Fortinet hat zwei Mitglieder seines FortiGuard Labs-Teams – Derek Manky und Aamir Lakhani – zu einem digitalen Interview über Ransomware eingeladen. Sie diskutierten, welche Bedrohung von Ransomware ausgeht, wie sie sich entwickelt hat und welche Trends sie im nächsten Jahr erwarten.

Wie sieht die Ransomware-Landschaft heute aus? Ist Ransomware immer noch eine der Hauptbedrohungen?

Derek Manky: Ransomware zählt sicher zu den Angriffsarten, die das Sicherheitspersonal nachts wach halten. Diese Art der Bedrohung zeigt keine Anzeichen einer Abschwächung. Wenn es darum geht, sich gegen Ransomware zu verteidigen, sind Security Tools nur so gut wie das Team, das sie handhabt. Alles, von Konfigurationsfehlern bis hin zum Wildwuchs verschiedener Lösungen, kann die Abwehrmechanismen der Security von Unternehmen schwächen, diese Cyber-Attacken zu erkennen und zu verhindern. Insbesondere bei Ransomware ist jedoch der menschliche Faktor das größte Problem.

Bild: Derek Manky, Global Security Strategist, Fortinet

Aamir Lakhani: Ransomware ist keine besonders komplexe oder ausgeklügelte Malware. Allerdings macht sie das noch viel gefährlicher, denn die Angreifer brauchen nur wenig Know-how. Ransomware-Toolkits können einfach aus dem Internet heruntergeladen und mit minimalen Programmierkenntnissen modifiziert werden. Der Großteil dieser Ransomware-Software wird in großen Unternehmen wahrscheinlich nicht funktionieren, weil Sicherheitsinstrumente sie abfangen und blockieren. Angesichts der neuen Situation, in der heute jeder arbeitet – mit unerfahrenen Remote-Mitarbeitern, überlasteten IT-Teams und neuen, weitgehend ungetesteten Security-Richtlinien – ist es sehr wahrscheinlich, dass Organisationen plötzlich angegriffen werden. Was die Menge betrifft, so gibt es andere Bedrohungen, die möglicherweise stärker verbreitet sind. Ransomware ist jedoch eine der größten Bedrohungen, was die Auswirkungen auf ein Unternehmen angeht, denn ein einziger Ransomware-Angriff kann ein Unternehmen komplett lahmlegen.

Warum sind mangelnde Cyber-Hygiene und der „Faktor Mensch“ weiterhin die Hauptchance für einen erfolgreichen Ransomware-Angriff?

Aamir Lakhani: Traurig, aber wahr: Die meisten Angriffe könnten vermieden werden. Unternehmen tun sich häufig schwer damit, Geräte zu patchen. Natürlich ist dies nicht immer ihre Schuld. Patches müssen getestet werden und das kann in großen und komplexen Umgebungen viel Zeit in Anspruch nehmen. Häufig verfügen die Nutzer über administrative Rechte auf ihrem System, damit die Belastung und die Kosten für das Management und das IT-Support-Personal verringert werden. Doch das macht es schwierig, Patches und Updates zu automatisieren. In großen, mobilen Umgebungen kann es aufgrund von geografischen Unterschieden dann schwierig sein, Nutzer zur Anwendung von Patches überhaupt zu bewegen. Wenn diese Probleme jedoch gelöst würden, wäre die meiste Ransomware einfach nicht effektiv.



Bild: Aamir Lakhani, Global Security Strategist and Lead Researcher, FortiGuard Labs

Derek Manky: Das Problem ist nicht das allgemeine Sicherheitsbewusstsein, sondern das tatsächliche Handeln. Zusätzlich zu den Massenangriffen, die sich gegen jedermann richten, werden E-Mails auch sehr raffiniert verfasst, um einzelne Personen in einer Firma gezielt anzugreifen. Dies geschieht entweder direkt oder durch eine neue Technik, bei der Phishing-E-Mails in einen aktiven E-Mail-Thread eingefügt werden, um so die Wahrscheinlichkeit zu erhöhen, dass der Thread angeklickt wird. Diese Art von Angriff wird als Spearfishing bezeichnet. Wenn das Ziel ein Mitglied der C-Suite ist, spricht man von „Whale Phishing“. Aber unabhängig davon, wer das Ziel ist, alle sind anfällig dafür, eine sorgfältig gestaltete Phishing-E-Mail zu erhalten und darauf hereinzufallen – wenn man nur abgelenkt genug ist.

Wie sehen Sie die Entwicklung von Ransomware im Jahr 2020?

Derek Manky: Wie ich für 2020 vorausgesagt habe, haben gezielte Ransomware-Angriffe zugenommen und sie werden noch schlimmer werden. Diese Attacken sind für Unternehmen aus operativer und regulatorischer Sicht teurer geworden. Zu früheren Kryptotrojanern ist das ein Unterschied wie Tag und Nacht, weil diese neuen Malware- und Ransomware-Angriffe jetzt auf bestimmte interne Systeme abzielen und speziell auf diese zugeschnitten sind. Was ebenfalls dazu beiträgt, dass Attacken mit Kryptotrojanern zunehmen, ist die leichte Verfügbarkeit von RaaS-Angeboten (Ransomware-as-a-Service), die ich vor Jahren als eine Weiterentwicklung von Kryptotrojanern vorhergesagt habe. Eine weitere Entwicklung kommt in diesem Jahr hinzu: Ransomware kommt zum Einsatz, um die günstige Gelegenheit zu nutzen, Cyber-Straftaten rund um COVID-19 zu begehen. Das zeigt: Ransomware entwickelt sich nicht nur in Richtung gezielter Angriffe weiter. Gegen eine solche breit angelegte Angriffsführung ist es viel schwieriger sich zu verteidigen.

Aamir Lakhani: Ich denke, wir werden weiter eine deutliche Zunahme an Ransomware-Angriffen erleben. Die COVID-19-Pandemie hat zu einer Verschiebung bei vielen Projekten geführt, aber sie hat auch die Fristen von Zeitplänen verkürzt. Das betrifft unter anderem Migrationen in die Cloud, das Ermöglichen von Fernzugriffen und eine stärkere Nutzung von webbasierten Anwendungen. Viele Menschen in der IT-Branche arbeiten unter mehr Stress und mehr Druck als vorher. Darüber hinaus stehen Branchen wie das Gesundheitswesen sowie bestimmte produzierende Unternehmen und Verkehrsbetriebe unter größerem Druck als früher, ihre Netzwerke am Laufen zu halten. Die Angreifer wissen, dass diese Branchen lieber ein Lösegeld zahlen würden, als sich mit Verzögerungen oder einem Stillstand in ihrem Betriebsablauf auseinanderzusetzen. Wenn das Gerät eines Remote-Mitarbeiters kompromittiert werden kann, lässt sich darüber eine Leitung zurück in das Kernnetzwerk der Organisation herstellen. So kann die Verbreitung von Malware an andere Remote-Mitarbeiter ermöglicht werden. Das kann den Geschäftsbetrieb genauso unterbrechen, wie Ransomware-Angriffe auf interne Netzwerksysteme das Unternehmen lahmlegen. Da die Helpdesks jetzt remote sind, müssen infizierte Geräte eingeschickt werden, um gereinigt und neu aufgesetzt zu werden. Das bedeutet, Endgeräte, die mit einem Kryptotrojaner oder einem Virus infiziert sind, können Mitarbeiter jetzt tagelang außer Gefecht setzen. Cyber-Kriminelle wissen, dass Zeiten des schnellen Wandels, wie diese, für Unternehmen zu ernsthaften Beeinträchtigungen führen können. In der Eile, die Geschäftskontinuität aufrechtzuerhalten, werden Dinge wie Sicherheitsprotokolle eher übersehen. Kriminelle sind darauf erpicht, solche ungewollten Sicherheitslücken auszunutzen.