Vorneweg, um etwaige Missverständnisse aus dem Weg zu räumen:
da uns aktuell vermehrt Anfragen erreichen, möchten wir aus gegebenen Anlass in diesem Artikel Unternehmen über Praktiken des BIG GAME HUNTING im Kontext von Cybercrime und NICHT der Großwildjag – VON DER WIR UNS HIER GANZ KLAR DISTANZIEREN UND ABSOLUT ABSCHEULICH FINDEN!!! – informieren
Im wesentlichen ist BIG GAME HUNTING der Prozess von Cyberkriminellen, die sich auf hochwertige Daten oder Assets innerhalb von Unternehmen konzentrieren. Die Ziele (Opfer-Organisationen) werden im Regelfall so ausgewählt, von denen davon ausgegangen werden kann, dass diese empfindlich auf Ausfallzeiten oder Data-Breaches reagieren und somit eher dazu bereit sind, ein Lösegeld zu bezahlen – unabhängig davon, wie hoch der Lösegeld-Betrag ausfallen mag.
Heuer (2020) war ein starker Anstieg von “Enterprise-Ransomware” Angriffen zu verzeichnen, bei denen die Lösegeldforderungen in die Millionenhöhe gingen und die zu beispiellosen Betriebsstörungen führten.
Die Angreifer entwickeln zwar ihre TTPs (Tools, Techniken und Praktiken) stetig weiter, die Arten der Angriffe sind aber im wesentlichen gleich geblieben:
Was allerdings seit 2019 neu ist, ist die Verwendung sensibler (im Zuge des Angriffs gestohlener) Daten als Druckmittel, wenn Opfer auf Forderungen nicht eingehen.
(Wir berichteten hier letztes Jahr bspw. über das Vorgehen der MAZE Bande und hier über Dimensionen, die ein Ransomware-Angriff annehmen kann)
Ein Ende solcher Angriffe ist derzeit leider nicht in Sicht.
Mehr ist zu beobachten, dass die Akteure ihre Strategien und Spezialisierungen wie das Abschalten und Umgehen von Sicherheitsprogrammen, Nutzung kompromittierter Webseiten, DNS-Tunneling usw. immer weiter ausfeilen und entwickeln.
Die Zahl der malwarefreien Angriffe übersteigt mittlerweile die der malwarebasierten Angriffe. (good night signaturbasierte Lösungsansätze)
Zudem etablieren sich Geschäftsmodelle wie RaaS (Ransomware-as-a-Service Entwickler), MaaS (Malware-as-a-Service Entwickler), DaaS (Download-as-a-Service zur Verbreitung von Schadcode) – auf die kriminelle Organisationen zurückgreifen und Unternehmen unter Zuhilfenahme dieser Dienste angreifen.
Die Möglichkeiten und Technologien, um sich zu schützen, werden allerdings auch besser und effektiver.
Da es immer wieder zu ausgeklügelten und koordinierten (targeted) “Enterprise-Ransomware” Angriffen kommt, sollten sich Unternehmen mit diesem Thema auseinandersetzen und die richtigen Vorkehrungen treffen.
Wenn Sie sich die Frage stellen, “wo am besten anfangen?“, sind Sie tatsächlich gut beraten, sich mit dem Thema Incident Response auseinanderzusetzen.
Bei den verschiedenen Entwicklungsstufen eines IRP (Incident Response Plans), werden Sie sich unter anderem mit den oben genannten Themen befassen und die richtigen bzw. notwendigen Strategien für Ihr Unternehmen definieren. Als kleine Stütze können Sie sich die Phasen für die Erarbeitung eines IRP hier downloaden.
Natürlich unterstützen wir Sie gerne zu den verschiedenen Themen – denn
KONTAKT: