Holstein IT-Solutions TrueNAS
StartIT SecurityRansomware? Solltest Du endlich ernst nehmen!

Ransomware? Solltest Du endlich ernst nehmen!

Veröffentlicht am:

Dir gefällt dieser Artikel? Unterstütze unsere Arbeit mit einer Spende für unsere Kaffeekasse.

Die größte Benzin-Pipeline der USA ist nach einer Ransomware-Attacke auf den Betreiber des Systems, Colonial Pipeline, größtenteils außer Betrieb. Berichten zufolge stahlen die Angreifer zunächst fast 100 Gigabyte an Daten, sperrten anschliessend die Rechner – und verlangten Lösegeld. Colonial hofft, das gesamte System bis Ende der Woche wieder in Betrieb nehmen zu können. Bis dahin gilt der regionale Notstand und das Öl wird in Tanklastern transportiert.

Die Pipeline ist die Hauptquelle für Diesel, Benzin und Flugzeugtreibstoff für die amerikanische Ostküste. Über die Pipeline fließen täglich mehr als 300 Millionen Liter Treibstoff von den Raffinerien zu den wichtigsten Drehkreuzen, einschließlich der Flughäfen in Atlanta, North Carolina und New York City.

Der Angriff hat auch Auswirkungen auf die Verbraucher. Die Rohölpreise stiegen zwar seit Bekanntwerden des Angriffes erst um etwa 1%. Aber wenn der Stillstand länger als erwartet dauert, könnten die Preise um mehr als nur ein paar Cent steigen.

Als Hauptverdächtiger gilt Darkside. Die Gruppe erfahrener Cracker hat sich darauf spezialisiert, so viel Geld wie möglich aus ihren Opfern herauszupressen. Mehrere Milliarden US-Dollar an Verlusten soll das westliche Nationen in den letzten drei Jahren schon gekostet haben.

Ransom…Was?!

Die so genannte encrypting ransomware ist eine Form schadhafter Software, vielen als Malware (maleficent software) bekannt. Eine Ransomware zielt darauf ab, Unternehmensdaten durch Verschlüsselung unbrauchbar zu machen. Anschließend wird von den betroffenen Firmen Lösegeld erpresst. Das Lösegeld soll meistens in Form von Kryptowährungen (z. B. Bitcoin) gezahlt werden. Das hat einen guten Grund: Konten für solche Kryptowährungen sind meistens anonym – wer dahinter steckt, lässt sich kaum feststellen.

Ransomware hat eine lange Geschichte. Der PC-Cyborg – die erste bekannte Ransomware – war auch gleich noch eine frühe Form eines Advanced Persistent Threat (APT): es brauchte 90 Boot-Vorgänge, um sich zu aktivieren. Allerdings nutzte es eine so einfache Verschlüsselung, dass jeder halbwegs versierte Computernutzer ohne fremde Hilfe wieder an seine Daten kam. Nach weiteren eher halbherzigen Erpressungsversuchen mit verschlüsselten Daten hatten eine Zeit lang so genannte Locker Konjunktur. Für erfahrene Anwender war das immer noch keine ernste Bedrohung. Das änderte sich erst 2013. Die Ransomware CryptoLocker nutzte eine für militärische Zwecke geeignete Verschlüsselung. Die für die Entschlüsselung notwendigen Schlüssel wurden erstmals nicht mehr lokal gespeichert, sondern remote auf einem Server im Netz. Das war so effektiv, dass diese Mechanismen bis heute angewendet werden. Prominente Vertreter der Neuzeit sind WannaCry und Petya (beide 2017), Ryuk (2018) oder Sodinokibi (2019). Mittlerweile entdecken die Angreifer zudem das volle Cloud-Potential und suchen bzw. attackieren ihre Ziele u. a. über Managed Serives Provider (MSPs). Cybersecurity Ventures verzeichnete bereits 2019 alle 14 Sekunden einen Angriffsversuch durch Ransomware.

Der 2020 Data Breach Investigations Report von Verizon deckt auf: 86% aller Cyberangriffe sind finanziell motiviert, hinter 55% der Attacken stecken kriminelle Organisationen. Von gezielten Angriffen über das Finden und Ausnutzen von Schwachstellen bis zum Einsatz schadhafter Software ist den Crackern dabei jedes Mittel recht.

Im Oktober 2019 schockte der Angriff auf den Maschinen und Anlagenbauer Pilz GmbH & Co. KG die deutsche Industrie. In einem Video spricht Geschäftsführer Thomas Pilz offen über den Hackerangriff auf sein Unternehmen. Seitdem folgen weitere erfolgreiche Angriffe.

Nur ein Unfall!

Beim Hackerangriff mit der Ransomware „DoppelPaymer“ wurden im September 2020 mehrere Server der Uniklinik Düsseldorf verschlüsselt. Der Angriff störte den Regelbetrieb der Klinik massiv: Operationen mussten ausgesetzt werden, die Notaufnahme war nicht einsatzfähig und Notarztwagen, Hubschrauber sowie Krankenwagen konnten die Uniklinik nicht anfahren. Auch der Zugriff auf Patientendaten war nicht mehr möglich. Die Attacke ging als erster Ransomware-Angriff mit Todesfolge in die Geschichte ein. Was war passiert? Ein Krankenwagen konnte die Uniklinik nicht anfahren und eine Frau erlag den Folgen eines Herzanfalls. Später stellte sich allerdings heraus, sie wäre wahrscheinlich sowieso gestorben. Die Angreifer behaupteten dennoch, dass sie eigentlich die Server der Düsseldorfer Universität treffen wollten.

Auch Darkside distanziert sich jetzt von dem Angriff auf die Pipeline. Ihr Ziel sei es nicht, medizinische, schulische oder staatliche Ziele anzugreifen. Man habe es ausschließlich auf große Unternehmen abgesehen. Außerdem spende man ja einen Teil der Einnahmen für wohltätige Zwecke.

Wir glauben den Crackern, “dass sie sich irgendwie schlecht fühlen.” In einer Erklärung, die gestern auf ihrer Website veröffentlicht wurde, betont DarkSide erneut, dass sie unpolitisch seien und begründen es abermals mit dem Ziel, “Geld zu verdienen, und nicht, Probleme für die Gesellschaft zu schaffen.”

Nun basiert aber ein Großteil des Geschäftes von DarkSide auch auf dem Verkauf von Ransomware. DarkSide möchte in Zukunft genauer darauf achten, welche Ziele ihre Kunden anvisieren. Dass das funktioniert, wagen wir entschieden zu bezweifeln.

Eingebaute Unverwundbarkeit für mehr Widerstandskraft

Firmen, Behörden und ganz besonders Betreiber kritischer Infrastruktur (KRITIS) sollten sich schützen. Und mit Schutz meinen wir nicht uralte Technologie wie Virenscanner. Netzwerksicherheit auf Basis von Whitelisting und mit Anomalie-Erkennung sollte das Mindeste sein. Außerdem hilft eine moderne Backup- und Disaster-Recovery-Strategie. Auf diese Form der Ransomware-Protection gehen wir in einem unserer nächsten Artikel noch detaillierter ein. So viel vorab: Cloud-Backup mit unverwundbaren (immutable) Dateisystemen und Instant-Recovery-Mechanismen spielen eine Rolle. Ein bisschen was dazu haben wir bereits in unserem Artikel über Backup und Disaster Recovery in der Cloud gesagt.

Werbung
European Cloud Summit

Auch interessant

HYCU R-Cloud: One-Stop-Data-Protection für SaaS-Plattformen

Backup ist ein alter Hut. Dennoch gibt es viele Gründe, sich jeden Tag auf's neue damit auseinander zu setzen. Einer dieser Gründe ist SaaS. Durchschnittlich 217 SaaS-Angebote nutzt ein Unternehmen. Oft sind sie sich dessen gar nicht so bewußt und viele Unternehmen wissen gar nicht, wo ihre Daten überall herumliegen. HYCU will ein stärkeres Bewusstsein für den Schutz von Daten in Unternehmen entwickeln und hat in den letzten drei Jahren an einer Lösung gearbeitet.

Kubernetes: Was ist es, warum ist es so kompliziert und was hilft?

Kubernetes ist ein Werkzeug zur Orchestrierung containerbasierter Anwendungen. Eigentlich. Es soll u. a. die Bereitstellung von Containern, die Verteilung von Workloads und die Verwaltung der Ressourcen automatisieren. Entwickelt hat es Google für seine eigene Cloud-Plattform. Es gibt unzählige Erweiterungen und Lösungen, die auf K8s aufsetzen. Alle großen Hyperscaler und viele kleinere Cloud Service Provider (CSP) unterstützen K8s. Allerdings: einfach ist es nicht.

Datensicherheit: Storage & Backup

Nachdem wir uns im letzten Artikel mit der allgemeinen Widerstandsfähigkeit von Unternehmen beschäftigt haben, konzentrieren wir uns diesmal auf Storage und Backup. Auch dazu gibt es einige aufschlussreiche Reports und wir haben einen Leitfaden zur Sicherheit von Storage gefunden.

Cybersicherheit in Unternehmen und Behörden: Status, Trends und Hilfestellung

Zum Jahreswechsel veröffentlichen viele Unternehmen Reports. Die Erfahrungen und Expertise der Anbieter können Unternehmen helfen, eine passende IT-Strategie zu entwickeln. Wir haben wichtige Einsichten für euch zusammengefasst. In diesem Artikel geht es um den Stand der Cybersicherheit und wie man sich künftig schützen sollte.

Mehr aus diesem Forum

HYCU R-Cloud: One-Stop-Data-Protection für SaaS-Plattformen

Backup ist ein alter Hut. Dennoch gibt es viele Gründe, sich jeden Tag auf's neue damit auseinander zu setzen. Einer dieser Gründe ist SaaS. Durchschnittlich 217 SaaS-Angebote nutzt ein Unternehmen. Oft sind sie sich dessen gar nicht so bewußt und viele Unternehmen wissen gar nicht, wo ihre Daten überall herumliegen. HYCU will ein stärkeres Bewusstsein für den Schutz von Daten in Unternehmen entwickeln und hat in den letzten drei Jahren an einer Lösung gearbeitet.

Kubernetes: Was ist es, warum ist es so kompliziert und was hilft?

Kubernetes ist ein Werkzeug zur Orchestrierung containerbasierter Anwendungen. Eigentlich. Es soll u. a. die Bereitstellung von Containern, die Verteilung von Workloads und die Verwaltung der Ressourcen automatisieren. Entwickelt hat es Google für seine eigene Cloud-Plattform. Es gibt unzählige Erweiterungen und Lösungen, die auf K8s aufsetzen. Alle großen Hyperscaler und viele kleinere Cloud Service Provider (CSP) unterstützen K8s. Allerdings: einfach ist es nicht.

Datensicherheit: Storage & Backup

Nachdem wir uns im letzten Artikel mit der allgemeinen Widerstandsfähigkeit von Unternehmen beschäftigt haben, konzentrieren wir uns diesmal auf Storage und Backup. Auch dazu gibt es einige aufschlussreiche Reports und wir haben einen Leitfaden zur Sicherheit von Storage gefunden.