Experten fordern Widerstandsfähigkeit gegen Ransomware angesichts der Eskalation der Krise

Von Danny Bradbury • 22 October 2024

In Sachen Ransomware waren die letzten Monate sehr arbeitsreich. Ende August warnten mehrere US-amerikanische Cybersicherheitsorganisationen vor einer bösartigen Ransomware-as-a-Service-Gruppe namens RansomHub. Diese kriminelle Organisation, die früher als Cyclops und Knight bekannt war, ist seit Februar dieses Jahres aktiv und sammelt Verbündete aus anderen Gruppen wie LockBit.

RansomHub hat Daten von mindestens 210 Opfern verschlüsselt und gestohlen, so ein Beratung von das US-amerikanische Federal Bureau of Investigation, die Cybersecurity and Infrastructure Security Agency, das Multi-State Information Sharing and Analysis Center und das Department of Health and Human Services. Sie deckten viele Sektoren ab, die die US-Regierung als Teil ihrer kritischen nationalen Infrastruktur betrachtet, darunter Wasser und Abwasser, IT, öffentliche Dienstleistungen, Gesundheitswesen, Notdienste, Lebensmittel und Landwirtschaft sowie Finanzdienstleistungen.

Eine sich entwickelnde Bedrohung

RansomHub entwickelt sich weiter. integriert ein Tool namens EDRKillShifter, das Endpoint Detection Software deaktiviert und es dieser ermöglicht, Systeme erfolgreicher zu infizieren. Ransomware-Partner, die das Tool verwenden, verbreiten sich dann seitlich durch das Zielnetzwerk, infizieren Systeme und exfiltrieren und verschlüsseln Malware in einem doppelten Erpressungsangriff.

Angesichts solcher Bedrohungen, die weiterhin die kritische nationale Infrastruktur plagen, ist es kein Wunder, dass die US-Regierung mehr Lärm als je zuvor über die Bedrohung durch Ransomware macht. In diesem Monat warnte der nationale Cyber-Direktor Harry Coker vor der zunehmenden Bedrohung durch Ransomware-Angriffe. Das Weiße Haus war außerdem Gastgeber des vierten Gipfels der International Counter Ransomware Initiative, an dem 68 Länder (darunter 18 neue) teilnahmen, um Ransomware auszumerzen.

Beim jüngsten Gipfel wurde ein Fonds zur Bekämpfung von Ransomware eingerichtet, der den Mitgliedsorganisationen helfen soll, ihre Abwehrmaßnahmen gegen Ransomware zu stärken. Außerdem sollen Opfern Anleitungen zum Umgang mit einem Ransomware-Angriff gegeben werden. Anne Neuberger, stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien, warnte Versicherer erneut davor, Lösegeldzahlungen zu finanzieren.

Laura Payne, CEO des kanadischen Cybersicherheitsberatungsunternehmens White Tuque, sagt, dass es eine gute Strategie ist, Zahlungen zu vermeiden. „Sie wissen nicht, an wen das Geld geht, und höchstwahrscheinlich wird es für etwas verwendet, das mit terroristischen Aktivitäten in Verbindung steht. Das bringt Sie aus rechtlicher Sicht in eine gefährliche Lage“, sagt sie.

Neuberger empfahl keine Maßnahmen wie ein völliges Verbot der Finanzierung von Lösegeldzahlungen. Dies könnte jedoch unnötig sein, da die Versicherer durch Ransomware-Forderungen einem zunehmenden finanziellen Druck ausgesetzt sind. berichten Die Cyber-Versicherung Coalition stellte fest, dass die Schadenszahlen im ersten Halbjahr dieses Jahres im Vergleich zum ersten Halbjahr 1 zwar zurückgegangen sind, die Verluste insgesamt jedoch um 2023 % gestiegen sind. Der durchschnittliche Ransomware-Verlust sei um 14 % auf 68 US-Dollar gestiegen.

„Vor ein paar Jahren habe ich in Kanada einen Versicherer darüber sprechen hören. Er meinte, das einzige weniger lukrative Versicherungsgeschäft seien Hagelschäden. Daran sieht man, wie schlimm die Lage ist“, so Payne.

Vorbeugung ist besser als Heilung

Natürlich ist Vorbeugen besser als Heilen. Wie können sich Organisationen vor Ransomware-Angriffen schützen? Der RansomHub-Hinweis empfiehlt mehrere Schritte, beginnend mit einem Wiederherstellungsplan und einer Multi-Faktor-Authentifizierung. Er fügt hinzu, dass es auch wichtig ist, alle Software und Firmware auf dem neuesten Stand zu halten, um Ransomware zu blockieren, die bekannte Schwachstellen ausnutzt.

Da sich Ransomware-Eindringlinge seitlich in einer Organisation ausbreiten, empfiehlt die Empfehlung auch die Segmentierung von Netzwerken, um Angreifern den einfachen Zugriff auf andere Teile der Infrastruktur zu verwehren.

Die Empfehlung empfiehlt außerdem Passwörter zwischen acht und 64 Zeichen, was den Empfehlungen des NIST entspricht. „Lang ist stark“, stimmt Payne zu. Sie hat auch noch einige andere Ratschläge zur Cyber-Hygiene.

„Verfügen Sie über einen guten Basisschutz und einen hochwertigen Anti-Malware-Dienst“, fügt sie hinzu. Stellen Sie sicher, dass Ihre Netzwerke mit dem aktuellen WLAN-Standard eingerichtet sind, also WPA2 oder WPA3 mit einem Passwort. Verwenden Sie kein öffentliches WLAN und sichern Sie Ihre Daten.“

Die Autoren des Gutachtens empfehlen, diese Backups zu verschlüsseln und unveränderlich zu machen, damit Angreifer sie nicht manipulieren können. Die Pflege von Offline-Backups ist hier eine gute Strategie, aber mehrere Speichersysteme auf dem Markt machen Backup-Daten auf Betriebssystemebene unveränderlich. Unternehmen können für solche Backups auch WORM-Hardware (Write-Once-Read-Many) verwenden, um sie auf Hardwareebene zu schützen.

Die Empfehlung empfiehlt weitere Schutzmaßnahmen, darunter eine sorgfältige Verwaltung interner Berechtigungen. So kann beispielsweise das Deaktivieren vieler Befehlszeilen-Skripttools Angreifer daran hindern, „von der Hand zu gehen“, indem es ihnen ermöglicht, sich seitlich zu bewegen und Daten zu stehlen, ohne Alarm auszulösen.

Das Dokument empfiehlt außerdem, Konten zu überprüfen, um den Zugriff mit den geringsten Berechtigungen sicherzustellen, und den Zugriff für Administratorkonten zeitlich zu begrenzen, um das Angriffsfenster zu schließen. Es warnt Administratoren außerdem, ungenutzte Ports zu deaktivieren und Netzwerküberwachungstools zu verwenden, um ungewöhnliche Aktivitäten zu erkennen und zu verfolgen.

Die Organisationen hinter der Warnung empfehlen außerdem, E-Mails – ein gängiges Übermittlungssystem für Ransomware – zu schützen, indem E-Mails, die von außerhalb der Organisation kommen, mit Bannern versehen und Hyperlinks in allen empfangenen E-Mails deaktiviert werden.

Diese Empfehlungen spiegeln grundlegende Cybersicherheitshygiene wider und sind, wie die Ransomware-Diskussion selbst, seit Jahren im Umlauf. „Ich habe kein Problem damit, sie zu wiederholen“, sagt Payne. Sie muss es tun, ebenso wie Regierungsbehörden, weil so viele Unternehmen nicht zuhören. Solange sie das nicht tun, wird die Krise weitergehen.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 23 October 2025

Warum die Chatbot-Untersuchung der FTC B2B-Unternehmen beunruhigen sollte

Der September war ein Wendepunkt für die Verfechter der KI-Ethik. Die FTC erließ Anordnungen nach Abschnitt 6(b) an sieben große Technologieunternehmen, die Chatbots produzieren …

Danny Bradbury

Internet-Sicherheit 7 October 2025

Safe-Harbor-Überprüfung bedeutet: Business as usual – vorerst

Der September war ein entscheidender Monat für Unternehmen in Europa, die Daten mit den USA austauschen wollten. Das Gericht der Europäischen Union wies eine Klage ab...

Danny Bradbury

Internet-Sicherheit 23 September 2025

Wenn Legacy-Systeme versagen: Lehren aus dem Verstoß gegen das Bundesgericht

Cyberangriffe passieren täglich, aber manche sind besonders erschreckend. Ein Angriff auf das US-amerikanische Gerichtssystem in diesem Sommer hätte jedem einen Schauer über den Rücken jagen sollen...

Danny Bradbury