Start Empfohlen Wie Ransomware manuell auf Opfer geht

Wie Ransomware manuell auf Opfer geht [Q&A]

55
0


Ransomware

Die Ransomware-Angriffe, die für Schlagzeilen sorgen, sind solche wie WannaCry und NotPetya, die sich schnell verbreiten und viele Unternehmen betreffen.

Aber es gibt eine neue Art von manuellen Ransomware-Angriffen, die versucht, ihre Opfer viel selektiver auszuwählen, um maximale Störungen zu verursachen. Wir haben mit Roy Fisher gesprochen, dem Vorfallermittler bei einem Cybersicherheitsunternehmen MWR um mehr herauszufinden.

BN: Was unterscheidet manuelle Ransomware?

RF: Herkömmliche Ransomware kommt durch eine Form von Phishing-Angriffen oder anderen „Spray-and-Bet“-Techniken. Manuelle Ransomware erfordert viel mehr Zeit und Mühe von den Angreifern. Sie versuchen, in das Netzwerk einzudringen und herauszufinden, was die kritischen Systeme sind. Sie zielen dann auf bestimmte Systeme ab, um maximalen Schaden zu verursachen. Es ist also ein viel fokussierterer Angriff.

BN: Wird es im gleichen Abstand wie andere Angriffe geliefert, zum Beispiel basierend auf Social Engineering?

RF: Kann sein, aber was wir im Allgemeinen sehen, ist, dass es eher eine traditionelle Netzwerkkompromittierung ist. Der Angreifer wird den Perimeter auf irgendeine Weise durchbrechen und ein wenig Zeit damit verbringen, den Netzwerkbereich zu erkunden. Sobald sie dies getan haben, werden sie in der Lage sein zu verstehen, was für den Betrieb des Unternehmens entscheidend ist und daher darauf abzielen sollte, um maximale Wirkung zu erzielen.

Der Angreifer wird einen viel größeren Aufwand betreiben, bevor die Ransomware ausgelöst wird. Dies bedeutet, dass es wahrscheinlicher ist, dass sie die maximale Wirkung erzielen und möglicherweise eine höhere Auszahlung erhalten.

BN: Ist manuelle Ransomware in erster Linie zum Geldverdienen gedacht und woher kommen diese Angriffe?

RF: Ja, aber wir haben auch gesehen, dass es darauf abzielen kann, das Geschäft in irgendeiner Weise zu stören. Es beabsichtigt, den Schaden für den Geschäftsbetrieb zu maximieren.

Wir vermuten, dass die meisten Angriffe von Gruppen der organisierten Kriminalität ausgehen. Diese werden sich nicht ausschließlich auf manuelle Angriffe konzentrieren, sondern versuchen, so viel Geld wie möglich zu verdienen, also werden sie auch andere ungezielte Angriffsmethoden einsetzen. Die alternative Angriffsart, die wir sehen, ist, dass jemand, der sich in ein Netzwerk eindringt, manuelle Ransomware ablegt, um das Sicherheitsteam abzulenken, sodass er möglicherweise sensible Daten stehlen kann.

BN: Wissen wir, wie groß das Problem ist?

RF: Nach allem, was wir gesehen haben, sind es nicht die großen Angriffe, die Schlagzeilen machen. Es ist sehr gezielt, wenn wir also davon hören, liegt es daran, dass es in Ermittlungen auftaucht. Bei MWR haben wir es ein paar Mal gesehen, im Moment nichts Übermäßiges. Wir vermuten, dass es in Zukunft eher als Ablenkungstaktik eingesetzt wird.

BN: Wird eine bestimmte Art von Ransomware verwendet?

RF: Nein, es kann alles sein, es kann ein Standardcode sein oder er könnte auf eine bestimmte Anwendung innerhalb eines Unternehmens zugeschnitten sein. Da die Angreifer einen besseren Überblick darüber haben, wie die internen Systeme der Opfer aussehen, können sie die Ransomware anpassen und diese interne Umgebung bestmöglich angreifen.

Es ist auch nicht auf eine bestimmte Plattform ausgerichtet, sondern kann verwendet werden, um jede Art von System anzugreifen.

BN: Werden bestimmte Arten von Organisationen angegriffen?

RF: Im Moment scheint es flächendeckend zu sein, aber wir sehen derzeit nur Einzelfälle, daher ist es nicht weit verbreitet und es ist zu früh, um einen Trend zu erkennen. Auch geografisch findet es dort statt, wo es für den Angreifer in Bezug auf die aktuelle Gefährdung oder das Ziel, das er zu erreichen versucht, am vorteilhaftesten sein kann.

BN: Wie gut funktionieren diese Angriffe, bringen sie Geld für die Täter?

RF: Es ist schwer für uns zu wissen, wie gut sie finanziell arbeiten. In Bezug auf das Verwischen der Spuren der Angreifer ist dies eine sehr effektive Technik, die die forensische Arbeit zur Aufdeckung des Geschehens komplexer macht.

Diese Angriffe sind im Vergleich zu Sprüh- und Gebetsangriffen auf einem recht niedrigen Niveau und da sie gut gezielt sind, sind sie von Natur aus kleiner, aber das Volumen der Angriffe scheint zuzunehmen.

BN: Was müssen Unternehmen tun, um sich zu schützen?

RF: Aufgrund der Art des Angriffs ist es am besten, einem traditionellen Erkennungs- und Reaktionspfad zu folgen. Sicherstellen, dass etwaige Kompromisse durch Erkennungstechnologien erkannt werden können und dann in der Lage sein, angemessen schnell zu reagieren, bevor sich ein Angriff ausbreiten kann. Die Ransomware-Komponente ist in diesen Fällen wirklich nur ein Teil eines größeren Angriffs.

Bildnachweis: Carlos Amarillo/Shutterstock



Vorheriger ArtikelNetMarketShare passt seine Zahlen an – Windows 8.x verliert immer noch großen Nutzungsanteil
Nächster ArtikelGoogle bietet Ihnen die Möglichkeit, Tour de France zu fahren

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein