Aktuelle Ransomware-Angriffe zeigen, dass Cyberkriminelle ihre Strategie ändern: Sie gehen weg von einer reinen Verschlüsselung hin zu zielgerichteten Attacken mit der Drohung, vertrauliche Daten zu veröffentlichen, sollte das geforderte Lösegeld nicht gezahlt werden. Zu diesem Schluss kommen die Experten von Kaspersky durch die Analyse [1] der beiden Ransomware-Familien Ragnar Locker und Egregor.Aktuelle Ransomware-Angriffe zeigen, dass Cyberkriminelle ihre Strategie ändern: Sie gehen weg von einer reinen Verschlüsselung hin zu zielgerichteten Attacken mit der Drohung, vertrauliche Daten zu veröffentlichen, sollte das geforderte Lösegeld nicht gezahlt werden. Zu diesem Schluss kommen die Experten von Kaspersky durch die Analyse [1] der beiden Ransomware-Familien Ragnar Locker und Egregor.

Kompromittierungen mit Lösegeldforderungen, so genannte Ransomware-Angriffe, gehören landläufig zu den ernstzunehmenderen Angriffsszenarien [2]. Sie können nicht nur kritische Geschäftsabläufe stören, sondern auch zu massiven finanziellen Verlusten, in einigen Fällen sogar zum Bankrott der betroffenen Organisation durch Strafzahlungen und rechtliche Klagen führen. So haben Angriffe wie beispielsweise die durch WannaCry [3] schätzungsweise mehr als 4 Milliarden Dollar an finanziellen Verlusten verursacht. Neuere Ransomware-Kampagnen ändern jedoch ihren Modus Operandi: Sie drohen damit, gestohlene Firmeninformationen an die Öffentlichkeit zu bringen. Zwei bekannte Vertreter dieser neuen Art von Ransomware: Ragnar Locker und Egregor 

Vorgehensweise von Ragnar Locker und Egregor

Ragnar Locker [4] wurde im Jahr 2019 entdeckt, erreichte aber erst in der ersten Hälfte des Jahres 2020 Bekanntheit, als große Unternehmen angegriffen wurden. Die Attacken sind sehr zielgerichtet, wobei jede schädliche Aktivität auf das beabsichtigte Opfer zugeschnitten ist. Dabei werden vertrauliche Informationen der Unternehmen, die sich weigern zu zahlen, auf der "Wall of Shame"-Seite der Cyberkriminellen veröffentlicht. Wenn das Opfer mit den Angreifern kommuniziert und sich dann weigert zu zahlen, wird dieser Chat ebenfalls veröffentlicht. Die Hauptziele sind Unternehmen in den USA aus verschiedenen Branchen. Im vergangenen Juli gab Ragnar Locker bekannt, dem Maze-Ransomware-Kartell [5] beigetreten zu sein. Dies bedeutet, dass es seitdem zu einem Austausch gestohlener Informationen und einer konkreten Zusammenarbeit zwischen beiden gekommen ist. Maze hat sich 2020 zu einer der bekanntesten Ransomware-Familien entwickelt. 

Egregor wurde erstmals im vergangenen September entdeckt. Die Malware verwendet viele identische Taktiken und teilt zudem Code-Ähnlichkeiten mit Maze. Sie wird in der Regel durch einen Einbruch in das Netzwerk implementiert; sobald die Daten des Zielunternehmens herausgefiltert wurden, bekommt das Opfer 72 Stunden Zeit, um das Lösegeld zu zahlen, bevor die gestohlenen Informationen veröffentlicht werden. Wenn die betroffene Organisation die Zahlung verweigert, veröffentlichen die Angreifer den Namen und Links zum Download der vertraulichen Unternehmensdaten auf ihrer Leak-Seite.

Der Angriffsradius von Egregor ist dabei wesentlich größer als von Ragnar Locker. Die hinter dieser Ransomware stehenden Cyberkriminellen haben Opfer in ganz Nordamerika, Europa und Teilen der APAC-Region ins Visier genommen.

"Wir erleben gerade einen Anstieg von Ransomware 2.0, das heißt, Angriffe werden immer zielgerichteter und der Schwerpunkt liegt nicht mehr nur auf der Verschlüsselung vertraulicher Daten, sondern auf dem Konzept diese online zu veröffentlichen", kommentiert Dmitry Bestuzhev, Leiter des Global Research and Analysis Team (GReAT) Lateinamerika bei Kaspersky. Dadurch wird nicht nur der Ruf eines Unternehmens gefährdet, sondern es besteht auch die Gefahr von Klagen, wenn die veröffentlichten Daten gegen Vorschriften wie den HIPAA (Health Insurance Portability and Accountability Act) oder die DSVGO verstoßen. Es steht also mehr auf dem Spiel als nur ein finanzieller Verlust."

"Deshalb dürfen Unternehmen Bedrohungen durch Ransomware nicht mehr nur eindimensional als nur eine Art von Malware betrachten", fügt Fedor Sinitsyn, Sicherheitsexperte bei Kaspersky, hinzu. "Tatsächlich ist die Ransomware häufig nur die letzte Stufe einer Netzwerk-Kompromittierung. Zu dem Zeitpunkt an dem eine Erpressungssoftware ausgeführt wird, hat der Angreifer bereits vorab das gesamte Netzwerk durchforstet, vertrauliche Daten identifiziert und diese extrahiert. Es ist wichtig, dass Unternehmen die gesamte Palette der bewährten Verfahren für Cybersicherheit umsetzen. Eine frühzeitige Erkennung von Cyberattacken, bevor die Angreifer ihr avisiertes Ziel erreichen, kann Unternehmen viel Geld sparen."

Kaspersky-Tipps zum Schutz vor Ransomware-Angriffen

. Fernzugriffstools/Remotedesktopdienste wie RDP sollten nicht in öffentlichen Netzwerken verwendet werden.

. Für jedes Konto beziehungsweise jeden Dienst ein einzigartiges starkes Passwort verwenden. Ein sicheres Passwort besteht aus mindestens 16 Zeichen sowie einer Kombination aus Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen.

. Software auf verwendeten Geräten regelmäßig aktualisieren, um so Sicherheitslücken zu schließen. Spezielle Patch-Management-Lösungen erkennen automatisch Sicherheitslücken, downloaden Patches und installieren sie. Dies gilt auch für kommerzielle VPN-Lösungen, die Remote-Mitarbeitern Zugriff gewähren und als Gateways im Netzwerk fungieren.

. E-Mail-Anhänge oder Nachrichten von unbekannten Personen sollten stets mit Vorsicht behandelt werden; im Zweifelsfalls diese nicht öffnen. 

. Dedizierte Sicherheitslösungen wie Kaspersky Endpoint Detection and Response [6] und Kaspersky Managed Detection and Response [7] verwenden, um Angriffe frühzeitig zu identifizieren und zu stoppen.

. Die Verteidigungsstrategie sollte darauf ausgelegt sein, seitliche Bewegungen und Datenexfiltration ins Internet zu erkennen. Hierbei besonders auf den ausgehenden Verkehr achten, um cyberkriminelle Aktivitäten zu erkennen. 

. Regelmäßig Back-ups aller Daten erstellen.

. Mitarbeiter sollten in IT-Sicherheit geschult werden. Spezielle Schulungskurse wie Kaspersky Automated Security Awareness Platform [8] helfen dabei, Mitarbeiter für aktuelle Cyberbedrohungen zu sensibilisieren. Eine kostenfreie Probelektion steht zur Verfügung [9].

. Für persönliche Geräte sollte eine zuverlässige Sicherheitslösung wie Kaspersky Security Cloud [10] verwendet werden, die vor Malware schützt, die Dateien verschlüsselt, und die von böswilligen Anwendungen vorgenommene Änderungen rückgängig macht.

. Unternehmen können Ihren Schutz mit dem kostenlosen Anti-Ransomware-Tool für Unternehmen von Kaspersky [10] optimieren. Die aktualisierte Version enthält eine Funktion zur Exploit-Verhinderung, um zu verhindern, dass Ransomware und andere Bedrohungen Schwachstellen in Software und Anwendungen ausnutzen. Dies ist auch für Kunden hilfreich, die Windows 7 verwenden: Mit dem Ende der Unterstützung für Windows 7 werden neue Schwachstellen in diesem System vom Entwickler nicht behoben.

. Für einen übergeordneten Schutz eine Endpunktsicherheitslösung wie Integrated Endpoint Security [11] verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Remediation-Engine basiert. Sie ist in der Lage, bösartige Aktionen rückgängig zu machen.

Weitere Informationen zu Ransomware 2.0 unter https://securelist.com/… 

[1] https://securelist.com/targeted-ransomware-encrypting-data/99255/

[2] https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/05/12075747/KSN-article_Ransomware-in-2018-2020-1.pdf 

[3] https://www.kaspersky.de/resource-center/threats/ransomware-wannacry

[4] https://securelist.com/targeted-ransomware-encrypting-data/99255/ 

[5] https://www.kaspersky.de/blog/ransomware-data-disclosure/22136/

[6] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr 

[7] https://www.kaspersky.de/enterprise-security/managed-detection-and-response 

[8] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform 

[9] https://ransomware.k-asap.com/… [10] https://www.kaspersky.de/… [11] https://www.kaspersky.de/small-to-medium-business-security/endpoint-security-solution 

Nützliche Links:

Über die Kaspersky Labs GmbH

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.de/

Firmenkontakt und Herausgeber der Meldung:

Kaspersky Labs GmbH
Despag-Straße 3
85055 Ingolstadt
Telefon: +49 (841) 98189-0
Telefax: +49 (841) 98189-100
http://www.kaspersky.de

Ansprechpartner:
Sarah Schönhöffer
Berkeley Kommunikation GmbH
Telefon: +49 (89) 747262-42
E-Mail: sarah.schoenhoeffer@berkeleypr.com
Anne Mickler
Telefon: +49 (841) 98189-322
Fax: +49 (841) 98189-100
E-Mail: anne.mickler@kaspersky.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel