Trends | Cyberkriminalität | Angriffsverktoren
Ransomware-Angriffe sind allgegenwärtig. Ob durch mediale Berichterstattung, Erzählungen aus dem Arbeitsumfeld oder dem Bekanntenkreis – man kommt um das Thema Cyberkriminalität und vor allem Ransomware nicht mehr herum. Die zunehmende Präsenz hat allerdings einen faktenbasierten Ursprung.
Angriffsmuster werden vielfältiger, die Frequenz und der Umfang der Angriffe steigen und die Betroffenen werden immer branchen- und unternehmensgrößen-unabhängiger. Der US-Cybersicherheitsexperte Recorded Future hat eine Analyse der Ransomware-Angriffslandschaft in Deutschland durchgeführt, aus der sich spannende Erkenntnisse ziehen lassen. In diesem Blogbeitrag verschaffen wir einen Überblick.
Ransomware-Attacken sind Angriffe mit Schadprogrammen, die darauf abzielen, PCs und sich darauf befindliche Daten sowie Programme zu verschlüsseln und unbrauchbar zu machen. Das Ziel dabei ist, die Betroffenen zu erpressen und dazu zu bewegen, auf Lösegeldforderungen einzugehen – mit dem Versprechen, nach erfolgter Zahlung die Daten wieder freizugeben. Angriffe dieser Art finden mittlerweile vermehrt auf Unternehmen sowie Behörden und Verwaltungen statt. Dabei werden diese immer aufwendiger, ausgeklügelter und personalisierter. Cyberkriminelle gehen zielgerichtet und zumeist mehrstufig vor. Alltägliche Cybervorfälle wie Spamnachrichten werden sich dabei zunutze gemacht, um Zugang zum Unternehmensnetzwerk zu erhalten. In einem zweiten Schritt wird die IT-Infrastruktur analysiert, um entweder besonders wichtige oder sensible Daten zu verschlüsseln oder das gesamte System einschließlich angeschlossener Backups lahmzulegen. Auf diese Weise können die Erpresser einen größeren Druck auf die betroffenen Unternehmen ausüben und höhere Lösegelder fordern. Ob die Daten nach erfolgter Zahlung tatsächlich freigegeben werden, ist allerdings stets ungewiss. Denn: Bei einigen Ransomware-Programmen ist eine Entschlüsselung z.B. nicht vorgesehen oder erst gar nicht möglich.
Zu beobachten ist, dass das Volumen von Ransomwareangriffen weltweit und auch auf deutsche Unternehmen stetig zunimmt – mit gravierenden Konsequenzen für die Betroffenen: Systeme werden von der Schadsoftware befallen und unbrauchbar gemacht. Geschäftszweige müssen temporär geschlossen werden, sodass Beschäftigte als Konsequenz in Teilzeit versetzt werden könnten. Es besteht auch das Risiko, dass Unternehmensgeheimnisse öffentlich gemacht werden. In besonderen branchenspezifischen Fällen können Sozialleistungen nicht erbracht werden oder Krankenhäuser haben nicht die Möglichkeit, Patientinnen und Patienten aufzunehmen. Unabhängig der individuellen Folgen stellen Ransomware-Angriffe eine ernsthafte sowie folgenschwere Bedrohung für Unternehmen dar und gelten zurecht als eines der größten Geschäftsrisiken der heutigen Zeit.
Recorded Future hat in einem Bericht die Angriffslage mit Ransomware auf deutsche Unternehmen in den Jahren 2020 und 2021 zusammengefasst. Daraus lassen sich spannende und gleichzeitig besorgniserregende Erkenntnisse ziehen.
Insgesamt stieg die Anzahl der Ransomware-Angriffe in Deutschland von 2020 auf 2021 um 83 %. Laut der Analyse von Recorded Future ist der Trend mitunter auf folgende Faktoren zurückzuführen:
Entwicklungen, die letztlich dazu führen, dass Ransomware-Angriffe zum einen häufiger verübt werden, zum anderen aber auch einfacher durchzuführen sind und existentielle Konsequenzen für die Betroffenen haben.
Rund 42 % der Ransomware-Angriffe in Deutschland betreffen den Industriesektor, der als Rückgrat der deutschen Wirtschaft gilt. Nach Recorded Future fallen in diesen Sektor der Maschinenbau und Automobilindustrie, die Metallindustrie, die Elektrotechnik sowie das Baugewerbe. Auch weitere Branchen wie das Bildungswesen, der öffentliche Sektor und das Gesundheitswesen geraten immer weiter in den Fokus von Cyberkriminellen. Die Branchenzugehörigkeit ist jedoch kein ausschließliches Indiz für die Wahrscheinlichkeit einer Cyberattacke. Durch das vermehrte Auskommen und die erleichterte Ausführung kann es heutzutage jeden treffen.
Die Weiterentwicklung der Angriffsmethodik steht nicht still. Sowohl Angriffsarten als auch die genutzte Software werden durch Cyberkriminelle kontinuierlich ausgebaut und dadurch immer ausgefeilter. Welche Trends lassen sich hier vor allem beobachten?
Allgemein betrachtet werden Ransomware-Angriffe größer, umfangreicher und folgenschwerer. Während in der Vergangenheit Ransomware-Attacken vor allem individualisiert auf einzelne Nutzende verübt wurden, finden sie heutzutage in breiter Masse statt und zielen vor allem auf Netzwerke sowie Lieferketten großer Organisationen ab. Durch die Verschlüsselung gesamter vernetzter Betriebssysteme unterschiedlicher Unternehmen werden die Auswirkungen eines Angriffs sowie die Druckmittel der Angreifer immer massiver. Neben breit gefächerten Angriffen finden personalisierte und höchst professionelle Angriffe auf akribisch ausgewählte Zielorganisationen weiterhin statt.
Der zweite besorgniserregende Trend betrifft die Präzision, mit der Cyberkriminelle ihre Opfer angreifen. Mit der erhöhten Frequenz der Angriffe und den breiteren Zielen ging eine Optimierung der verwendeten Technologien einher. Um sich Zugriff und Kontrolle über sämtliche Betriebssysteme zu verschaffen, greifen Bedrohungsakteure auf Software zurück, über die sich Angriffe weniger zeitaufwendig und zielgenauer realisieren lassen. Zum Einsatz kommen oftmals Methoden zur Beschleunigung von Verschlüsselungen wie z.B. die Software LockBit. Darüber hinaus wird mithilfe von Domänencontrollern Kontrolle über alle aktiven Verzeichnisse übernommen, von denen aus in einem zweiten Schritt komplette Netze verschlüsselt werden können. Auch Lösegeldzahlungen finden nunmehr nicht allein über Bitcoin statt, sondern zusätzlich über alternative Kryptowährungen wie Monero. Hier profitieren Angreifer von einfacher Verschleierung der Transaktionen sowie der Wahrung von Privatsphäre und Anonymität.
Auffällig in den Entwicklungen der letzten Jahre sind auch die Professionalität sowie die interne Organisation von kriminellen Hackergruppen. Hier ist eine Umgestaltung der Organisationsstrukturen zu verzeichnen. Allen voran sind hier vor allem kriminelle Banden zu nennen, die ihre Services im Darknet in Form von Ransomware-as-a-Service-Modellen (RaaS) zum Verkauf anbieten. Es ist nunmehr so, dass faktisch jeder Zugang zu den Diensten von Cyberkriminellen hat und sich diese in einfachen Schritten zunutze machen kann. Das ist fast so einfach wie ein Taxi zu bestellen: Kriminelle werden gebucht, bezahlt und zum Teil sogar in Bewertungsportalen im Darknet evaluiert. Diese Aufträge können alles umfassen: von Wahlmanipulation über Bitcoin-Mining, Ransomware, Sabotage, Spionage und vieles mehr. Auch Partnerschaften zwischen den Bedrohungsakteuren werden über Foren im Darknet geschlossen. Einzelne Akteure spezialisieren sich hier auf unterschiedliche Bestandteile der Angriffe und schließen sich daraufhin für Aktivitäten zusammen. Die Rückführung der Ransomware-Attacken auf einzelne Banden wird dadurch erheblich erschwert.
Ferner, wirkt sich die fortschreitende Globalisierung nicht nur auf Politik, Wirtschaft und Gesellschaft aus, sondern betrifft auch organisierte Cyberkriminalität. Cyberangriffe sind ein globales Geschäftsrisiko, welches sich nicht nur auf ein Land oder eine Region beschränkt, sondern von internationaler Relevanz ist. Während laut Recorded Future in der Vergangenheit vor allem die USA von Cybercrime betroffen war, zeigen die aktuellen Statistiken, dass die USA die Rangliste zwar noch anführt, es aber keine geographischen Limitationen gibt. Die Gefahr ist für Unternehmen und Organisationen nicht nur real, sondern steigt weltweit vehement. Entscheidende Faktoren sind hier insbesondere Umsätze, besonders anfällige IT-Infrastruktur und kritische Relevanz der einzelnen Zielorganisationen – keine territoriale Zugehörigkeit.
Die Dunkelziffer von Ransomware-Angriffen wird höher geschätzt, als die tatsächlich registrierten Fälle. Die Herausforderung in der Erfassung der tatsächlichen Vorkommnisse ist zum einen darauf zurückzuführen, dass die Fälle den Behörden zum Teil nicht gemeldet werden und zum anderen, dass Ransomware-Angriffe teilweise als reguläre Sicherheitsvorfälle identifiziert und entsprechend registriert werden. Die Analyse von Recorded Future basiert auf Daten, die über verschiedene Kanäle gesammelt wurden: Es wurden Medienberichte und Berichte der jeweils betroffenen Organisationen gesammelt bzw. ausgewertet. Der Großteil der Datensatzes stammt allerdings von sogenannten Leak-Sites: Webseiten, die Ransomware-Angreifer zur Kommunikation mit der Öffentlichkeit und zur Erpressung ihrer Opfer nutzen.
Eine allgemeine Prognose der zukünftigen Entwicklungen ist zwar schwer zu treffen – man kann allerdings davon ausgehen, dass sich die hier aufgeführten Trends noch weiter verstärken werden. Basierend auf den Erkenntnissen werden Technologien zukünftig noch raffinierter, Angriffe umfangreicher und kriminelle Banden noch organisierter sowie spezialisierter. Das gesamte Ökosystem von Cyberkriminalität wird zugänglicher und immer mehr vernetzt.
Neben diesen dunklen Aussichten lässt sich allerdings auch ein durchaus positiver Trend beobachten, der in der Bekämpfung von Cyberkriminalität verwurzelt ist: Es sind immer mehr international koordinierte Strafverfolgungsmaßnahmen zu beobachten, kriminelle Banden werden zerschlagen und zwielichtige Webseiten offline genommen. Bemühungen finden dahingehend statt, die Infrastruktur, in denen Banden agieren, zu durchbrechen, Bedrohungsakteure sowie deren Partner und Vermittler zur Rechenschaft zu ziehen.
Zusätzlich zu den Maßnahmen der Strafverfolgungsbehörden ist das allgemeine Bewusstsein für Cyberkriminalität in der Gesellschaft allgemein – aber insbesondere auch in Unternehmen und Organisationen – gestiegen. Dies führt zu Bemühungen, sich aktiv gegen Cybergefahren zur Wehr zu setzen und durch präventive Maßnahmen den Ernstfall zu verhindern. Gepaart mit Initiativen zur weiteren Bewusstseinsbildung und dem Einsatz von technischen Ressourcen findet heutzutage eine aktive Gegenwehr bei Cyberangriffen statt, die die Ransomware-Erfolgsquote hoffentlich senken und dem Trend ein Ende setzen werden.
Was tun Sie aktiv gegen Cyberkriminalität? Sind Ihre Mitarbeitenden auf den Ernstfall vorbereitet?
Trends | Cybercrime | Attack vectors
Ransomware attacks are everywhere. Whether through media reports, stories from the workplace or from friends and acquaintances, it is impossible to avoid the topic of cybercrime and, above all, ransomware. However, this increasing presence has a factual basis.
Attack patterns are becoming more diverse, the frequency and scope of attacks are increasing, and those affected are becoming increasingly independent of industry and company size. US cyber security expert Recorded Future has conducted an analysis of the ransomware attack landscape in Germany, which provides some interesting insights. In this blog post, we provide an overview.
Ransomware attacks are attacks using malicious programs that aim to encrypt PCs and the data and programs stored on them and render them unusable. The goal is to blackmail the victims and persuade them to pay a ransom, with the promise that the data will be released once payment has been made.
Attacks of this kind are now increasingly targeting companies, public authorities and administrations. They are becoming more complex, sophisticated and personalised. Cybercriminals proceed in a targeted and usually multi-stage manner. Everyday cyber incidents such as spam messages are exploited to gain access to the company network. In a second step, the IT infrastructure is analysed in order to either encrypt particularly important or sensitive data or to paralyse the entire system, including connected backups. In this way, the blackmailers can exert greater pressure on the affected companies and demand higher ransoms. However, it is always uncertain whether the data will actually be released after payment has been made. This is because some ransomware programmes do not provide for decryption or make it impossible in the first place.
It can be observed that the volume of ransomware attacks worldwide and also on German companies is steadily increasing – with serious consequences for those affected: Systems are infected by malware and rendered unusable. Business operations have to be temporarily shut down, which may result in employees being transferred to part-time work. There is also a risk that company secrets will be made public. In specific industry-specific cases, social services cannot be provided or hospitals are unable to admit patients. Regardless of the individual consequences, ransomware attacks pose a serious and far-reaching threat to companies and are rightly considered one of the greatest business risks of our time.
Recorded Future has summarised the ransomware attack situation on German companies in 2020 and 2021 in a report. This report provides some interesting and worrying insights.
Overall, the number of ransomware attacks in Germany rose by 83% between 2020 and 2021. According to Recorded Future’s analysis, this trend can be attributed to the following factors, among others:
These developments ultimately lead to ransomware attacks becoming more frequent, easier to carry out and having existential consequences for those affected.
Around 42% of ransomware attacks in Germany affect the industrial sector, which is considered the backbone of the German economy. According to Recorded Future, this sector includes mechanical engineering and the automotive industry, the metal industry, electrical engineering and the construction industry. Other sectors such as education, the public sector and healthcare are also increasingly becoming the focus of cybercriminals. However, the industry to which a company belongs is not the only indicator of the likelihood of a cyberattack. Due to the increased availability and ease of execution, anyone can be affected these days.
The development of attack methods is not standing still. Both the types of attacks and the software used are being continuously expanded by cybercriminals and are thus becoming increasingly sophisticated. What are the main trends here?
In general, ransomware attacks are becoming larger, more extensive and more serious. Whereas in the past, ransomware attacks were mainly targeted at individual users, they are now widespread and primarily target the networks and supply chains of large organisations. By encrypting entire networked operating systems of different companies, the impact of an attack and the leverage available to attackers are becoming increasingly severe. In addition to broad-based attacks, personalised and highly professional attacks on meticulously selected target organisations continue to take place.
The second worrying trend concerns the precision with which cybercriminals attack their victims. The increased frequency of attacks and broader targets has been accompanied by an optimisation of the technologies used. To gain access to and control over all operating systems, threat actors resort to software that allows attacks to be carried out less time-consuming and more accurately. Methods for accelerating encryption, such as LockBit software, are often used. In addition, domain controllers are used to gain control over all active directories, from which entire networks can be encrypted in a second step. Ransom payments are now no longer made solely via Bitcoin, but also via alternative cryptocurrencies such as Monero. Here, attackers benefit from easy concealment of transactions and the preservation of privacy and anonymity.
The professionalism and internal organisation of criminal hacker groups have also been striking developments in recent years. A restructuring of organisational structures can be observed here. Leading the way are criminal gangs that offer their services for sale on the darknet in the form of ransomware-as-a-service (RaaS) models. It is now the case that virtually anyone has access to the services of cybercriminals and can take advantage of them in a few simple steps. It is almost as easy as ordering a taxi: criminals are booked, paid and, in some cases, even evaluated on review portals on the darknet. These jobs can include everything from election rigging to Bitcoin mining, ransomware, sabotage, espionage and much more. Partnerships between threat actors are also formed via forums on the darknet. Individual actors specialise in different components of the attacks and then join forces for specific activities. This makes it considerably more difficult to trace ransomware attacks back to individual gangs.
Furthermore, advancing globalisation is not only affecting politics, the economy and society, but also organised cybercrime. Cyber attacks are a global business risk that is not limited to one country or region, but is of international relevance. While Recorded Future reports that the US has been particularly affected by cybercrime in the past, current statistics show that although the US still tops the rankings, there are no geographical limitations. The danger is not only real for companies and organisations, but is also growing rapidly worldwide. Decisive factors here are, in particular, turnover, particularly vulnerable IT infrastructure and the critical relevance of the individual target organisations – not their territorial affiliation.
The number of unreported ransomware attacks is estimated to be higher than the number of cases actually recorded. The challenge in recording actual incidents is due, on the one hand, to the fact that some cases are not reported to the authorities and, on the other hand, to the fact that ransomware attacks are sometimes identified as regular security incidents and recorded accordingly. Recorded Future’s analysis is based on data collected through various channels: media reports and reports from the organisations affected were collected and evaluated. However, the majority of the data comes from so-called leak sites: websites that ransomware attackers use to communicate with the public and blackmail their victims.
Although it is difficult to make a general forecast of future developments, it can be assumed that the trends listed here will continue to intensify. Based on these findings, technologies will become even more sophisticated, attacks more extensive, and criminal gangs more organised and specialised. The entire cybercrime ecosystem will become more accessible and increasingly interconnected.
However, alongside this bleak outlook, there is also a positive trend rooted in the fight against cybercrime: There are more and more internationally coordinated law enforcement measures, criminal gangs are being dismantled and shady websites taken offline. Efforts are being made to disrupt the infrastructure in which gangs operate and to hold threat actors and their partners and intermediaries accountable.
In addition to the measures taken by law enforcement agencies, there is a greater awareness of cybercrime in society in general, but especially in companies and organisations. This is leading to efforts to actively defend against cyber threats and prevent emergencies through preventive measures. Coupled with initiatives to further raise awareness and the use of technical resources, cyber attacks are now being actively countered, which will hopefully reduce the success rate of ransomware and put an end to the trend.
What are you actively doing to combat cybercrime? Are your employees prepared for an emergency?