Ransomware erfährt eine Art Wiederbelebung. Im Jahr 2018 fiel die Anzahl der Angriffe durch diese Art von Malware, während andere Cyber-Bedrohungen wie Cryptojacking ein großes Wachstum verzeichneten. Im ersten Quartal 2019 stiegen die Ransomware-Angriffe auf Unternehmen jedoch um 195%.

Der extremste Beweis für dieses Wiederaufleben war eine Reihe von gezielten Ransomware-Angriffen gegen lokale Regierungen in den USA. Baltimore, Lake City, Cartersville, Lynn…. Dieser neue Trend zu gezielter Ransomware traf auch die Geschäftswelt: Ein Angriff auf Norsk Hydro betraf 22.000 Endpunkte in 40 Ländern.

Eine massive Kampagne in Texas

Am Morgen des 16. August wurden insgesamt 22 lokale Regierungen in Texas Opfer eines koordinierten Ransomware-Angriffs. Obwohl die texanischen Behörden nicht offenbarten, welche Ransomware die Angreifer verwendeten, gaben sie bekannt, dass die 22 Angriffe aus derselben Quelle stammten. Die Angreifer forderten ein Lösegeld von 2,5 Millionen Dollar.

Ein Sprecher des Texas State Department of Information Resources (DIR) sagte: „Die gesammelten Beweise deuten darauf hin, dass die Angriffe von einem einzigen Bedrohungsakteur stammen. Die Untersuchungen über den Ursprung dieses Angriffs sind im Gange, aber Reaktion und Wiederherstellung haben derzeit Vorrang.“

Das Team, das auf den Angriff reagiert hat, besteht aus dem DIR, dem Texas A&M University System’s Security Operations Center, dem Texas Department of Public Safety sowie Notfall- und Militärpersonal. Bis zum 23. August waren alle betroffenen Einheiten von der Reaktion und Bewertung auf die Sanierung und Wiederherstellung übergegangen.

Nun plant das DIR Folgetreffen mit den betroffenen Regierungen, um die Bemühungen um den Wiederaufbau dieser Systeme sicherzustellen. Das DIR erklärt, dass nach ihrem Wissen keine der betroffenen Stellen das Lösegeld gezahlt hat.

Wie haben sie es geschafft, so viele Einheiten anzugreifen?

Um einen Angriff dieser Art gegen so viele Regierungseinheiten durchführen zu können, brauchten die Angreifer eine fortschrittliche Technik: das Insel-Hopping. Beim Island Hopping infiltrieren Cyberkriminelle die Netzwerke kleinerer Unternehmen, z.B. Marketing- oder HR-Unternehmen, die normalerweise Anbieter für das eigentliche Ziel sind. Sie nutzen dann diesen Zugang, um Zugang zu größeren Unternehmen zu erhalten.

Im Falle von Texas war das Insel-Hopping möglich, weil viele der betroffenen Gemeinden den gleichen Software- und IT-Systemanbieter haben. Gary Heinrich, Bürgermeister einer der betroffenen Gemeinden, erklärte, dass die Angreifer über diesen Weg reinkamen und diesen Zugang dann nutzten, um die Regierungen anzugreifen.

Im Allgemeinen verfügen kleinere Unternehmen in der Regel über anfälligere Systeme, was den Einsatz von Insel-Hopping erheblich erleichtert. Einmal auf dem System, nutzen die Angreifer das Vertrauen, das zwischen den Unternehmen besteht, um ihr eigentliches Ziel zu erreichen.

Obwohl diese Technik nicht neu ist, wird sie immer häufiger eingesetzt. Laut einigen Quellen nutzen 50% der heute durchgeführten Cyberangriffe das Insel-Hopping. Und es ist nicht nur Malware, die Cyberkriminelle bei dieser Art von Angriffen einsetzen.  Ein sehr beliebter Einstiegsvektor sind IoT-Geräte (Internet der Dinge), da sie in der Regel über weniger robuste Sicherheitsmaßnahmen verfügen.

Die Zukunft von Ransomware-Angriffen?

Einige Cybersicherheitsforscher glauben, dass koordinierte Angriffe, wie wir sie in Texas gesehen haben, die Zukunft von Ransomware-Angriffen sein könnten. Dies ist der erste Angriff dieser Art, bei dem die Vorfälle koordiniert wurden und nicht die Einheiten einzeln angegriffen wurden. Angreifer führen in der Regel massive Scans von Netzwerken durch und suchen nach offenen RDP-Verbindungen auf anfälligen Servern, um Angriffe zufällig durchzuführen.

Dennoch ist in diesem Fall klar, dass die Angreifer ein bestimmtes Ziel im Auge hatten und es sehr bewusst angegriffen haben.

Schützen Sie Ihr Unternehmen vor Insel-Hopping

Drei Wochen nach dem Vorfall berichtete das DIR, dass über die Hälfte der betroffenen Unternehmen wieder in den Normalbetrieb zurückgekehrt sei. Dies bedeutet jedoch, dass es immer noch viele Unternehmen gibt, die nicht in der Lage sind, ihren täglichen Betrieb normal auszuführen. Um einen weiteren Vorfall zu verhindern, veröffentlichte das DIR eine Reihe von Empfehlungen:

Erlauben Sie nur die Authentifizierung von Fernzugriffssoftware aus dem Netzwerk des Anbieters heraus.

Verwenden Sie die Zwei-Faktor-Authentifizierung für Remote-Administrationswerkzeuge.

Blockiere den eingehenden Netzwerkverkehr von Tor Exit Nodes.

Blockieren Sie den ausgehenden Netzwerkverkehr nach Pastebin.

Die letzte Maßnahme, die das DIR vorschlägt, ist die Verwendung von Endpoint Detection and Response (EDR), um PowerShell bei ungewöhnlichen Prozessen zu erkennen. Panda Adaptive Defense kombiniert EPP- und EDR-Technologien mit einem Service zur Klassifizierung von 100% der laufenden Prozesse. Das bedeutet, dass es in der Lage ist, anormales Verhalten zu erkennen und zu verarbeiten und zu stoppen, bevor es zu Problemen für Ihr Unternehmen führen kann.

Obwohl es Ransomware seit Jahren gibt und seine Popularität Höhen und Tiefen erlebt, ist es eine allgegenwärtige Bedrohung. Ein solcher Fall beweist zudem, dass Cyberkriminelle immer wieder modernste Techniken einsetzen werden, um Ransomware-Angriffe durchzuführen. Deshalb dürfen Sie beim Schutz Ihres Unternehmens vor dieser Cyber-Bedrohung nie nachlassen.