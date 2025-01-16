Auch gegen Ende des Jahres 2024 bleibt Ransomware eine dominante und sich weiterentwickelnde Bedrohung für jedes Unternehmen. Cyberkriminelle arbeiten ausgeklügelter und kreativer denn je. Sie integrieren neue Technologien, nutzen geopolitische Spannungen und nutzen sogar rechtliche Vorschriften zu ihrem Vorteil.
Was einst wie ein störendes, aber relativ unkompliziertes Verbrechen aussah, hat sich zu einer vielschichtigen, globalen Herausforderung entwickelt, die weiterhin Unternehmen und Regierungen gleichermaßen bedroht.
Sehen wir uns einmal den aktuellen Stand der Ransomware an. Wir konzentrieren uns darauf, wie Cyberkriminelle ihre Taktiken ändern, sich auf KI-Technologie verlassen, rechtliche Frameworks ausnutzen und vieles mehr.
Eine der bedeutendsten Entwicklungen in der Ransomware-Landschaft ist der Einsatz von künstlicher Intelligenz (KI) zur Verbesserung von Phishing- und Social-Engineering-Angriffen. Früher enthielten Phishing-E-Mails oft offensichtliche Anzeichen von Betrug – falsch geschriebene Wörter, schlechte Grammatik und allgemeine Botschaften. Neue generative KI-Tools sind jedoch in der Lage, hochgradig personalisierte und professionell aussehende E-Mails zu erstellen, was das Spiel drastisch verändert hat. Das erklärt wahrscheinlich, warum das Volumen und die Erfolgsraten von Phishing-Angriffen steigen, da Phishing-Kampagnen leichter zu erstellen und überzeugender sind als je zuvor.
KI ermöglicht es Bedrohungsakteuren, riesige Datenmengen zu durchsuchen, um überzeugende E-Mails zu erstellen, die auf bestimmte Personen oder Unternehmen abzielen. Diese E-Mails können kontextuelle Informationen enthalten, die sie legitim erscheinen lassen, was die Erfolgswahrscheinlichkeit deutlich erhöht. Die Fähigkeit, so präzise Angriffe auszuführen, ist der Grund, warum Ransomware für Branchen wie das Gesundheitswesen, wo jede Störung lebensbedrohliche Folgen haben kann, besonders verheerend ist.
Darüber hinaus hat die KI-generierte Deepfake-Technologie begonnen, beim Social Engineering eine Rolle zu spielen. Cyberkriminelle können nun Audio- und Video-Deepfakes von Unternehmensleitern erstellen, um Mitarbeiter dazu zu bringen, Geld zu überweisen oder sensible Daten preiszugeben. Dies hat die Aufdeckung von Betrugsfällen deutlich erschwert, und es wird für Unternehmen zunehmend schwieriger, sich vor solchen Angriffen zu schützen.
Ransomware-Gruppen setzen nicht nur auf technische Mittel, um Opfer zur Zahlung von Lösegeld zu zwingen – sie manipulieren auch Rechtsvorschriften zu ihrem Vorteil. Eine der auffälligsten Entwicklungen im Jahr 2024 war die Instrumentalisierung von Offenlegungsvorschriften, insbesondere derjenigen, die von der US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) erlassen wurden.
Ein kürzlich bekannt gewordener Fall betraf die Ransomware-Gruppe BlackCat/ALPHV, die eine formelle SEC-Beschwerde gegen einen Anbieter von digitalen Krediten einreichte. Nach dem Zugriff auf die Unternehmensdateien meldete die Gruppe angeblich der SEC, dass der Anbieter gegen Vorschriften verstoßen habe, wonach Unternehmen verpflichtet sind, alle Vorfälle im Bereich der Cybersicherheit innerhalb von vier Werktagen offenzulegen. Diese zusätzliche „legale“ Taktik sollte die Opfer unter Druck setzen, das Lösegeld zu zahlen, um finanzielle Strafen oder Reputationsschäden zu vermeiden.
Dieser beunruhigende Vorfall zeigt, dass Ransomware-Gruppen alles, auch die Regierung, als Hebel nutzen. „Bedrohungsakteure nutzen die Vorschriften, um den Druck auf die Opfer zu erhöhen. Das ist ein durchaus interessanter Trend“, bemerkte Ifigeneia Lella, Expertin für Cybersicherheit bei der Agentur der Europäischen Union für Cybersicherheit (ENISA). Es ist eine erschreckende Erinnerung daran, dass Frameworks, die eigentlich dem Schutz der Öffentlichkeit und der Förderung von Transparenz dienen sollen, von böswilligen Akteuren manipuliert werden können, um ihre eigenen schädlichen Ziele zu verfolgen.
Laut dem ENISA Threat Landscape 2024 Report kam es im vergangenen Jahr zu einer verstärkten Nutzung von „Living-off-the-land“-Techniken (LOTL) durch Cyberkriminelle. Bei LOTL-Angriffen werden Tools und Software eingesetzt, die bereits im System des Opfers vorhanden sind, was es den Sicherheitsteams erschwert, schädliche Aktivitäten zu erkennen. Anstatt sich auf externe Malware zu verlassen, die von Antivirensoftware markiert werden kann, nutzen Angreifer legitime Verwaltungstools wie PowerShell oder Windows Management Instrumentation (WMI), um ihre Angriffe auszuführen.
Zum Beispiel nutzt PLAY, eine Multi-Erpressungs-Ransomware-Gruppe, häufig handelsübliche Tools wie Cobalt Strike, Empire und Mimikatz zur Entdeckung und Lateralbewegung innerhalb des Netzwerks eines Ziels. Indem Angreifer die Einführung neuer, verdächtiger Software vermeiden, können sie sich über längere Zeiträume der Erkennung entziehen, oft so lange, bis es für das Opfer zu spät ist, effektiv zu reagieren. Diese Verlagerung hin zu LOTL-Techniken stellt eine anhaltende Herausforderung für die Cybersicherheit dar, da herkömmliche Antivirenlösungen gegen diese subtilen Angriffe immer weniger wirksam werden.
Neben den technologischen Fortschritten wird Ransomware zunehmend auch als Waffe geopolitischen Einflusses und des Hacktivismus eingesetzt. Cyberkriminelle sind nicht mehr nur durch finanzielle Gewinne motiviert; einige verwenden Malware, um politische Agenden voranzutreiben, Regierungen zu destabilisieren oder Chaos in bestimmten Regionen zu stiften.
Der ENISA-Bericht hob hervor, wie geopolitische Spannungen mit Ransomware-Angriffen zusammenwirken. So griffen während des Russland-Ukraine-Konflikts Ransomware-Gruppen entscheidende Infrastrukturen in der Ukraine und anderen mit der Ukraine verbündeten Ländern an. Diese Angriffe waren nicht unbedingt finanziell, sondern eher politisch motiviert. Ziel war es, nationale Operationen zu stören oder Schlüsselsektoren wie Energie, Gesundheitswesen und Verkehr lahmzulegen.
Zudem schließen sich Hacktivisten-Gruppen mit Ransomware-Banden zusammen, um ihre eigenen ideologischen Ziele durchzusetzen. Zum Beispiel haben Angriffe auf die öffentliche Verwaltung und den Verkehrssektor zugenommen, oft im Zusammenhang mit bestimmten politischen Ereignissen oder globalen Bewegungen. Wenn die Cyberkriminalität zunehmend politisiert wird, müssen Unternehmen und Regierung erkennen, dass Ransomware nicht mehr nur eine finanzielle Bedrohung darstellt, sondern auch ein Instrument der Störung auf globaler Ebene ist. Und angesichts der zunehmenden geopolitischen Spannungen auf der ganzen Welt werden diese Arten von Angriffen immer häufiger.
Trotz weltweiter Bemühungen zur Eindämmung von Ransomware steigt die Zahl der Ransomware-Angriffe weiter an. Laut dem Ransomware Tracker stieg die Zahl der auf Erpressungsseiten veröffentlichten Opfer im Mai 2024 auf 450, gegenüber 328 im April, und war damit einer der aktivsten Monate der letzten Jahre.
Branchen wie das Gesundheitswesen, die öffentliche Verwaltung, das Transportwesen und der Finanzsektor gehören zu den am stärksten betroffenen. Diese Sektoren sind besonders anfällig aufgrund ihrer Abhängigkeit von digitaler Infrastruktur und der schwerwiegenden Folgen von betrieblichen Ausfallzeiten. So meldete das U.S. Department of Health and Human Services einen Anstieg von Hackerangriffen um 256 % im Gesundheitswesen in den letzten fünf Jahren, was die erhöhte Anfälligkeit dieses Sektors unterstreicht.
Die finanziellen Auswirkungen von Ransomware nehmen auch 2024 weiter zu, wobei die Kosten über die Lösegeldzahlungen hinausgehen. Einem Branchenbericht zufolge belaufen sich die durchschnittlichen Wiederherstellungskosten für Ransomware-Opfer in der Regierung auf 2,73 Millionen USD, mehr als doppelt so viel wie im Jahr 2023. Diese Kosten umfassen nicht nur Lösegeldzahlungen, sondern auch Ausgaben im Zusammenhang mit Ausfallzeit, verlorenen Daten, betrieblichen Störungen und Reputationsschäden.
Auch die Lösegeldforderungen selbst schnellen in die Höhe. Der Bericht stellt fest, dass die durchschnittliche Lösegeldforderung an staatliche und lokale Regierungen derzeit 3,3 Millionen US-Dollar beträgt, wobei einige Forderungen 5 Millionen US-Dollar übersteigen. Weltweit verzeichnen Branchen wie Gesundheitswesen, Energie und Bildung ähnliche Trends. Schlimmer noch, hohe Lösegeldforderungen und erhebliche Wiederherstellungskosten können kleinere Unternehmen lähmen oder sogar zum Erliegen bringen.
Die Ransomware-Landschaft im Jahr 2024 wird immer komplexer. Mit KI-gestützten Phishing-Kampagnen, Techniken des „Live-off-the-Land“-Prinzips, der Ausbeutung rechtlicher Frameworks und der Zusammenführung geopolitischer Spannungen stand heute so viel auf dem Spiel wie nie zuvor. Fortschritte bei KI-Cybersicherheitstools und ein wachsendes Bewusstsein für diese sich entwickelnden Taktiken bieten jedoch Wege zur Verbesserung der Verteidigung.
So wie sich Cyberkriminelle anpassen und innovieren, müssen sich auch Cybersicherheitsexperten und Unternehmen anpassen. Proaktive Maßnahmen wie Schwachstellenmanagement, der Einsatz robuster Backup-Strategien und Investitionen in Einsatzbereitschaftsfähigkeiten sind unerlässlich, um dieser allgegenwärtigen Bedrohung entgegenzuwirken. Ransomware mag sich weiterentwickeln, aber das gilt auch für die Tools und Strategien, die zu ihrer Bekämpfung eingesetzt werden.