Ransomware zielt auf Lieferketten

Im Rahmen des Security X-Force Threat Intelligence Index 2022 stellte das IBM-Forschungsteam fest, dass im vergangen Jahr die Angriffe auf Software-Sicherheitslücken um 33 Prozent gestiegen sind. Zudem war die Ausnutzung von Schwachstellen in ungepatchter Software für 44 Prozent der Ransomware-Angriffe verantwortlich. Laut Forschungsbericht hatten es die Angreifer vor allem auf die Fertigungsbranche abgesehen: 2021 war dieser Bereich mit 23 Prozent der Angriffe am häufigsten davon betroffen.

Wie die Forscher erklären, haben die Bedrohungsakteure auf folgenden Dominoeffekt gesetzt: Die Unterbrechung der Produktion führt dazu, dass die nachgelagerten Lieferketten nicht bedient werden können. Dadurch wären betroffene Unternehmen zur Zahlung des Lösegelds gezwungen. Im vergangenen Jahr sorgte dies für eine zusätzliche Belastung der globalen Lieferkette. 47 Prozent der Angriffe auf die Fertigung wurden von Schwachstellen verursacht, die nicht bekannt waren und nicht behoben werden konnten. "Cyberkriminelle jagen normalerweise dem Geld hinterher. Jetzt nutzen sie Ransomware auch als Druckmittel", so Charles Henderson , Leiter von IBM X-Force. Da die Angriffsfläche immer größer werde, sollten Unternehmen ihr Schwachstellenmanagement mit einer Zero-Trust-Strategie verbessern.

Ransomware-Gruppen existieren durchschnittlich 17 Monate

Weiterhin ergab die Studie, dass die durchschnittliche "Lebensdauer" einer Ransomware-Gruppe vor der Schließung oder Umbenennung 17 Monate beträgt. Als Beispiel nennen die Studienautoren die REvil-Bande, die für 37 Prozent aller Ransomware-Angriffe im Jahr 2021 verantwortlich sei. Sie habe vier Jahre lang durch Umbenennung weiter existiert. Dies würde darauf hindeuten, dass die Gruppe trotz ihrer Zerschlagung wahrscheinlich wieder auftaucht.

Strafverfolgungsmaßnahmen können Ransomware-Angriffe zwar verlangsamen, doch die Attacken verursachen auch hohe Kosten für den Wiederaufbau der Infrastruktur. "Da sich die Rahmenbedingungen ändern, ist es wichtig, dass Unternehmen ihre Infrastruktur modernisieren. Sie müssenihre Daten in einer Umgebung platzieren, die sie schützen kann - sei es vor Ort oder in Clouds", so die IBM-Experten. Dies könne Unternehmen dabei helfen, ihre Workloads zu verwalten, zu kontrollieren und zu schützen, und den Einfluss von Bedrohungsakteuren im Falle einer Kompromittierung beseitigen. Der Zugriff auf kritische Daten in hybriden Cloud-Umgebungen müsse erschwert werden.

Angreifer zielen auf Gemeinsamkeiten zwischen Clouds

Im Jahr 2021 beobachtete das Forschungsteam zudem, dass mehr Angreifer ihr Ziel auf Container wie Docker verlagerten - laut Red Hat nach wie vor die mit Abstand dominanteste Container-Laufzeit-Engine. "Angreifer erkennen, dass Container eine gemeinsame Grundlage für Organisationen sindund verdoppeln so ihre Möglichkeiten, ihren Gewinn mit Malware zu maximieren", führen die Forscher aus. Dazu setzten sie auf eine Schadsoftware, die plattformübergreifend ist und als Ausgangspunkt für andere Komponenten der Infrastruktur ihrer Opfer verwendet werden kann.

Zudem warnen die Sicherheitsexperten in ihrem Bericht vor den anhaltenden Investitionen von Bedrohungsakteuren in bisher unbeobachtete Linux-Malware, wobei die von Intezer bereitgestellten Daten einen Anstieg der Linux-Ransomware mit neuem Code um 146 Prozent zeigen. "Da Angreifer weiterhin nach Möglichkeiten suchen, den Betrieb über Cloud-Umgebungen zu skalieren, müssen sich Unternehmen darauf konzentrieren, die Transparenz ihrer hybriden Infrastruktur zu erweitern. Hybride Cloud-Umgebungen, die auf Interoperabilität und offenen Standards aufbauen, können Organisationen dabei unterstützen, blinde Flecken zu erkennen und Sicherheitsreaktionen zu beschleunigen und zu automatisieren."