Ransomware-Analyse
So groß ist die Gefahr durch Erpressersoftware
Foto: Zephyr_p - shutterstock.com
Jeder redet von Ransomware und jeder Fall findet seine berechtigte Aufmerksamkeit. Aber wie groß ist die Gefahr, wie kommt es zu den Attacken und wie sehen die potenziell betroffenen Opfer ihre Abwehr dagegen aufgestellt? Die Ergebnisse einer aktuellen Studie von ForeNova und Cybersecurity Insiders unter 236 Unternehmen in den USA und Kanada zeigen, dass erpresserische Angriffe nicht nur eine gefühlte Gefahr sind, sondern ein reelles Risiko.
32 Prozent der Befragten gaben zu, von Cyberkriminellen mit erpresserischer Software angegriffen worden zu sein. Und nur für 23 Prozent der Studienteilnehmer blieb es in den vergangenen zwölf Monaten bei einem einmaligen Vorfall. 26 Prozent der Ransomware-Opfer wurden zwei bis zehnmal attackiert und 19 Prozent zehnmal oder häufiger.
Beunruhigend ist zudem, dass nur 15 Prozent wirklich ausschließen konnten, Ziel einer Ransomware-Attacke geworden zu sein. Dies könnte daran liegen, dass so manche Attacke vielleicht im Vorfeld abgewehrt wurde - ohne dass das Opfer es merkte. Ein Beispiel dafür wäre etwa ein opportunistischer Angriff durch eine Phishing-Mail, die eine Antivirensoftware entdeckte und abwehrte, bevor die Angreifer darauf aufbauend weiter vorgehen und das gezielte Verschlüsseln oder Veröffentlichen von Daten vorbereiten konnten.
Erpressung mit Folgen
In den Antworten der Befragten zeigen sich auch die schwerwiegenden Folgen einer erfolgreichen Ransomware-Attacke: 51 Prozent der angegriffenen Unternehmen litten unter Produktionsausfällen. Zudem konnten 41 Prozent nicht mehr auf ihre Systeme zugreifen und waren zur Untätigkeit verurteilt. Fast jedes vierte Unternehmen erlitt Umsatzeinbußen oder verlor Daten.
Auch der Zugriff der Hacker auf Informationen ist besorgniserregend: 81 Prozent der Opfer beklagten, die Angreifer hätten Zugang zu bis zu 25 Prozent der Daten gehabt - immerhin zehn Prozent sogar zu 76 bis 100 Prozent. Nicht umsonst sehen 53 Prozent daher in Ransomware das größte Problem für die IT-Sicherheit, gefolgt von den Risiken durch Remote-Mitarbeiter (47 Prozent).
Ziele der Angriffe
Daten zu verschlüsseln, bleibt das Hauptziel der Angreifer, so ein weiteres Studienergebnis. Bei 81 Prozent der erfolgten Angriffe nutzten die Hacker Tools, um Dateien zu verschlüsseln, damit Anwender auf sie nicht zugreifen konnten. 18 Prozent der eingesetzten Malware ging noch einen Schritt weiter und verschlüsselte das Master Boot Record (MBR) oder das New Technology File System (NTFS). Wenn diese zentralen Systeme zum Booten, beziehungsweise zum Adressieren von Speicherplatz in einem Datenträger verschlüsselt sind, können Anwender ein Betriebssystem nicht mehr hochfahren oder finden Dateien nicht mehr. Das System fällt vollständig aus.
Lesetipp: So schützen Sie Backup-Server vor Ransomware
Auch der Anteil der sogenannten Leakware oder Extortionware, bei der Angreifer Daten exfiltrieren und damit drohen , sie zu veröffentlichen, betrug 18 Prozent. In zwölf Prozent der Fälle blockierte die Malware den Zugang zu Daten oder Dateien. Bei neun Prozent waren mobile Geräte das Eintrittstor für die erpresserische Malware. Mobiltelefone infizierten sich durch Drive-by-Downloads oder gefälschte Apps.
Hauptinfektionsweg ist der Mensch
Hauptinfektionsweg ist immer noch die Phishing-Mail (in 58 Prozent der Fälle), gefolgt von E-Mail-Anhängen (52 Prozent). Diese Tools sind vermutlich aufgrund ihrer Effektivität und möglichen Einfachheit unter den Cyberkriminellen am beliebtesten. Aufwändigere Methoden sind immer noch in der Minderzahl: Nur 34 Prozent der Angreifer nutzten kompromittierte Webseiten. Nur jeder vierte Angreifer (26 Prozent) zielte auf verwundbare Systeme ab. Ganze 17 Prozent scannten gezielt nach ausnutzbaren Exploits.
Lesetipp: Eine Ransomware-Bande, die auf Rufschädigung aus ist
Kreative Abhilfen mit Wirkung?
Beruhigend lesen sich die Aussagen der Studienteilnehmer, dass sie sich auch im größten anzunehmendem Ernstfall einer erfolgreichen Attacke zu helfen wussten. So konnten 52 Prozent auf Backups zurückgreifen und elf Prozent Dateien mit verfügbaren Dekryptor-Tools entschlüsseln. 15 Prozent holten sich externe Hilfe. 22 Prozent fanden andere Wege, die Situation zu lösen. Beunruhigend bleibt aber, dass 15 Prozent sich nicht sicher waren, ob sie sich von der Attacke erholen konnten. Das könnte vielleicht an der generellen Angst vor dem nächsten Angriff liegen.
Gebrochenes Selbstvertrauen in die Abwehr
In Bezug auf das Vertrauen in die eigene Abwehr zeigen sich noch Lücken: Nur 37 Prozent der Befragten sind sich äußerst oder sehr sicher, Ransomware abwehren zu können. Vielleicht misstrauen sie auch ihrer Fähigkeit, Malware und Ransomware rechtzeitig zu erkennen. Zwar geben 21 Prozent an, dass sie solche Gefahren in Fast-Echtzeit entdecken. Doch 22 Prozent brauchen dafür Minuten, 15 Prozent Stunden, 13 Prozent einen Arbeitstag und elf Prozent sogar noch länger.
Die Abwehr kommt dann erst noch hinzu. So lange hat eine Ransomware also Zeit, Daten zu verschlüsseln und sich weiter auszubreiten. Dies ist ein fataler Befund, zumal es bei Ransomware auf eine schnelle Reaktion ankommt, um das Ausbreiten des Angriffs zu verhindern.
Noch mehr Respekt haben die betroffenen Unternehmen vor den Aufräumarbeiten. 32 Prozent gehen davon aus, sie würden sich in einem Tag von den Folgen einer Ransomware-Attacke erholen - 39 Prozent in wenigen Tagen. Hinter diesem Optimismus kann sich aber bereits ein schmerzlicher Produktionsausfall verbergen. 14 Prozent benötigen sogar eine Woche oder einige Wochen. Und elf Prozent glauben, sie könnten sich möglicherweise nie von einem solchen Schlag erholen und müssen mit bleibenden Teilschäden leben.
Stellt man weitere Fragen, erhält man ein weiteres Bild vom Unbehagen der potenziellen Opfer. Die Standardantworten auf Gegenmaßnahmen bei Angriffen beherrschen die Befragten: Drei von vier machen - laut Plan - was man tun sollte: Betroffene Systeme und Nutzerkonten isolieren, verschlüsselte Daten wiederherstellen und Angriffsvektoren schließen. 55 Prozent fahren die betroffenen Systeme herunter. Aber viele sehen sich überfordert: 39 Prozent würden sofort externe Sicherheitsspezialisten heranziehen, 38 Prozent ihre Cyberversicherung kontaktieren.
Der Griff in den Geldbeutel?
Interessant - oder vielsagend - sind auch die Antworten, wenn es darum geht, Lösegeld zu zahlen. Zwar zahlten nur sechs Prozent der tatsächlichen Opfer das Lösegeld und fünf Prozent aller Teilnehmer würden es bezahlen. Neun Prozent aller Teilnehmer würden aber zumindest über das Lösegeld verhandeln. Vielleicht, um bei einem entsprechenden Angebot diesen Weg zu gehen?
Fragt man dieselben Personen danach, wie hoch das zu bezahlende Lösegeld sein könnte, sind die Notfallpläne schon weiter gediehen. Nur 41 Prozent bleiben kategorisch bei der Summe Null Dollar, 44 Prozent können nichts ausschließen. Und immerhin sechs Prozent würden mehr als 10.000 Dollar bezahlen, weitere sechs Prozent 1000 bis 10.000 Dollar. Da lohnt sich vielleicht eine opportunistische Attacke.
Die Ergebnisse spiegeln die Unsicherheit wider, die bei den potenziellen und tatsächlichen Opfern besteht. Das ist keine Überraschung, denn eine Ransomware, die Daten verschlüsselt oder einfach nur verhindert, dass ein Unternehmen produktiv arbeiten kann, ist immer ein Alptraum. Dass er Realität werden kann, bleibt beunruhigend.
Die Gefahrenlage im DACH-Raum
Auch wenn man die Ergebnisse nicht eins zu eins auf den deutschsprachigen Raum übertragen kann - unsere Gespräche im Markt deuten auf eine ähnliche Gefahren- und Abwehrlage im DACH-Raum hin, zumal es an prominenten Beispielen von Angriffen nicht mangelt.
Laut einer Sophos-Studie waren im Jahr 2021 zwei von drei deutschen Unternehmen Opfer einer Ransomware-Attacke und 42 Prozent der deutschen Unternehmen zahlten auch Lösegeld, glaubt man den Experten von Cybereason, waren es sogar 69 Prozent.
Und dem Bitdefender Threat Debrief zufolge zählt Deutschland im weltweiten Vergleich im Oktober 2022 zu den am meisten von Ransomware betroffenen Ländern: Zehn Prozent der weltweiten Angriffe finden hierzulande statt - die Bundesrepublik landet auf Rang fünf bei nicht so viel Abstand zu den USA als Spitzenreiter mit 24 Prozent. (jm)
Tipp: Sie möchten weitere interessante Beiträge rund um IT-Sicherheit lesen? Dann abonnieren Sie doch einfach unseren kostenlosen Newsletter.