FUNKTIONSWEISE
Gute Datensicherungen können herkömmliche Ransomware besiegen. Wenn eine Organisation über eine weitere Kopie ihrer Daten verfügt, muss sie nicht für einen Entschlüsselungsschlüssel bezahlen, um sie wiederherzustellen.
Double-Extortion-Ransomware meistert diese Herausforderung, indem sie Datendiebstahl mit Datenverschlüsselung kombiniert. Indem der Ransomware-Betreiber Daten stiehlt und damit droht, sie preiszugeben, wenn kein Lösegeld gezahlt wird, kann er erfolgreich Lösegeld erpressen, selbst wenn ein Unternehmen über Backups verfügt und andernfalls ohne Zahlung wiederherstellen könnte.
Angriffssequenz der Double Extortion Ransomware
Double-Extortion-Ransomware fügt der Angriffskette einer Ransomware- Infektion zusätzliche Stufen hinzu und umfasst wahrscheinlich die folgenden Schritte:
- Erster Zugriff: Die Malware erhält ersten Zugriff auf das Unternehmensnetzwerk, wahrscheinlich über eine Benutzer-Workstation.
- Lateral Movement: Die Malware bewegt sich durch das Unternehmensnetzwerk zu einem höherwertigen Ziel, beispielsweise einem Datenbankserver.
- Datenexfiltration: Die Ransomware exfiltriert vertrauliche Informationen an den Angreifer, bevor sie gut sichtbare Verschlüsselungsvorgänge durchführt.
- Datenverschlüsselung: Die Malware verschlüsselt Dateien auf infizierten Systemen.
- Lösegeldforderung: Die Ransomware verlangt ein Lösegeld, um Dateien zu entschlüsseln oder gestohlene Daten zu löschen.
Potenzielle Risiken und Auswirkungen
Eine erfolgreiche Ransomware-Infektion kann für ein Unternehmen äußerst schädlich sein. Zu den häufigsten Auswirkungen gehören die folgenden:
- Finanzielle Verluste: Double-Extortion-Ransomware verursacht für das Unternehmen verschiedene potenzielle Kosten. Zusätzlich zu den Kosten für die Behebung des Vorfalls kann das Unternehmen während des Angriffs Umsatzeinbußen erleiden und muss möglicherweise rechtliche und behördliche Strafen zahlen.
- Reputationsschaden: Ein erfolgreicher Ransomware-Angriff kann dem Ruf und der Marke eines Unternehmens schaden. Das Versäumnis, Kundendaten zu schützen, und das Potenzial für unterbrochene Dienste aufgrund des Angriffs können zu Kundenabwanderung führen oder das Unternehmen dazu zwingen, den betroffenen Kunden eine Entschädigung zu zahlen.
- Datenverlust: Einige Formen der Double-Extortion-Ransomware verschlüsseln Daten und stehlen sie auch. Selbst wenn ein Unternehmen das Lösegeld zahlt oder über Backups verfügt, können möglicherweise nicht alle Daten wiederhergestellt werden.
- Regulatorische Strafen: Der Diebstahl sensibler Daten durch eine Ransomware-Gruppe stellt einen meldepflichtigen Datenverstoß dar. Eine Organisation kann infolgedessen für die Zahlung von behördlichen Strafen haftbar gemacht werden.
Beispiele für Double Extortion Ransomware
Viele Ransomware-Gruppen haben die Methode der doppelten Erpressung übernommen. Zu den bekanntesten gehören:
- Labyrinth: Die Ransomware-Gruppe Maze entstand im Jahr 2020 und leistete Pionierarbeit bei Ransomware-Angriffen mit doppelter Erpressung.
- REvil: REvil ist eine Ransomware as a Service (RaaS)-Gruppe, die erstmals 2019 entdeckt wurde.
- Dunkle Seite: DarkSide ist eine RaaS-Gruppe, die 2020 entstanden ist und für den Colonial Pipeline-Hack bekannt ist.
- Schwarze Materie: BlackMatter entstand im Jahr 2021 und behauptet, die Nachfolge der Gruppen REvil und DarkSide anzutreten, die nicht mehr in Betrieb sind.
- LockBit: LockBit entstand im Jahr 2019 und ist ein RaaS, das bei seinen Angriffen selbstverbreitende Malware nutzt.
So verhindern Sie Double-Extortion-Ransomware-Angriffe
Zu den Best Practices für Cybersicherheit zum Schutz des Unternehmens vor Ransomware-Angriffen gehören die folgenden:
- Schulung zur Sensibilisierung für Cybersicherheit: Viele Ransomware-Varianten nutzen Social-Engineering-Angriffe wie Phishing, um Zugang zum Netzwerk eines Unternehmens zu erhalten. Die Schulung der Mitarbeiter, um diese Bedrohungen zu erkennen und angemessen zu reagieren, verringert das Risiko eines Vorfalls.
- Datensicherungen: Double-Extortion-Ransomware beinhaltet zwar Datendiebstahl, kann aber auch wertvolle Daten verschlüsseln. Datensicherungen ermöglichen es einem Unternehmen, seine Daten wiederherzustellen, ohne sie verschlüsseln zu müssen.
- Patchen: Einige Ransomware-Varianten nutzen Software-Schwachstellen aus, um auf Computer zuzugreifen und diese zu infizieren. Das rechtzeitige Einspielen von Patches und Updates kann helfen, diese Sicherheitslücken zu schließen, bevor sie ausgenutzt werden können.
- Starke Benutzerauthentifizierung: RDP und andere Fernzugriffsprotokolle werden häufig verwendet, um Unternehmenssysteme mit Ransomware zu infizieren. Der Einsatz einer starken Authentifizierung – einschließlich der Mehrstufigen Authentifizierung (MFA) – kann dazu beitragen, Angreifer daran zu hindern, kompromittierte Anmeldeinformationen zur Verbreitung von Malware zu verwenden.
- Netzwerksegmentierung: Ransomware-Gruppen müssen sich häufig seitlich durch das Netzwerk einer Organisation vom Ort der Erstinfektion zu hochwertigen Systemen bewegen. Die Netzwerksegmentierung – die das Netzwerk in isolierte Abschnitte unterteilt – kann dabei helfen, diese seitliche Bewegung zu erkennen und zu verhindern.
- Anti-Ransomware-Lösungen: Die Dateiverschlüsselung von Ransomware erzeugt ein eindeutiges Aktivitätsmuster auf einem Computer, und viele Varianten verfügen über bekannte Signaturen. Anti-Ransomware-Lösungen können Ransomware-Infektionen erkennen und blockieren oder beheben, bevor sie dem Unternehmen erheblichen Schaden zufügen.
- Bedrohungsinformationen: Das Wissen über die neuesten Ransomware-Angriffskampagnen ist für den Schutz davor von unschätzbarem Wert. Durch die Integration von Bedrohungsinformations-Feeds in Cybersicherheitslösungen können sie Ransomware-Angriffe genauer identifizieren und blockieren.
Verhindern Sie Ransomware-Angriffe mit Check Point
Ransomware-Angriffe mit doppelter Erpressung stellen eine erhebliche Bedrohung für Unternehmen dar, da sie Backups als Schutz gegen Ransomware aushebeln können. Weitere Informationen zum Schutz vor dieser Bedrohung finden Sie im CISO-Leitfaden zur Ransomware-Prävention.
Ransomware ist eine von vielen Cyber-Bedrohungen, denen Unternehmen ausgesetzt sind, wie im Cybersicherheit Report von Check Point ausführlich beschrieben. Check Point Harmony Endpoint bietet starken Schutz vor Ransomware und anderen Bedrohungen der Endgerätesicherheit. Um mehr über den Umgang mit der Bedrohung der Endgerätesicherheit für Ihr Unternehmen zu erfahren, melden Sie sich für eine kostenlose Demo an.