Weg, der ihnen dann noch bleibt, ist sich auf das letzte gute Backup zu verlassen. Dieser Wiederherstellungsprozess benötigt zwar Zeit, macht Unternehmen aber unabhängig von den Hackern.

IT-DIRECTOR: Mittlerweile hört man immer wieder von „Ransomware as a Service“. Was genau steckt dahinter?
S. CR:
Ransomware-as-a-Service (RaaS) ist ein neues Monetarisierungsmodell für Schad-Software, das deren Durchführung einfacher macht. In der Praxis entwickeln Cyber-Kriminelle einen Basiscode für Ransomware, den andere Hacker übernehmen und auf ihre Bedürfnisse zuschneiden können. Im Gegenzug erhalten die Entwickler des Basiscodes eine Art Kommission, die bis zu einem Drittel der „Einnahmen“ durch die Attacke betragen kann. Die große Gefahr dieses neuen Modells ist, dass sie praktisch jedem, der über IT-Grundkenntnisse verfügt, ermöglicht, eine Ransomware-Attacke zu starten. Es wird daher davon ausgegangen, dass sich die Zahl der Attacken in Zukunft noch weiter erhöhen wird.

IT-DIRECTOR: Wo und von wem kann man „Ransomware as a Service“ beziehen? Und ab welchem Preis ist man dabei?
S. CR:
Cyber-Kriminelle nutzen üblicherweise die Anonymität des Darknet, um Ransomware as a Service anzubieten und zu erwerben. Die Transaktion findet über Crypto-Währungen wie Bitcoins statt, wobei der Entwickler der Schadsoftware üblicherweise eine Kommission von etwa 30 Prozent des durch die Attacke eingenommenen Lösegeldes erhält.  

IT-DIRECTOR: Welche Maßnahmen sollten die Verantwortlichen in den Unternehmen in die Wege leiten, um künftig vor Ransomware-Attacken gefeit zu sein?
S. CR:
IT-Entscheidungsträger müssen die Sicherheit ihrer IT im Unternehmen von Grund auf aufbauen, anstatt zu versuchen, sie im Nachhinein durch den Erwerb verschiedenster Sicherheitslösungen für jede neue Bedrohung sicherzustellen. Sie müssen darüber hinaus eine anpassungsfähige Sicherheitsstrategie entwickeln. Dies bedeutet, die grundsätzliche Haltung einer ‘Ad-hoc-Reaktion’ zu einer ‘fortlaufenden Reaktion’ umzuwandeln.

Üblicherweise gibt es vier Stufen einer anpassungsfähigen IT-Sicherheitsstrategie: präventiv, detektiv, retrospektiv und prädiktiv. Präventive Sicherheit umfasst das Abblocken von Attacken, bevor sie die Geschäftsprozesse beeinträchtigen oder es für einen Angreifer so schwierig wie möglich zu machen, Chaos zu verbreiten. Dies verschafft Unternehmen mehr Zeit, eine laufende Attacke abzuwenden. Eine detektive Sicherheitsebene dient dazu, die Zeit zu verringern, die ein Angreifer innerhalb des Systems verbringt, um so den Schaden zu begrenzen. Retrospektive Sicherheit ist ähnlich wie eine Impfung zu verstehen – sie verwandelt Erkenntnisse aus alten Attacken in den Schutz vor zukünftigen Bedrohungen. Prädiktive Sicherheit dagegen fokussiert sich auf externe Netzwerkbedrohungen und überwacht Hacker im Untergrund, um so neue Formen von Angriffen besser vorhersehen zu können.

IT-DIRECTOR: Oder anders gefragt: Wie sieht eine IT-Landschaft aus, die einem erfolgreichen Ransomware-Angriff standhalten und kritische Applikationen und Daten schnell wiederherstellen kann?
S. CR:
Viele Unternehmen nutzen veraltete Methoden, um sich zu schützen, die sich zu sehr auf das Abblocken von Angriffen konzentrieren. Diese Methoden reichen nicht mehr aus, um fortschrittliche Bedrohungen vollständig abwehren zu können. Unternehmen müssen also versuchen, immer einen Schritt voraus zu sein. Der effektivste Weg führt über ein adaptives Sicherheitsmodell, das die IT-Umgebung ständig kontrolliert, um Angriffe zu entdecken, bevor sie in das System eindringen. Dennoch gibt es keine Garantie, sich vollständig vor Angriffen schützen zu können, denn ein unüberwindbares IT-Sicherheitssystem gibt es einfach nicht. Um den Zugang zu Daten und Anwendungen zu beschleunigen, ist die Implementierung von Prozessen für ein „Worst-Case-Szenario“ hilfreich, denen man im Fall der Fälle folgen kann. Dazu gehört natürlich auch eine effektive Backup- und Recovery-Strategie der Daten und Anwendungen. Unternehmen müssen akzeptieren, dass sie nicht jede Cyber-Attacke vorher abwenden können, aber genau wie beim Schach, kann eine gute Strategie ihnen einen gewaltigen Vorteil verschaffen.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok