Bei der vierfachen Erpressung werden vier aufeinander abgestimmte Taktiken zur Druckausübung kombiniert: Verschlüsselung kritischer Systeme, Diebstahl und Freigabe sensibler Daten, Durchführung oder Androhung von DDoS-Angriffen und direkte Kontaktaufnahme mit Kunden, Partnern oder Aufsichtsbehörden für größtmöglichen Reputationsverlust. Dieser mehrschichtige „Erpressungsstack“ maximiert die Wirkung und erhöht die Zahlungswahrscheinlichkeit.
Wichtige Erkenntnisse
- Ransomware hat sich zu einer ausgeklügelten, vierfachen Erpressungsmethode entwickelt. Moderne Angriffe kombinieren Verschlüsselung, Datendiebstahl und Datenlecks, DDoS-Druck sowie direkte Kontaktaufnahme mit Kunden oder Aufsichtsbehörden, um das Risiko eines Reputationsverlusts zu verstärken. Dieses vierfache Erpressungsmodell bringt Angreifer in eine noch stärkere Position und erhöht sowohl das Störungs- als auch das Zahlungspotenzial.
- Resilienz, nicht Lösegeld, ist die beste Verteidigung. Die meisten Führungskräfte waren sich einig, dass Ransomware als strategisches Risiko behandelt werden muss, das mehrschichtige Abwehrmaßnahmen, die Einbindung von Führungskräften und Vorständen sowie gut erprobte Playbooks erfordert. Unternehmen, die in Resilienz investieren, von Zero Trust über Mikrosegmentierung bis hin zu unveränderlichen Backups, erleiden mit weitaus geringerer Wahrscheinlichkeit schwerwiegende geschäftliche Schäden.
- Unternehmen mittlerer Größe befinden sich genau in der „Goldlöckchen-Zone“, in der sich Angreifer am wohlsten fühlen. Cyberkriminelle nehmen zunehmend Unternehmen ins Visier, die zwar groß genug sind, um Lösegeld zu bezahlen, aber nicht weit genug entwickelt sind, um gut vor Angriffen und Reputationsverlust geschützt zu sein.
- Die Vorbereitung bestimmt, ob aus einem Angriff tatsächlich ein Ausfall wird. Vor einem Angriff sollten Unternehmen ihre Angriffsfläche reduzieren, die IT-Architektur prüfen, Zero Trust und Mikrosegmentierung durchsetzen und unveränderliche Backups nutzen. Nach einem Angriff sorgen Rechtsbeistände, Versicherungen, Strafverfolgungsbehörden sowie klare Entscheidungsbäume für eine koordinierte Reaktion.
- KI unterstützt beide Seiten der Ransomware-Wirtschaft. Angreifer nutzen KI, um die Erkundung zu automatisieren, Vorgänge zu skalieren und Ransomware-as-a-Service (RaaS)-Kampagnen zu unterstützen. Verteidiger nutzen KI, um wahrscheinliche Angriffswege zu modellieren, Verhaltensabweichungen zu analysieren und von reaktiver Abwehr zu vorausschauender Störung zu wechseln. KI verändert also Angriff und Verteidigung gleichzeitig.
Häufig gestellte Fragen (FAQ)
Ransomware betrifft bei Weitem nicht nur die IT-Abteilung. Sie kann den Betrieb lahmlegen, das Vertrauen in die Marke schädigen und rechtliche Probleme verursachen. Indem Ransomware als strategisches Risiko behandelt wird, werden die Einbindung des CEO und des Vorstands sowie eine funktionsübergreifende Bereitschaft und die Entwicklung von Resilienz-Strategien gewährleistet, die auf die unternehmensweiten Auswirkungen und nicht nur auf die technische Wiederherstellung ausgerichtet sind.
Der „Goldlöckchen-Zone“ (also der ideale Bereich) beschreibt mittelständische Unternehmen, die groß genug sind, um Lösegeld zu bezahlen, aber oft nicht über die ausgereiften Verteidigungsmechanismen größerer Unternehmen verfügen. Diese Unternehmen werden für Angreifer zunehmend attraktiv und sehen sich einer erhöhten Anfälligkeit für Betriebs- und Reputationsstörungen ausgesetzt.
Mikrosegmentierung erzeugt kleine, isolierte Sicherheitszonen innerhalb des Netzwerks. Durch die Begrenzung der lateralen Bewegung wird verhindert, dass Angreifer mit einem einzelnen Angriff einen umfangreicheren Ausfall erzeugen können, und sie hilft dabei, große Vermögenswerte zu schützen, selbst wenn die anfänglichen Verteidigungsmechanismen überwunden werden.
MITRE ATT&CK bildet die realen Taktiken, Techniken und Verfahren (TTPs) von Angreifern ab. Sicherheitsteams nutzen es, um ihre Kontrollen zu bewerten, Lücken zu erkennen und wahrscheinliche Angriffswege zu simulieren. So können sie Ransomware-Aktivitäten besser erkennen, eindämmen und unterbrechen.
TrickBot, ein Trojaner, der von cyberkriminellen Gruppen betrieben wird, stellt Tools für die Ransomware-Bereitstellung und -Orchestrierung bereit. Laut den Forschern von Akamai haben Kampagnen, die auf TrickBot-Techniken basieren, schätzungsweise Kryptowährung im Wert von 724 Millionen US-Dollar erpresst, was den Umfang und die Effizienz dieser Angriffe unterstreicht.