Ransomware ist nicht mehr nur eine Herausforderung für die IT. Vielmehr hat sie die Vorstandsetagen erreicht und geht noch darüber hinaus. Die heutzutage ausgeklügelten Cyberangriffe haben Auswirkungen auf unser tägliches Leben – von Angriffen auf Krankenhäuser bis hin zu Störungen der Benzin- und Lebensmittelversorgung.
Diese Angriffe nehmen nicht nur an Häufigkeit und Geschwindigkeit zu, sondern Cyberkriminelle werden auch extrem aggressiv und haben ihre Taktik im Laufe der Zeit geändert. Damit sich der Angriff finanziell auch sicher lohnt, verschlüsseln Cyberkriminelle inzwischen nicht nur Produktions- und Backup-Daten. Sie stehlen (oder fachlich ausgedrückt „exfiltrieren“) die sensiblen Daten eines Unternehmens und drohen damit, sie im Dark Web zu veröffentlichen. Dies wird auch als „doppelte Erpressung“ bezeichnet.
Wie konnte es so weit kommen?
Der Anstieg der Ransomware-Angriffe lässt sich auf die zunehmende Verbreitung von Kryptowährungen wie Bitcoin, Ethereum und vielen weiteren zurückführen. In vielerlei Hinsicht haben die Kryptowährungen den Cyberkriminellen ihre kriminellen Machenschaften sehr erleichtert. Durch sie konnten die Angreifer ihre Attacken anonym starten, nicht zurückverfolgbare Zahlungen verlangen und somit das Lösegeld leicht einkassieren. So entstand die erste Generation von Ransomware oder was ich „Ransomware 1.0“ nenne – die WannaCry-Ära.
Ransomware-1.0-Varianten wie WannaCry zielten auf Produktionsdaten ab und verschlüsselten diese. Backup-Systeme wurden dadurch schnell zur De-facto-Lösung für die Bekämpfung von Ransomware-1.0-Angriffen. Unternehmen, die ihre Daten regelmäßig mit Lösungen wie Cohesity sicherten, konnten schnell auf solche Angriffe reagieren und den Betrieb bald wieder aufnehmen, ohne Lösegeld zu zahlen.
Die „Security-First“-Architektur von Cohesity hilft Unternehmen, ihre kritischen Daten sowohl bei natürlichen als auch menschengemachten Katastrophen wie Ransomware-Angriffen zu schützen und schnell wiederherzustellen. Dank einzigartiger Funktionen wie vollständig hydratisierte Snapshots, kombiniert mit einer verteilten Architektur mit paralleler MegaFile-Ingestion sowie einer auf maschinellem Lernen basierenden Anomalieerkennung sind Kunden von Cohesity in der Lage, sich gegen Ransomware 1.0 zu verteidigen. Durch die Lösung können sie einen möglichen Angriff auf ihre Produktionsdaten schnell erkennen und sofort Hunderte von VM-, NAS– und Oracle-Daten wiederherstellen und so die Ausfallzeiten und Datenverluste minimieren.
Die Wiederherstellung von Daten aus Backup-Kopien ermöglichte es den Unternehmen zwar zunächst, die Zahlung von Lösegeld abzuwenden, trieb die Cyberkriminellen jedoch dazu, ihre Taktik zu ändern. Neben Benutzer- und Produktionsdaten hatten die Angreifer es nun auch auf die Backup-Daten und -Systeme abgesehen, was zum Vormarsch von „Ransomware 2.0“ führte.
Cyberkriminelle nutzten Ransomware-2.0-Varianten wie DarkSide und Ryuk, um bei diversen Backup-Anbietern mit älterer Technik gespeicherte Datensätze aggressiv anzugreifen. Bei der Analyse des Quellcodes von DarkSide fanden Sicherheitsforscher heraus, dass der Code zunächst die Daten auf manchen älteren Backup-Lösungen, Sicherheitsdiensten und kritischen Microsoft-Services wie VSS und SQL Server deaktiviert oder löscht, bevor er einen Angriff auf Produktionskopien der Daten ausführt.
Neben vielen anderen Krankenhäusern wurde auch das Sky Lakes Medical Center, ein führender Gesundheitsdienstleister und Kunde von Cohesity, mit der Ryuk-Ransomware-Variante angegriffen. Der Angriff beeinträchtigte 70 % des IT-Betriebs von Sky Lakes, einschließlich der früheren Backups. Glücklicherweise hatte Sky Lakes im Rahmen seiner IT-Modernisierung Cohesity eingesetzt, das den Angriff erfolgreich abwehren konnte und es dem Unternehmen ermöglichte, die von Cohesity gesicherten Daten wiederherzustellen, ohne Lösegeld bezahlen zu müssen. Wie ging das?
Die Next-Gen Data Management-Plattform von Cohesity basiert auf seiner Threat-Defense-Architektur, die auf den ersten beiden Ebenen Datenresilienz (Verschlüsselungsframework, Fehlertoleranz und unveränderliche Backups) sowie strenge Zugriffskontrollen mit MFA, granularer RBAC, Auditing, kontinuierlicher Überwachung und mehr bietet. Die Architektur von Cohesity hilft Unternehmen, ihre Backup-Daten und die Plattform vor Ransomware-2.0-Varianten zu schützen.
Bleibt noch das Problem Datenexfiltration. Laut Nachforschungen von Covewave wurden bei 80 % der Ransomware-Angriffe im zweiten Quartal 2021 Daten gestohlen. Leider haben fast zwei Drittel der betroffenen Unternehmen bestätigt, dass sie Lösegeld gezahlt haben, um den Verlust ihrer sensiblen Daten zu verhindern. Auch hier haben die Kriminellen ihre Taktik weiterentwickelt, was zur Entstehung von „Ransomware 3.0“ geführt hat.
Ransomware-Angriffe sind im Allgemeinen disruptiv, aber durch die Datenexfiltration erreicht die Bedrohung ein ganz neues Ausmaß. Nach Angaben von IBM Security belaufen sich die durchschnittlichen Kosten aus Datenpannen auf fast 4,24 Millionen US-Dollar. Neben den direkten Kosten für Schadensbeseitigung, behördliche Bußgelder, die Aufklärung der Opfer und Entschädigungszahlungen fällt unter diese Kosten auch der Schaden, den eine Datenpanne für die Marke und den Ruf des Unternehmens bei Kunden, Zulieferern, Partnern und Mitarbeitern bedeutet.
Im Jahr 2021 wurde der taiwanesische Computerhersteller Acer von REvil, einer Ransomware-3.0-Variante, heimgesucht. Dieser Angriff sorgte aus mehreren Gründen für Schlagzeilen.
- Bis heute war es mit 50 Millionen US-Dollar die größte bekanntgewordene Cyber-Lösegeldforderung.
- Der Angriff ging weit über die übliche Datenverschlüsselung hinaus. Bevor die Cyberkriminellen einen umfangreichen Datenbestand verschlüsselten, exfiltrierten sie Unternehmens- und Kundendaten.
Acer war so mit einer doppelten Erpressung konfrontiert. Das Unternehmen musste sowohl die Datenverschlüsselung in den Griff bekommen als auch verhindern, dass Unternehmens- und Kundendaten weitergegeben wurden.
Um das Schadenspotenzial von Ransomware zu verkleinern, integriert Cohesity Zero-Trust-Prinzipien in seine zugrundeliegende Architektur und bietet darüber hinaus noch zusätzlichen Nutzen. Die Threat-Defense-Architektur von Cohesity steht nicht nur für Datenresilienz und robuste Zugriffskontrollen, sondern unterstützt Unternehmen auch dabei, Data Security und Data Governance in Einklang zu bringen. Cohesity DataGovern ist eine SaaS-basierte Lösung, die Unternehmen folgendermaßen hilft:
- Zunächst ermittelt sie, wo sich sensible Daten in primären und sekundären Datenspeichern befinden. Das Auffinden sensibler Daten stützt sich nicht mehr nur auf Metadaten und die Endungen von Dateinamen. Die Lösung verwendet präzise, inhaltsbezogene Klassifizierungsverfahren, um falsch-positive Ergebnisse bei der Identifizierung des Speicherorts Ihrer wertvollsten Datenbestände zu minimieren.
- Sobald diese klassifiziert sind, können die Daten in Hinblick auf verschiedene gesetzliche Vorschriften und Compliance-Richtlinien analysiert werden, um Hotspots oder übermäßig gefährdete Bereiche zu identifizieren.
- Als Nächstes kann das Unternehmen als vorbeugende Maßnahme gegen Datenexfiltration einen Workflow zur Beseitigung des Geschäftsrisikos und der Gefährdung einleiten.
- Zu guter Letzt bietet der Service KI-basierte Analysen des Nutzer- und Entitätsverhaltens sowie eine kontinuierliche Überwachung. Mithilfe von Warnmeldungen in nahezu Echtzeit können Unternehmen erkennen, wann und auf welche sensiblen Daten Kriminelle zugreifen, die möglicherweise legitime Benutzeranmeldedaten ausspioniert haben. Dies gilt auch für Aktivitäten böswilliger Insider, die versuchen, Daten aus dem Unternehmen herauszuschleusen.
Die Cyber-Erpressung hat sich weiterentwickelt. Um bei der heutigen komplexen Cyber-Sicherheitslage nicht nur zu überleben, sondern auch zu wachsen, müssen Unternehmen ihre Abwehr- und Reaktionsmaßnahmen gegen Cyber-Erpressung weiterentwickeln und verbessern – einschließlich der Art und Weise, wie sie ihre Daten managen. Informieren Sie sich noch heute, wie Cohesity Ihnen helfen kann, Ihre Daten und den Ruf Ihres Unternehmens zu schützen.