Ransomware-Viren entwickeln sich wie andere Arten von Malware im Laufe der Jahre weiter und verändern sich – von einfachen Schließfächern, die den Benutzer daran hinderten, sich in das System einzuloggen, über „Polizei“-Ransomware, die wegen fiktiver Gesetzesverstöße mit einer Strafverfolgung drohte, kamen wir zu Verschlüsselungsprogrammen. Diese Malware verschlüsselt Dateien auf Festplatten (oder ganzen Laufwerken) und verlangt ein Lösegeld nicht für die Wiederherstellung des Zugriffs auf das System, sondern dafür, dass die Benutzerinformationen nicht gelöscht, im Darknet verkauft oder online der Öffentlichkeit zugänglich gemacht werden . Darüber hinaus ist die Zahlung des Lösegelds keineswegs eine Garantie für den Erhalt des Schlüssels zum Entschlüsseln der Dateien. Und nein, das sei „schon vor hundert Jahren passiert“, aber es sei immer noch eine aktuelle Bedrohung.
Angesichts des Erfolgs von Hackern und der Rentabilität dieser Art von Angriffen gehen Experten davon aus, dass ihre Häufigkeit und ihr Einfallsreichtum in Zukunft nur noch zunehmen werden. Von Laut Cybersecurity Ventures griffen Ransomware-Viren im Jahr 2016 etwa alle 40 Sekunden Unternehmen an, im Jahr 2019 geschieht dies alle 14 Sekunden und im Jahr 2021 wird die Häufigkeit auf einen Angriff alle 11 Sekunden ansteigen. Bemerkenswert ist, dass das geforderte Lösegeld (insbesondere bei gezielten Angriffen auf große Unternehmen oder städtische Infrastruktur) in der Regel um ein Vielfaches geringer ausfällt als der durch den Angriff verursachte Schaden. So verursachte der Angriff im Mai auf Regierungsgebäude in Baltimore, Maryland, USA, Schäden in Höhe von mehr als XNUMX US-Dollar , wobei die von den Hackern angegebene Lösegeldsumme 76 Dollar in Bitcoin-Äquivalenten beträgt. A , Georgia, kostete die Stadt im August 2018 17 Millionen US-Dollar, bei einem geforderten Lösegeld von 52 US-Dollar.
Die Spezialisten von Trend Micro haben in den ersten Monaten des Jahres 2019 Angriffe mit Ransomware-Viren analysiert. In diesem Artikel werden wir über die wichtigsten Trends sprechen, die die Welt im zweiten Halbjahr erwarten.
Ransomware-Virus: ein kurzes Dossier
Die Bedeutung des Ransomware-Virus geht bereits aus seinem Namen hervor: Hacker drohen damit, vertrauliche oder wertvolle Informationen für den Benutzer zu zerstören (oder umgekehrt zu veröffentlichen) und fordern damit ein Lösegeld für die Rückgabe des Zugriffs darauf. Für normale Nutzer ist ein solcher Angriff unangenehm, aber nicht kritisch: Der drohende Verlust einer Musiksammlung oder Fotos aus dem Urlaub der letzten zehn Jahre garantiert keine Lösegeldzahlung.
Für Organisationen sieht die Situation völlig anders aus. Jede Minute geschäftlicher Ausfallzeit kostet Geld, sodass der Verlust des Zugriffs auf ein System, Anwendungen oder Daten für ein modernes Unternehmen gleichbedeutend mit Verlusten ist. Aus diesem Grund hat sich der Schwerpunkt der Ransomware-Angriffe in den letzten Jahren allmählich von der Abwehr von Viren hin zur Reduzierung der Aktivität und hin zu gezielten Angriffen auf Organisationen in Tätigkeitsbereichen verlagert, in denen die Chance auf ein Lösegeld und dessen Höhe am größten sind. Im Gegenzug versuchen Unternehmen, sich vor Bedrohungen vor allem auf zwei Arten zu schützen: durch die Entwicklung von Möglichkeiten zur effektiven Wiederherstellung von Infrastruktur und Datenbanken nach Angriffen und durch die Einführung modernerer Cyber-Abwehrsysteme, die Malware erkennen und umgehend zerstören.
Um auf dem Laufenden zu bleiben und neue Lösungen und Technologien zur Bekämpfung von Malware zu entwickeln, analysiert Trend Micro kontinuierlich die Ergebnisse seiner Cybersicherheitssysteme. Laut Trend Micro Die Situation bei Ransomware-Angriffen in den letzten Jahren sieht folgendermaßen aus:
Wahl des Opfers im Jahr 2019
In diesem Jahr sind Cyberkriminelle deutlich selektiver bei der Auswahl ihrer Opfer geworden: Sie haben es auf Organisationen abgesehen, die weniger geschützt sind und bereit sind, eine hohe Summe zu zahlen, um den normalen Betrieb schnell wiederherzustellen. Aus diesem Grund wurden seit Jahresbeginn bereits mehrere Angriffe auf Regierungsstrukturen und die Verwaltung großer Städte registriert, darunter Lake City (Lösegeld – 530 US-Dollar) und Riviera Beach (Lösegeld – 600 US-Dollar). .
Aufgeschlüsselt nach Branchen sehen die Hauptangriffsvektoren wie folgt aus:
— 27 % — Regierungsbehörden;
— 20 % — Produktion;
— 14 % — Gesundheitswesen;
— 6 % — Einzelhandel;
— 5 % — Bildung.
Cyberkriminelle nutzen häufig OSINT (Public Source Intelligence), um sich auf einen Angriff vorzubereiten und dessen Rentabilität einzuschätzen. Durch das Sammeln von Informationen verstehen sie das Geschäftsmodell des Unternehmens und die Reputationsrisiken, denen es durch einen Angriff ausgesetzt sein kann, besser. Hacker suchen auch nach den wichtigsten Systemen und Subsystemen, die mithilfe von Ransomware-Viren vollständig isoliert oder deaktiviert werden können – dies erhöht die Chance, ein Lösegeld zu erhalten. Zu guter Letzt wird der Zustand der Cybersicherheitssysteme beurteilt: Es macht keinen Sinn, einen Angriff auf ein Unternehmen zu starten, dessen IT-Spezialisten ihn mit hoher Wahrscheinlichkeit abwehren können.
Auch im zweiten Halbjahr 2019 wird dieser Trend noch aktuell sein. Hacker werden neue Betätigungsfelder finden, in denen die Störung von Geschäftsprozessen zu maximalen Verlusten führt (z. B. Verkehr, kritische Infrastruktur, Energie).
Penetrations- und Infektionsmethoden
Auch in diesem Bereich finden ständig Veränderungen statt. Die beliebtesten Tools bleiben Phishing, bösartige Werbung auf Websites und infizierten Internetseiten sowie Exploits. Gleichzeitig ist der wichtigste „Komplize“ der Angriffe immer noch der Mitarbeiterbenutzer, der diese Websites öffnet und Dateien über Links oder E-Mail herunterlädt, was zu einer weiteren Infektion des gesamten Unternehmensnetzwerks führt.
In der zweiten Jahreshälfte 2019 werden diese Tools jedoch hinzugefügt:
- Aktiverer Einsatz von Angriffen mittels Social Engineering (ein Angriff, bei dem das Opfer freiwillig die vom Hacker gewünschten Aktionen ausführt oder Informationen preisgibt, beispielsweise in dem Glauben, dass es mit einem Vertreter der Geschäftsführung oder einem Kunden der Organisation kommuniziert), was die Sammlung von Informationen über Mitarbeiter aus öffentlich zugänglichen Quellen vereinfacht;
- Verwendung gestohlener Zugangsdaten, beispielsweise Logins und Passwörter für Fernverwaltungssysteme, die im Darknet erworben werden können;
- Physisches Hacken und Eindringen, das es Hackern vor Ort ermöglicht, kritische Systeme zu entdecken und die Sicherheit zu umgehen.
Methoden zum Verstecken von Angriffen
Dank der Fortschritte in der Cybersicherheit, darunter Trend Micro, ist die Erkennung klassischer Ransomware-Familien in den letzten Jahren viel einfacher geworden. Technologien für maschinelles Lernen und Verhaltensanalyse helfen dabei, Malware zu erkennen, bevor sie in ein System eindringt. Daher müssen Hacker alternative Wege finden, um Angriffe zu verbergen.
Fachleuten auf dem Gebiet der IT-Sicherheit und neuen Technologien von Cyberkriminellen ist bereits bekannt, dass sie darauf abzielen, Sandboxen zur Analyse verdächtiger Dateien und maschineller Lernsysteme zu neutralisieren, dateilose Malware zu entwickeln und infizierte lizenzierte Software zu verwenden, einschließlich Software von Cybersicherheitsanbietern und verschiedenen Remote-Diensten mit Zugriff darauf das Netzwerk der Organisation.
Schlussfolgerungen und Empfehlungen
Generell lässt sich sagen, dass im zweiten Halbjahr 2019 eine hohe Wahrscheinlichkeit gezielter Angriffe auf große Organisationen besteht, die in der Lage sind, hohe Lösegelder an Cyberkriminelle zu zahlen. Allerdings entwickeln Hacker nicht immer selbst Hacking-Lösungen und Malware. Einige von ihnen, zum Beispiel das berüchtigte GandCrab-Team, haben es bereits getan , die rund 150 Millionen US-Dollar verdient haben, arbeiten weiterhin nach dem RaaS-System (Ransomware-as-a-Service oder „Ransomware-Viren als Service“, analog zu Antiviren- und Cyber-Abwehrsystemen). Das heißt, die Verbreitung erfolgreicher Ransomware und Krypto-Locker erfolgt in diesem Jahr nicht nur durch deren Ersteller, sondern auch durch „Mieter“.
Unter solchen Bedingungen müssen Unternehmen ihre Cybersicherheitssysteme und Datenwiederherstellungsprogramme im Falle eines Angriffs ständig aktualisieren, denn der einzige wirksame Weg zur Bekämpfung von Ransomware-Viren besteht nicht darin, ein Lösegeld zu zahlen und ihren Urhebern eine Gewinnquelle zu entziehen.
Source: habr.com