“Enterprise-Ransomware”, die erste Wahl bei Cyberkriminellen im “BIG GAME HUNTING”

Vorneweg, um etwaige Missverständnisse aus dem Weg zu räumen:
da uns aktuell vermehrt Anfragen erreichen, möchten wir aus gegebenen Anlass in diesem Artikel Unternehmen über Praktiken des BIG GAME HUNTING im Kontext von Cybercrime und NICHT der Großwildjag – VON DER WIR UNS HIER GANZ KLAR DISTANZIEREN UND ABSOLUT ABSCHEULICH FINDEN!!! – informieren

Worum handelt es sich beim BIG GAME HUNTING und warum sollten Sie sich damit auseinandersetzen?

Im wesentlichen ist BIG GAME HUNTING der Prozess von Cyberkriminellen, die sich auf hochwertige Daten oder Assets innerhalb von Unternehmen konzentrieren. Die Ziele (Opfer-Organisationen) werden im Regelfall so ausgewählt, von denen davon ausgegangen werden kann, dass diese empfindlich auf Ausfallzeiten oder Data-Breaches reagieren und somit eher dazu bereit sind, ein Lösegeld zu bezahlen – unabhängig davon, wie hoch der Lösegeld-Betrag ausfallen mag.

Sprunghafter Anstieg von Enterprise-Ransomware Angriffen

Heuer (2020) war ein starker Anstieg von “Enterprise-Ransomware” Angriffen zu verzeichnen, bei denen die Lösegeldforderungen in die Millionenhöhe gingen und die zu beispiellosen Betriebsstörungen führten.

Die Angreifer entwickeln zwar ihre TTPs (Tools, Techniken und Praktiken) stetig weiter, die Arten der Angriffe sind aber im wesentlichen gleich geblieben:

• eMail (Spear-)Phishing Kampagnen
• infizierte Webseiten
• Ausnutzung von (schlecht abgesichertem) RDP (Remote Desktop Protokoll)
• Ausnutzung bekannter Schwachstellen

Was allerdings seit 2019 neu ist, ist die Verwendung sensibler (im Zuge des Angriffs gestohlener) Daten als Druckmittel, wenn Opfer auf Forderungen nicht eingehen.
(Wir berichteten hier letztes Jahr bspw. über das Vorgehen der MAZE Bande und hier über Dimensionen, die ein Ransomware-Angriff annehmen kann)

Licht am Ende des Tunnels?

Ein Ende solcher Angriffe ist derzeit leider nicht in Sicht.
Mehr ist zu beobachten, dass die Akteure ihre Strategien und Spezialisierungen wie das Abschalten und Umgehen von Sicherheitsprogrammen, Nutzung kompromittierter Webseiten, DNS-Tunneling usw. immer weiter ausfeilen und entwickeln.

Die Zahl der malwarefreien Angriffe übersteigt mittlerweile die der malwarebasierten Angriffe. (good night signaturbasierte Lösungsansätze)

Zudem etablieren sich Geschäftsmodelle wie RaaS (Ransomware-as-a-Service Entwickler), MaaS (Malware-as-a-Service Entwickler), DaaS (Download-as-a-Service zur Verbreitung von Schadcode) – auf die kriminelle Organisationen zurückgreifen und Unternehmen unter Zuhilfenahme dieser Dienste angreifen.

Die Möglichkeiten und Technologien, um sich zu schützen, werden allerdings auch besser und effektiver.

Lessons Learned

Da es immer wieder zu ausgeklügelten und koordinierten (targeted) “Enterprise-Ransomware” Angriffen kommt, sollten sich Unternehmen mit diesem Thema auseinandersetzen und die richtigen Vorkehrungen treffen.

• Widmen Sie sich dem Thema Vulnerability-Management – wir haben Ihnen hier Best Practices bereitgestellt
• Prüfen Sie Internet-Aufrufe in Echtzeit auf Vertrauenswürdigkeit – Blue Shield Umbrella liefert hier mit seiner SaaS-Architektur die notwendige Threat Intelligence, wodurch man auf keine zeitverzögerten Updates oder Signaturen mehr angewiesen ist
• Schützen Sie Identitäten, verwenden Sie 2-Faktor-Authentifizierung und Verschlüsselung, wo immer möglich
• Holen Sie Ihre Mitarbeiter mit ins Boot und bauen Sie dadurch Ihre First-Line of Defence aus – werfen Sie dazu einen Blick in unseren Blog-Beitrag “Informationssicherheit – so einfach wie das ABC”
• Implementieren Sie eine effektive Backup- und Disaster-Recovery Strategie – und testen Sie diese regelmäßig
• Setzen Sie sich mit dem Defence-in-Depth Ansatz auseinander und entwickeln Sie dadurch vielschichte und umfassende Cyber-Sicherheitsmaßnahmen auf allen Ebenen, die zu Ihrer Organisation passen
• Erweitern Sie Ihre Endpoint Protection Lösung um aktives EDR (Endpoint Detection and Response) – SentinelOne vereint die Erkennung, die Vermeidung und Beseitigung von Bedrohungen in derer Singularity Platform
• Reduzieren Sie Ihre “Attack Surface” und denken Sie an Angreifer, die Ihre vorhandenen Security Controls bereits überwunden haben – die Attack Management Platform von Illusive Networks unterstützt Sie dabei

Next Steps?

Wenn Sie sich die Frage stellen, “wo am besten anfangen?“, sind Sie tatsächlich gut beraten, sich mit dem Thema Incident Response auseinanderzusetzen.

Bei den verschiedenen Entwicklungsstufen eines IRP (Incident Response Plans), werden Sie sich unter anderem mit den oben genannten Themen befassen und die richtigen bzw. notwendigen Strategien für Ihr Unternehmen definieren. Als kleine Stütze können Sie sich die Phasen für die Erarbeitung eines IRP hier downloaden.

Natürlich unterstützen wir Sie gerne zu den verschiedenen Themen – denn

VORBEREITET ZU SEIN IST EINFACH, WENN MAN EINEN GUTEN PLAN HAT

KONTAKT: