Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

FBI warnt vor doppelten Ransomware-Angriffen auf Unternehmen

Das U.S. Federal Bureau of Investigation (FBI) hat Erkenntnisse über einen aufkommenden Trend im Bereich der Cyberkriminalität veröffentlicht. Seit Juli des laufenden Jahres beobachtet die Bundesbehörde vermehrt Ransomware-Angriffe auf solche Unternehmen, die kurz zuvor bereits Opfer eines solchen Angriffs waren.

Bedrohungen
Lesezeit 1 Min.

Die Warnung des FBI hebt eine neue Dimension von Ransomware-Angriffen hervor, da nun vermehrt doppelte Angriffe auf dieselben Ziele verzeichnet werden. „Bei diesen Angriffen setzten Cyber-Bedrohungsakteure zwei verschiedene Ransomware-Varianten gegen die Opferunternehmen ein, und zwar die folgenden Varianten: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum und Royal“, so das FBI in einer Warnung. „Die Varianten kommen in verschiedenen Kombinationen zum Einsatz.“

Über das Ausmaß solcher Angriffe ist nicht viel bekannt, obwohl man davon ausgeht, dass sie in engem zeitlichem Abstand zueinander stattfinden – zwischen 48 Stunden und 10 Tagen. Eine weitere Veränderung, die bei Ransomware-Angriffen beobachtet wurde, ist der verstärkte Einsatz von Datendiebstahl, Wiper-Tools und Malware, um die Opfer zur Zahlung zu drängen.

„Dieser Einsatz von zwei Ransomware-Varianten führte zu einer Kombination aus Datenverschlüsselung, Datenexfiltration und finanziellen Verlusten durch Lösegeldzahlungen“, so die amerikanische Bundesagentur. „Zweite Ransomware-Angriffe auf ein bereits kompromittiertes System könnten den Schaden bei den betroffenen Unternehmen erheblichen steigern.“

Allerdings sind doppelte Ransomware-Angriffe kein völlig neues Phänomen. So wurden beispielsweise bereits im Mai 2021 Fälle beobachtet. Letztes Jahr enthüllte Sophos, dass ein ungenannter Automobilzulieferer innerhalb von zwei Wochen zwischen April und Mai 2022 von einem dreifachen Ransomware-Angriff mit Lockbit, Hive und BlackCat betroffen war. Anfang September berichtete Symantec über einen 3AM-Ransomware-Angriff auf ein ungenanntes Opfer, nachdem ein Versuch, LockBit im Zielnetzwerk zu installieren, gescheitert war.

Die Verlagerung der Taktik lässt sich auf mehrere Faktoren zurückführen, darunter die Ausnutzung von Zero-Day-Schwachstellen und die verstärkte Ausbreitung von Initial Access Brokern und Affiliates in der Ransomware-Landschaft, die den Zugang zu den Systemen der Opfer weiterverkaufen und verschiedene Ransomware-Stämme in schneller Folge einsetzen können.

Unternehmen sollten angesichts dieser Entwicklung ihre Abwehr stärken. So sollten sie Offline-Backups erstellen, externe Remote-Verbindungen und den Einsatz des Remote-Desktop-Protokolls (RDP) überwachen, eine Phishing-resistente Multi-Faktor-Authentifizierung durchsetzen, Benutzerkonten überprüfen und Netzwerke segmentieren, um die Ausbreitung von Ransomware zu verhindern.

Diesen Beitrag teilen: