Mit <kes>+ lesen

Remote-Ransomware: : Wie ein einziges verwundbares Gerät eine Katastrophe auslösen kann

Ransomware-Gruppen setzen verstärkt auf Remote-Verschlüsselung. Dabei handelt es sich um eine weiterentwickelte Taktik, um die Angriffe erfolgreicher zu machen.

Lesezeit 2 Min.

Unternehmen können Tausende von Computern an ihr Netzwerk angeschlossen haben – mit Remote-Ransomware reicht ein einziges ungeschütztes Gerät, um das gesamte Netzwerk zu kompromittieren. „Angreifer wissen das und suchen deshalb nach dieser einen ‚Schwachstelle‘ – und die meisten Unternehmen haben mindestens eine. Remote-Verschlüsselung wird ein ständiges Problem für Verteidiger bleiben“, so Mark Loman, Vice President of Threat Research bei Sophos.

Remote-Verschlüsselung, auch als Remote-Ransomware bekannt, tritt auf, wenn ein gehacktes Gerät dazu benutzt wird, Daten auf anderen Geräten im gleichen Netzwerk zu verschlüsseln.

Im Oktober 2023 hat Microsoft berichtet, dass etwa 60 Prozent der Ransomware-Angriffe jetzt böswillige Remote-Verschlüsselung verwenden, um ihre Spuren möglichst zu verbergen. Über 80 Prozent dieser Angriffe kommen von Geräten, die nicht verwaltet werden.

Sophos berichtet, dass Ransomware-Familien wie Akira, ALPHV/BlackCat, BlackMatter, LockBit und Royal die Remote-Verschlüsselungstechnik nutzen. Diese Methode gibt es schon eine Weile – bereits im Jahr 2013 hatte CryptoLocker es auf Netzwerkfreigaben abgesehen.

Ein wesentlicher Vorteil dieses Ansatzes für die Angreifer ist, dass er prozessbasierte Sanierungsmaßnahmen unwirksam macht. Die verwalteten Rechner können die bösartige Aktivität nicht erkennen, da sie ja nur auf einem nicht verwalteten Gerät abläuft.

Die Entwicklung geht Hand in Hand mit gravierenden Veränderungen in der Ransomware-Landschaft insgesamt: Die Angreifer benutzen ungewöhnliche Programmiersprachen, zielen auf Systeme außerhalb von Windows ab, versteigern gestohlene Daten und starten ihre Angriffe außerhalb der üblichen Arbeitszeiten und am Wochenende, um Sicherheitsmaßnahmen zu umgehen.

Sophos hat in einem kürzlich veröffentlichten Bericht die Verbindung zwischen Ransomware-Banden und den Medien betont. Das Unternehmen spricht von einer „symbiotischen, aber oft sehr unangenehmen Beziehung“, in der die Banden nicht nur Aufmerksamkeit erregen, sondern auch die Berichterstattung beeinflussen wollen. Immer häufiger gehen sie publikumswirksam gegen Darstellungen vor, mit denen sie nicht einverstanden sind.

Das beinhaltet auch das Veröffentlichen von FAQs und Pressemitteilungen auf den Webseiten, die für Datenlecks erstellt wurden. Diese enthalten manchmal sogar direkte Zitate der Täter und beheben Fehler, die Journalisten gemacht haben. Eine weitere Strategie ist die Verwendung auffälliger Namen und ansprechender Grafiken, was darauf hinweist, dass Internetkriminalität immer professioneller wird.

Zum Beispiel hat die RansomHouse-Gruppe eine Nachricht auf ihrer Webseite für Datenlecks platziert, die speziell an Journalisten gerichtet ist. Dort bieten sie an, Informationen über einen „PR-Telegram-Kanal“ zu teilen, bevor sie offiziell veröffentlicht werden, wie von Sophos berichtet.

Ransomware-Gruppen wie Conti und Pysa sind dafür bekannt, dass sie eine Art Unternehmensorganisation mit verschiedenen Rollen wie Führungskräften, IT-Experten, Entwicklern, Personalabteilungen und Rechtsteams haben. Es gibt Hinweise darauf, dass einige von ihnen in kriminellen Foren nach englischsprachigen Autoren und Sprechern suchen.

Die Beteiligung in den Medien gibt diesen Ransomware-Banden taktische und strategische Vorteile. Sie können Druck auf ihre Opfer ausüben und gleichzeitig ihre eigene Geschichte zu einer Legende aufbauschen.

Diesen Beitrag teilen: