Ransomware vom Fließband
Das neue Kompendium enthält eine Bestandsaufnahme der aktuellsten Taktiken, Techniken und Prozesse (TTPs) von Ransomware-Akteuren, die von Group-IBs DFIR-Team („Digital Forensics und Incident Response“) an allen Standorten des Unternehmens weltweit beobachtet wurden. Neben der Analyse von über 700 Angriffen, die im Rahmen von Group-IBs eigenen Incident-Response-Aktivitäten und Cyberbedrohungsanalysen im Jahr 2021 untersucht wurden, befasst sich das Kompendium auch mit den Onlineplattformen, wo Daten von Ransomware-Opfern geleakt werden (DLS = „Data Leak Sites“).
Von Menschen durchgeführte Ransomware-Angriffe führten die globale Cyberbedrohungslandschaft in den letzten drei Jahren weiterhin mit soliden Margen an. Der im Bericht „Hi-Tech Crime Trends“ von Group-IB beschriebene Anstieg von Erstzugangs-Brokern (IAS = „Initial Access Brokers“) und die Ausweitung von Ransomware-as-a-Service-Programmen (RaaS) sind die Hauptantriebskräfte für das kontinuierliche Wachstum von Ransomware-Operationen. RaaS ermöglicht es gering qualifizierten Cyberkriminellen, in das Spiel einzusteigen und die Zahl der Opfer in die Höhe zu treiben.
Auf der Grundlage der Analyse von über 700 Angriffen im Jahr 2021 schätzen die DFIR-Experten der Group-IB, dass die Lösegeldforderung im Jahr 2021 durchschnittlich 247.000 US-Dollar betrug, 45 % mehr als 2020. Die Ransomware-Attacken wurden immer ausgefeilter, was sich deutlich an den Ausfallzeiten der Opfer zeigt, die von 18 Tagen im Jahr 2020 auf 22 Tage im Jahr 2021 anstiegen.
RaaS-Anbieter begannen damit, ihren Partnern nicht nur Ransomware-Kits, sondern auch benutzerdefinierte Tools für die Datenexfiltration anzubieten. Dies ermöglicht es, die Operationen zu vereinfachen und zu rationalisieren. Dadurch verbreitete sich die zweifache Erpressungstechnik noch weiter. In 63 % der von Group-IBs DFIR-Team analysierten Fälle wurden sensible Opferdaten herausgeschleust, um die Lösegeldzahlung zu erzwingen. Zwischen dem ersten Quartal 2021 und dem ersten Quartal 2022 haben Ransomware-Gangs Daten von über 3.500 Opfern auf „Data Leak Sites“ (DLS) veröffentlicht. Die meisten Unternehmen, deren Daten im Jahr 2021 von Ransomware-Akteuren auf DLS gepostet wurden, hatten ihren Sitz in den Vereinigten Staaten (1.655). 986 hingegen die betroffenen europäischen Unternehmen. Mit 143 Unternehmen, deren Daten nach einer Ransomware-Attacke veröffentlicht wurden, belegt Deutschland Platz 6 des weltweiten Rankings und Platz 4 in Europa. Die meisten tangierten Organisationen gehören dem Industriesektor (322, in Deutschland 30 Opfer), der Immobilien- (305, in Deutschland 13 ) sowie der professionellen Dienstleistungsbranche (256) an. Mit 20 Unternehmen, deren Daten auf DLS hochgeladen wurden, ist in Deutschland der Transportsektor ebenfalls betroffen.
Lockbit, Conti und Pysa erwiesen sich als die aggressivsten Gangs mit auf DLS hochgeladenen Daten von jeweils 670, 640 und 186 Opfern, wovon jeweils 45, 25 und 12 deutsche Unternehmen. Die beiden Neulinge im Jahr 2021, Hive und Grief (eine Neuauflage der DoppelPaymer-Gruppe), schafften es schnell in die Top 10 der kriminellen Organisationen – gemessen an der Zahl der Opfer, wovon Daten auf DLS hochgeladen wurden.
Trügerische Bots
Der Missbrauch von öffentlich zugänglichen RDP-Servern war auch im Jahr 2021 wieder die häufigste Methode, um im Zielnetzwerk einzudringen. 47% aller von Group-IBs DFIR-Experten untersuchten Angriffe begannen mit der Kompromittierung eines externen Remote-Dienstes.
Spear-Phishing-E-Mails, die herkömmliche Malware enthalten, stehen an zweiter Stelle (26%). Unter Ransomware-Betreibern erfreute sich die Nutzung von Standard-Malware in der Anfangsphase einer Attacke zunehmender Beliebtheit. Dadurch wurde allerdings die Zuweisung von Ransomware-Angriffen im Jahr 2021 zusehends komplizierter, da viele Bots wie Emotet, Qakbot und IcedID von verschiedenen Bedrohungsakteuren eingesetzt wurden. 2020 wiesen hingegen bestimmte Standard-Malware-Familien eine starke Zugehörigkeit zu bestimmten Ransomware-Gangs auf. So beobachtete das DFIR-Team von Group-IB, dass beispielsweise IcedID von verschiedenen Ransomware-Organisationen, darunter Egregor, REvil, Conti, XingLocker und RansomExx, für den Erstzugang genutzt wurde.
Im Allgemeinen begnügten sich zahlreiche Ransomware-Gruppen im Laufe der Angriffe auch mit herkömmlichen Techniken und legitimen Tools. Häufig wurde Standard-Malware verwendet, um – nach der Ausbeutung – über Lade-Frameworks wie „Cobalt Strike“ anderweitige Aktivitäten zu starten (beobachtet bei 57 % der Angriffe).
Andererseits gingen einige Ransomware-Gangs sehr unkonventionell vor: REvil-Mitglieder nutzten Zero-Day-Schwachstellen, um die Kunden von Kaseya anzugreifen. Der BazarLoader, der bei Ryuk-Operationen eingesetzt wurde, wurde über Vishing (Voice-Phishing) verbreitet. In diesem Fall enthielten die Phishing-E-Mails Informationen über „kostenpflichtige Abonnements“, die angeblich per Telefon gekündigt werden konnten. Während des Anrufs lockten die Cyberkriminellen das Opfer auf eine gefälschte Website und gaben Anweisungen zum Herunterladen und Öffnen eines manipulierten Dokuments, das das Herunterladen und Ausführen von BazarLoader veranlasste.
„Angesichts der zahlreichen Umbenennungen, die durch die Strafverfolgungsbehörden erzwungen wurden, und der Verschmelzung der TTPs aufgrund der ständigen Migration von Partnern von einem RaaS-Programm („Ransomware as a Service“) zu anderen wird es für Sicherheitsexperten immer schwieriger, den Überblick über die sich ständig weiterentwickelnden Taktiken und Tools der Ransomware-Akteure zu behalten“, erläutert Oleg Skulkin, Leiter des DFIR-Teams von Group-IB. „Um Cybersicherheitsverantwortliche von Unternehmen auf dem Laufenden zu halten und sie bei der Vorbereitung auf Ransomware-Vorfälle zu unterstützen, haben wir die wichtigsten Trends und TTP-Änderungen skizziert und daraus umsetzbare Erkenntnisse produziert, die entsprechend der MITRE-ATT&CK®-Matrix organisiert sind.“
Die zweite Ausgabe 2021/2022 des Ransomware-Uncovered-Reports enthält eine MITRE-ATT&CK®-Matrix, die Informationen über die bei von Menschen durchgeführten Ransomware-Angriffen am häufigsten vorkommenden TTPs enthält. Der neue Bericht steht auf der Website von Group-IB zum Download bereit.
Group-IB ist einer der führenden Anbieter von Lösungen für die Aufdeckung und Verhinderung von Cyberangriffen, die Identifizierung von Online-Betrug, die Untersuchung von Hightech-Verbrechen und den Schutz geistigen Eigentums. Der Hauptsitz des Unternehmens liegt in Singapur. Die Threat-Intelligence- und Forschungszentren befinden sich im Nahen Osten (Dubai), im asiatisch-pazifischen Raum (Singapur), in Europa (Amsterdam) und in Russland (Moskau).
Das Threat Intelligence & Attribution System von Group-IB wurde von Gartner, Forrester und IDC als eines der besten seiner Klasse bezeichnet. Group-IBs Threat-Hunting-Framework (früher bekannt als TDS) für die proaktive Suche und den Schutz vor komplexen und bisher unbekannten Cyberbedrohungen wurde von der führenden europäischen Analystenagentur KuppingerCole Analysts AG als eine der führenden Lösungen im Bereich "Network Detection and Response" anerkannt, während Group-IB selbst als "Product Leader" und "Innovation Leader" ausgezeichnet wurde. Gartner identifizierte Group-IB als einen repräsentativen Anbieter im Bereich Online-Betrugserkennung für seine Fraud-Hunting-Plattform. Darüber hinaus erhielt Group-IB den "Innovation Excellence Award" von Frost & Sullivan für seine "Digital Risk Protection" (DRP), eine KI-gesteuerte Plattform zur Identifizierung und Abschwächung digitaler Risiken und zur Abwehr von Angriffen auf Marken-Imitationen, deren Herzstück die patentierten Technologien des Unternehmens sind. Die technologische Führungsposition und die Forschungs- und Entwicklungskapazitäten von Group-IB basieren auf der 18-jährigen praktischen Erfahrung des Unternehmens bei der Untersuchung von Cyberkriminalität weltweit und auf den 70.000 Stunden, die das führende forensische Labor, die Hightech-Abteilung für kriminaltechnische Untersuchungen und das rund um die Uhr besetzte CERT-GIB bei der Reaktion auf Cybersecurity-Vorfälle gesammelt haben.
Group-IB arbeitet aktiv an globalen Ermittlungen mit, die von internationalen Strafverfolgungsorganisationen wie Europol und Interpol geleitet werden. Das Unternehmen ist auch Mitglied der Beratungsgruppe für Internetsicherheit des Europäischen Zentrums für Cyberkriminalität (EC3) von Europol, die eingerichtet wurde, um eine engere Zusammenarbeit zwischen Europol und seinen führenden Partnern außerhalb der Strafverfolgung zu fördern.
Die Erfahrung von Group-IB im Bereich der Bedrohungsjagd und der Cyberintelligenz wurde zu einem Ökosystem hochentwickelter Software- und Hardware-Lösungen verschmolzen, die zur Überwachung, Identifizierung und Verhinderung von Cyberangriffen entwickelt wurden. Group-IB hat es sich zur Aufgabe gemacht, seine Kunden täglich im Cyberspace zu schützen, indem es innovative Lösungen und Dienstleistungen entwickelt und einsetzt.
Weiterführende Informationen unter: www.group-ib.com
Group-IB
Prinsengracht 919
NL1017KD Amsterdam
Telefon: +31 (20) 22690-90
http://www.group-ib.com/
E-Mail: press@sabcommunications.net