Morsecode und doppelte Erpressung:Der Stand der Malware heute

Ransomware ist in Unternehmensnetzwerken kein Unbekannter, da sie enorme Risiken und noch größere Wiederherstellungsbemühungen birgt, die ziemlich kostspielig sind. Erfolgreiche Ransomware-Angriffe können zu gesperrten Systemen, gestohlener Identität und als Geisel gehaltenen Daten führen, was bei den Zielunternehmen Chaos und Katastrophe anrichten kann.
Wenn Ransomware ihr Ziel erreicht, ist das Spiel praktisch vorbei. Die Malware verschlüsselt Dateien und verbreitet sich über das gesamte System, um den Schaden zu maximieren, was viele Unternehmen dazu zwingt, Netzwerke zu sperren, um die Verbreitung zu stoppen.

Obwohl Verschlüsselung überall verwendet wird, ist sie nicht mit Hashing oder Verschleierung von Dateien zu verwechseln. Hashing- und Verschleierungstechniken sind hilfreich, um Erkennungstools zu umgehen, während Ransomware Ihre Daten aufgrund der Verschlüsselung als Geisel nimmt.

Jeder verwendet unterschiedliche Arten von Kryptographie, von modernen symmetrischen Chiffren bis hin zu asymmetrischen Chiffren, um jede Rückoperation ohne Schlüssel zu verhindern.

Viele Ransomware-Stämme zeigen nach der Verschlüsselung einen „besonderen Hinweis“ an, der vorschreibt, dass die einzige Möglichkeit zum Entschlüsseln der Dateien darin besteht, Bitcoins an die Brieftasche der Kriminellen zu senden. Wie wir jedoch wissen, sind einige Formen von Ransomware entschlüsselbar und das Lösegeld muss nicht bezahlt werden, oder die Last sollte nicht allein auf der Cyber-Versicherung liegen. Jigsaw beispielsweise, eine uralte Form von Malware, die erstmals 2016 geprägt wurde, enthält den Schlüssel zum Verschlüsseln von Dateien im Quellcode. Wir haben diese Art von Angriff dieses Jahr vor kurzem wieder im Morsecode gesehen, was bewiesen hat, dass Kriminelle trotz der Weiterentwicklung von Malware alles verwenden, was funktioniert. P>

Die jüngsten Angriffe verschlüsseln nicht nur Daten. Die Malware ist auch in der Lage, kritische Informationen vor der Verschlüsselung zu exfiltrieren. Da sich der Schutz vor Ransomware verbessert, insbesondere durch Entfernungs- und Wiederherstellungsstrategien, nutzen Hacker gestohlene Daten als neuen Hebel, damit sie die Opfer weiterhin bedrohen können, wenn sie das Lösegeld nicht zahlen, was eine doppelte Ransomware-Bedrohung darstellt.

Wir haben kürzlich beobachtet, dass Bedrohungsakteure ein Modell der „doppelten Erpressung“ anwenden, bei dem sie die Daten des Ziels verschlüsseln und nicht nur ein Lösegeld für deren Rückgabe verlangen, sondern auch zusätzliche Zahlungsanreize nutzen, um den Druck auf das Opfer zu erhöhen, das Lösegeld zu zahlen. Einige Bedrohungsakteure werden sogar gezielter vorgehen und drohen, die Daten öffentlich freizugeben oder zu versteigern, es sei denn, das Opfer zahlt Datenschutzrichtlinien und Gesetze. Zwei solcher Beispiele sind Conti und REvil, beide auf unserer Liste der Nastiest Malware 2021, von denen bekannt ist, dass sie durchgesickerte Daten auf dunklen Websites veröffentlichen, wenn kein Lösegeld gezahlt wird.

Ein entscheidender Weg zur Verbesserung der Cyber-Resilienz – die Fähigkeit, Angriffen standzuhalten und den kontinuierlichen Zugriff auf Daten sicherzustellen – ist eine solide Backup-Strategie. Bemühungen können jedoch vergeblich sein, wenn Unternehmen vergessen, ihre Anforderungen klar aufzulisten und zu identifizieren, und ihre Verfahren dann nicht regelmäßig testen, um massive Ausfälle in den schlimmsten Momenten zu vermeiden.

Beim Datenschutz dreht sich alles um die Risikominderung, und Sie müssen sich einige wichtige Fragen stellen, um den umfassendsten Plan zu erstellen:

• Wie sind Ihre Daten mit Ihrem Geschäftsbetrieb oder Ihrem Umsatz verknüpft und müssen die Daten archiviert werden?
• Befinden sich die Daten in einem Altsystem, in dem sie möglicherweise regulatorischen Rahmenbedingungen unterliegen, die Ihr Unternehmen im Falle einer Datenverletzung strafen könnten?
• Auf welche Daten kann Ihr Unternehmen nicht verzichten?
• Wie lange kann es dauern, diese Daten wiederherzustellen?
• Was könnte eine vollständige Wiederherstellung kosten?

Cyberkriminelle werden ihre Ansätze weiter verfeinern und mit verschiedenen Geschäftsmodellen experimentieren, da evolutionäre Ransomware-Angriffe die Verfügbarkeit von Diensten und Datenströmen enorm belasten.

Während diese Gegner zweifellos weiterhin nach zusätzlichen Möglichkeiten suchen werden, um Druck auf die Opfer auszuüben, um ihre Chancen auf eine Auszahlung zu maximieren, können Sie befähigt werden, das für Sie heute wertvollste zu erhalten, indem Sie sowohl jetzt als auch starke Cyber-Resilienz-Praktiken einsetzen in der Zukunft.

David Dufour ist Vice President of Cybersecurity and Threat Intelligence Engineering mit Webroot und Carbonite, OpenText-Unternehmen.