Wie kann sich Ihr Unternehmen schützen, wenn Ransomware nachts zuschlägt?

Von Phil Muncaster • 3 October 2024

Ransomware ist das Cybersicherheitsthema des letzten Jahrzehnts. Doch im Laufe dieser Zeit haben sich die Taktiken, Techniken und Verfahren (TTPs) der Angreifer entsprechend dem sich ständig weiterentwickelnden Wettrüsten zwischen Angreifern und Netzwerkverteidigern ständig verändert. Da sich historisch gesehen nur wenige Unternehmen, die sich dazu entschließen, ihre Erpresser zu bezahlen, entscheiden, konzentrieren sich Ransomware-Partner auf Geschwindigkeit, Timing und Tarnung.

Die Frage ist: Da die meisten Angriffe heute an Wochenenden und in den frühen Morgenstunden erfolgen, verfügen die Netzwerkverteidiger dann noch über die richtigen Tools und Prozesse, um die Bedrohung einzudämmen? Insbesondere Finanzdienstleister werden dringend eine Antwort auf diese Fragen benötigen, bevor sie die EU-Richtlinien einhalten können. Gesetz zur digitalen operativen Resilienz (DORA).

Von Stärke zu Stärke

Einer der Indikatoren zufolge ist Ransomware weiterhin auf dem Vormarsch. Dieses Jahr dürfte laut einer Analyse von Krypto-Zahlungen an Adressen, die mit Kriminalität in Verbindung stehen, das umsatzstärkste Jahr aller Zeiten werden. Laut einem Bericht des Blockchain-Ermittlers ChainalyseDie „Zuflüsse“ durch Ransomware belaufen sich seit Jahresbeginn auf 460 Millionen US-Dollar, ein Anstieg von rund 2 % gegenüber dem gleichen Zeitraum des Vorjahres (449 Millionen US-Dollar). Das Unternehmen behauptet, dieser Anstieg sei größtenteils auf die „Big Game Hunting“-Taktik zurückzuführen – die Taktik, weniger große Firmen als Opfer zu verfolgen, die möglicherweise eher in der Lage und bereit sind, höhere Lösegeldbeträge zu zahlen. Diese Theorie wird durch eine Zahlung von 75 Millionen US-Dollar durch ein nicht genanntes Unternehmen an die Ransomware-Gruppe Dark Angels Anfang des Jahres bestätigt – die höchste jemals verzeichnete Zahlung.

Insgesamt ist auch die mittlere Lösegeldzahlung für die gängigsten Ransomware-Varianten stark angestiegen – von knapp 200,000 Dollar Anfang 2023 auf 1.5 Millionen Dollar Mitte Juni 2024. Chainalysis zufolge deutet dies darauf hin, „dass diese Varianten vorrangig größere Unternehmen und Anbieter kritischer Infrastrukturen ins Visier nehmen, die aufgrund ihrer tiefen Taschen und ihrer systemischen Bedeutung eher bereit sind, hohe Lösegelder zu zahlen.“

Die offensichtliche Stärke des Ransomware-Ökosystems ist umso beeindruckender, wenn man die Erfolge der Strafverfolgungsbehörden zu Beginn dieses Jahres bedenkt, die zwei große Gruppen zu stören schienen: LockBit und ALPHV/BlackCat. Chainalysis behauptet, diese Bemühungen hätten den Cybercrime-Untergrund etwas fragmentiert, da die Partner zu „weniger effektiven Varianten“ übergegangen seien oder ihre eigenen auf den Markt gebracht hätten. Dies steht im Einklang mit einer Analyse des Ransomware-Spezialisten Coveware aus dem zweiten Quartal 2. welche Ansprüche einen Anstieg der Zahl von „Einzeltäter“-Gruppen beobachtet zu haben, die keiner großen Ransomware-„Marke“ angehören. Viele haben diese Entscheidung „aufgrund der zunehmenden Gefahr von Aufdeckung, Unterbrechung und Gewinneinbußen im Zusammenhang mit ‚toxischen‘ Ransomware-Marken“ getroffen, heißt es.

Unter dem Strich sind diese Bedrohungsakteure jedoch immer noch aktiv. Und da die Zahlungsraten von einem Höchststand von rund 85 % der Opfer im Jahr 2019 auf heute etwa ein Drittel gesunken sind, suchen sie ständig nach Möglichkeiten, ihre Bemühungen effektiver zu gestalten.

Timing ist alles

Ein neuer Bericht von Malwarebytes‘ ThreatDown-Gruppe verrät genau, wie sie das erreichen wollen. Sie behauptet, dass im vergangenen Jahr mehr Ransomware-Gruppen ihre Opfer an Wochenenden und in den frühen Morgenstunden angegriffen haben. Das Bedrohungsteam hat die meisten Angriffe zwischen 1 und 5 Uhr Ortszeit abgewehrt.

Der Grund liegt auf der Hand: Die Bedrohungsakteure hoffen, ein Unternehmen zu erwischen, wenn dessen IT-Team tief und fest schläft oder am Wochenende seine Batterien auflädt.

Darüber hinaus behauptet der Bericht, dass die Angriffe schneller werden. Bereits im Jahr 2022 Splunk-Studie testete 10 Top-Ransomware-Varianten und fand heraus, dass die durchschnittliche Geschwindigkeit für die Verschlüsselung von 100,000 Dateien nur 43 Minuten betrug, wobei LockBit mit nur vier Minuten am schnellsten war. Was Malwarebytes jedoch beobachtet, ist eine Beschleunigung der gesamten Angriffskette – vom ersten Zugriff über die laterale Bewegung, Datenexfiltration und schließlich die Verschlüsselung. Das gibt übermüdeten Netzwerkverteidigern noch weniger Zeit, zu reagieren und eine Bedrohung einzudämmen, bevor es zu spät ist.

Der Bericht behauptet auch, dass immer mehr böswillige Akteure Living Off the Land (LOTL)-Techniken verwenden, die legitime Tools und Prozesse verwenden, um in Netzwerken verborgen zu bleiben und gleichzeitig diese Ziele zu erreichen. „Jüngste Kundenvorfälle von Top-Gangs wie LockBit, Akira und Medusa zeigen, dass die meisten modernen Ransomware-Angriffsketten mittlerweile aus LOTL-Techniken bestehen“, heißt es darin.

So mindern Sie das Ransomware-Risiko im Jahr 2024

Angriffe auf Großwildjagden machen zwar die meisten Schlagzeilen, aber die Wahrheit ist, dass die meisten Opfer von Ransomware technisch gesehen KMUs sind. Coveware behauptet, dass die durchschnittliche Mitarbeiterzahl im zweiten Quartal 2 nur 2024 betrug. Wie können sich diese Organisationen also gegen heimliche Angriffe nachts und am Wochenende verteidigen?

„Die einzige Lösung besteht darin, sicherzustellen, dass diese Vermögenswerte um 1 Uhr morgens mit der gleichen Sorgfalt überwacht werden wie um 1 Uhr“, sagt Mark Stockley, leitender Bedrohungsanalyseforscher bei Malwarebytes, gegenüber ISMS.online.

„Das lässt sich erreichen, indem man ein eigenes Security Operations Center (SOC) einrichtet, das rund um die Uhr in Betrieb ist. Für die meisten Organisationen ist es jedoch praktischer und kostengünstiger, einen Drittanbieterdienst wie Managed Detection and Response (MDR) zu nutzen oder dies einem Managed Service Provider (MSP) zu überlassen.“

Angesichts der bevorstehenden DORA-Ära werden derartige Maßnahmen für Finanzdienstleister und ihre Zulieferer immer notwendiger. Kontinuierliche Überwachung, Bereitschaft zur Reaktion auf Vorfälle rund um die Uhr, robuste Geschäftskontinuitätsplanung und regelmäßige Tests werden erforderlich sein, um die Aufsichtsbehörden davon zu überzeugen, dass die Widerstandsfähigkeit auf einem angemessenen Niveau ist.

Stockley ist davon überzeugt, dass Best-Practice-Standards und Frameworks wie ISO 27001 dabei helfen können, Organisationen an diesen Punkt zu bringen.

„Wie jeder Standard oder Rahmen ist ISO 27001 ein Mittel zum Zweck. Organisationen können auch ohne ihn das erforderliche Maß an Informationssicherheit erreichen, aber Standards und Rahmen können als nützliche Orientierungshilfen dienen, die ihnen dabei helfen, dieses Niveau zu erreichen und aufrechtzuerhalten“, fügt er hinzu. „Die richtige Wahl des Rahmens hängt vom Sicherheitsreifegrad der Organisation ab. Letztendlich ist es Cyberkriminellen egal, welche Zertifizierungen Sie haben; ihnen ist nur wichtig, dass sie gestoppt werden.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster

Internet-Sicherheit 27 Januar 2026

Datenschutz ist wichtig: Was Compliance-Teams im Jahr 2026 erwarten können

Der 28. Januar ist der Welttag des Datenschutzes – ein Anlass, das Recht auf Datenschutz und Datensicherheit zu feiern, das viele von uns heute als selbstverständlich ansehen. Es war…

Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster