Ransomware – Gruppen erpressten im ersten Quartal 2o21 mindestens 45 Millionen Dollar
27. Mai 2021Ransomware – Gruppen erpressten im ersten Quartal 2o21 mindestens 45 Millionen Dollar
Berlin, 27.5.2021
Laut dem eSentire Ransomware Report haben sechs Ransomware-Gruppen zwischen dem 1. Januar und dem 31. April des laufenden Jahres 292 Unternehmen angegriffen und dabei mindestens 45 Millionen US-Dollar erpresst.
Die Forscher von eSentire konzentrierten sich vor allem auf die Ransomware-Gruppen Ryuk/Conti, Sodin/REvil, CLOP und DoppelPaymer sowie auf die zwei Aufsteiger : DarkSide und Avaddon.
Laut eSentire hat jede Bande einen Branchen- Schwerpunkt gewählt. Danach greift die Ryuk/Conti-Gang vor allem Fertigungs-, Bau- und Transportunternehmen an. Seit 2018 bis Ende 2021 wurden insgesamt 352 Unternehmen in diesen Branchen mit Lösegeldzahlungen konfrontiet. In diesem Jahr fielen ihnen bereits 63 Unternehmen zum Opfer. Obwohl die Firmennamen in der Regel verschwiegen werden, gerät hin und wieder etwas an die Öffentlichkeit. Danach gehören der Broward County School District und die französische Tassenfirma CEE Schisler, die beide die exorbitanten Lösegelder nicht bezahlt haben, derzeit zu den bevorzugten Regionen.
Neben dem produzierenden Gewerbe machte die Gruppe im Jahr 2020 von sich reden, weil sie die IT-Systeme kleinerer Bundesregierungen in den Vereinigten Staaten angriff, darunter Jackson County, Georgia, Riviera Beach, Florida, und LaPorte County, Indiana. Alle drei Kommunalverwaltungen zahlten die Lösegelder, die zwischen 130.000 und fast 600.000 US-Dollar lagen. Die Gruppe griff in 2020 vor allem örtliche Krankenhäuser in den USA an.
Wie die Ryuk/Conti-Bande konzentrieren sich auch die Hintermänner der Sodin/REvil-Ransomware auf Organisationen des Gesundheitswesens sowie auf Angriffe auf Laptop-Hersteller. Von ihren 161 Opfern waren 52 im Jahr 2021 betroffen. Internationale Schlagzeilen machten sie mit Angriffen auf Acer und Quanta, zwei der größten Technologiehersteller der Welt.
Quanta, das Apple-Notebooks herstellt, wurde mit einer Lösegeldforderung von 50 Millionen Dollar konfrontiert. Das Unternehmen weigerte sich, zu zahlen, woraufhin die Sodin/REvil-Gang detaillierte Entwürfe eines Apple-Produkts durchsickern ließ. Die Bande drohte damit, weitere Dokumente zu veröffentlichen, zog aber die Fotos und jeden anderen Hinweis auf den Angriff im Mai zurück, so der Bericht, der anmerkt, dass Apple sich seitdem nicht mehr zu dem Eindringen geäußert hat.
Die DoppelPaymer/BitPaymer haben sich einen Namen gemacht, indem sie es auf Regierungseinrichtungen und Schulen abgesehen haben. Das FBI veröffentlichte im Dezember eine Mitteilung speziell über die Ransomware und wies darauf hin, dass sie für Angriffe auf kritische Infrastrukturen wie Krankenhäuser und Notdienste verwendet wird.
Der Bericht fügt hinzu, dass die meisten der 59 Opfer der Gruppe in diesem Jahr noch nicht öffentlich identifiziert wurden, mit Ausnahme des Büros des Generalstaatsanwalts von Illinois, das am 29. April angegriffen wurde.
Die Clop-Bande hat ihre Bemühungen darauf konzentriert, die weithin bekannte Schwachstelle im Dateiübertragungssystem von Accellion zu missbrauchen. Das eSentire-Team und Mayes erklären, dass die Gruppe die Schwachstelle ausgiebig nutzte und die Universität von Kalifornien, die US-Bank Flagstar, die globale Anwaltskanzlei Jones Day, den kanadischen Flugzeughersteller Bombardier, die Stanford University, den niederländischen Ölgiganten Royal Shell, die Universität von Colorado, die Universität von Miami, die Tankstellenfirma RaceTrac und viele mehr angriff.
Clop hat im Oktober 2020 die Darmstädter Software AG attackiert und forderte ein Lösegeld von 20 Millionen Dollar. Der zweitgrößte deutsche Software-Hersteller weigerte sich zu zahlen.
Der Bericht stellt fest, dass die Clop-Bande dafür berüchtigt wurde, dass sie angeblich die Dateien eines Unternehmens durchkämmt und Kunden oder Partner kontaktiert, um das Opfer zur Zahlung eines Lösegelds zu zwingen.
Die DarkSide-Gang ist in letzter Zeit durch ihren Angriff auf die Colonial Pipeline in die Schlagzeilen geraten, der einen politischen Feuersturm in den USA und einen Ansturm auf Tankstellen in Städten entlang der amerikanischen Ostküste auslöste.
Die Gruppe ist eine der jüngsten unter den führenden Ransomware-Gruppen, die laut dem Bericht Ende 2020 auftauchte. Aber sie sind bereits sehr aktiv und haben seit November 59 Opfer und in diesem Jahr 37 Opfer attackiert.
Der Bericht stellt fest, dass die DarkSide-Gruppe eine der wenigen ist, die als Ransomware-as-a-Service-Betrieb operiert und die Verantwortung an Auftragnehmer abgibt, die Ziele angreifen und das Lösegeld aufteilen. eSentire sagte, dass ihre Nachforschungen darauf hindeuten, dass die Leute hinter DarkSide nichts von der Colonial-Attacke wussten, bevor sie stattfand, und erst aus den Nachrichten davon erfuhren. Sie machten letzte Woche von sich reden, als sie angeblich alle ihre Operationen aufgrund der verstärkten Kontrolle durch die Strafverfolgungsbehörden einstellten.
Die Ransomware war in mehrere Angriffe auf Energieerzeuger verwickelt, wie z. B. auf eines der größten brasilianischen Stromversorgungsunternehmen, Companhia Paranaense de Energia, das sie im Februar angriff.
Die letzte untersuchte Gruppe ist die Avaddon-Bande, die diese Woche wegen ihres Angriffs auf das große europäische Versicherungsunternehmen AXA in den Nachrichten war. Der Angriff war bemerkenswert, weil AXA Dutzende von Unternehmen mit Cyberversicherungen versorgt und sich verpflichtet hat, ihren Kunden in Frankreich kein Lösegeld mehr zu erstatten.
Neben AXA hat die Gruppe in diesem Jahr bereits 46 Unternehmen angegriffen und arbeitet wie DarkSide als Ransomware-as-a-Service-Betrieb. Dem Bericht zufolge zeichnet sich die Gruppe dadurch aus, dass sie eine Countdown-Uhr auf ihrer Dark-Web-Site anzeigt und zusätzlich mit einer DDoS-Attacke droht, wenn das Lösegeld nicht gezahlt wird.
Auf der Liste ihrer Opfer stehen Gesundheitsorganisationen wie das Capital Medical Center in Olympia, Washington und Bridgeway Senior Healthcare in New Jersey.
Das eSentire-Team und Mayes fügten hinzu, dass die hohe Dunkelziffer der Angriffe darauf hindeutet, dass diese Banden viel mehr Einrichtungen schädigen, als die Öffentlichkeit wahrnimmt.
„Eine weitere ernüchternde Erkenntnis ist, dass keine einzelne Branche vor dieser Ransomware-Plage gefeit ist“, so der Bericht. „Diese lähmenden Angriffe finden in allen Regionen und Branchen statt, und es ist zwingend erforderlich, dass alle Unternehmen und privaten Organisationen Sicherheitsvorkehrungen treffen, um die Schäden zu mindern, die durch einen Ransomware-Angriff entstehen.“
Im Folgenden finden Sie einige grundlegende Sicherheitsschritte, die jedes Unternehmen zur Abwehr von Ransomware-Angriffen durchführen sollte:
– Erstellen Sie eine Sicherungskopie aller kritischen Dateien und stellen Sie sicher, dass es sich um Offline-Backups handelt. Backups, die mit den infizierten Systemen verbunden sind, sind im Falle eines Ransomware-Angriffs unbrauchbar.
– Fordern Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf das virtuelle private Netzwerk (VPN) oder die Remote-Desktop-Protokoll-Dienste (RDP) Ihres Unternehmens.
– Erlauben Sie nur Administratoren den Zugriff auf Netzwerk-Appliances über einen VPN-Dienst.
– Domänencontroller sind ein Hauptziel für Ransomware-Akteure, also stellen Sie sicher, dass Ihr Sicherheitsteam Einblick in Ihre IT-Netzwerke mithilfe von EDR-Agenten (Endpoint Detection and Response) und zentraler Protokollierung auf Domain Controllern (DCs) und anderen Servern.
– Setzen Sie bei Ihren Mitarbeitern das Prinzip der geringsten Berechtigung ein.
– Implementieren Sie eine Netzwerksegmentierung.
– Deaktivieren Sie RDP, wenn es nicht verwendet wird.
– Führen Sie regelmäßig Patches für Ihre Systeme durch, wobei Sie die wichtigsten IT-Systeme priorisieren.
– Benutzerschulungen sollten für alle Mitarbeiter des Unternehmens obligatorisch sein und sich auf Folgendes konzentrieren
– das Herunterladen und Ausführen von Dateien aus nicht verifizierten Quellen
– kostenlose Versionen von kostenpflichtiger Software zu meiden
– vor dem Herunterladen von Dateien die vollständige URL zu prüfen, um sicherzustellen, dass sie zur Quelle passt (z. B. Microsoft Teams sollte von einer Microsoft-Domäne stammen)
– Prüfen Sie immer die Dateierweiterungen. Vertrauen Sie nicht allein dem Dateityp-Logo. Eine ausführbare Datei kann als PDF oder Office-Dokument getarnt sein.
