Chimera: Ein neues Ransomware-Modell

Ransomware an sich ist nichts Neues. Die erste bekannte Variante tauchte bereits 1989 auf. Doch erst mit der Internet-Revolution und der Einführung automatisierter Online-Zahlungssysteme entdeckten organisierte Cyber-Gangs Ransomware als gigantische...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Ransomware an sich ist nichts Neues. Die erste bekannte Variante tauchte bereits 1989 auf. Doch erst mit der Internet-Revolution und der Einführung automatisierter Online-Zahlungssysteme entdeckten organisierte Cyber-Gangs Ransomware als gigantische Gelddruckmaschine für sich. Dabei geht es nicht selten um enorme Summen und Erpressung auf globaler Ebene. Mit einem ROI, der sich sehen lassen kann.

Allein die dritte Variante von CryptoWall hat seit ihrer Entdeckung im Januar 2015 Schäden von sage und schreibe 325 Millionen US-Dollar angerichtet.

Die Risiken dieser neuen Ära digitalen Erpressungsmethoden erregten sogar die Aufmerksamkeit des US-amerikanischen Federal Financial Institutions Examination Council. Erst kürzlich wurde eine Stellungnahme veröffentlicht, um Finanzinstitutionen auf die Häufigkeit und Ernsthaftigkeit der Bedrohungen durch Ransomware hinzuweisen.

Bis vor kurzem sorgten sich IT-Experten eher um den nach einer Ransomware-Infektion zu betreibenden Aufwand. Ransomware ist definitiv eine kostspielige Angelegenheit, wenn man nicht darauf vorbereitet ist. Firmen und Institutionen mit einer gut funktionierenden Backup-Strategie sind aber in der Lage, die verschlüsselten Dateien wiederherzustellen. Das Risiko erschien für manche also durchaus tragbar.

Bis jetzt.

Chimera: Eine neue Qualität von Ransomware

Aktuell ist eine neue Ransomware-Variante namens Chimera aufgetaucht. Die Malware verschlüsselt nicht nur die Dateien und es wird ein Lösegeld verlangt, zusätzlich drohen die Angreifer damit, die Dateien im Internet zu veröffentlichen falls die geforderte Summe nicht gezahlt wird.

Was bisher eine lästige Sache war, wird durch diesen Trick zu einer echten Bedrohung, die Umsatz und Gewinn eines Unternehmens empfindlich beeinträchtigen kann.

Damit Sie sich ein Bild des potenziellen Ausmaßes von Chimera machen können, sehen wir uns zunächst die finanziellen Schäden an, die bei zwei sehr bekannt gewordenen Sicherheitsvorfällen angerichtet wurden:

  • Beim Angriff auf die amerikanische Einzelhandelskette Target waren 40 Millionen Datensätze mit Zahlungsinformationen (Kredit- und Debitkarten) sowie 70 Millionen Datensätze mit personenbezogenen Kundendaten (Adressen und Telefonnummern) betroffen. Laut einer Aufstellung von Target selbst kostete der Sicherheitsvorfall das Unternehmen 252 Millionen US-Dollar.
  • Bei Home Depot entwendeten die Angreifer 56 Millionen Datensätze mit Zahlungsinformationen (Kredit- und Debitkarten) sowie 53 Millionen E-Mail-Adressen. Nach Angaben von Home Depot beliefen sich die Nettokosten auf rund 33 Millionen US-Dollar.

Die beiden Handelsketten mussten für Kreditkarten- und Überwachungsdienstleistungen (darunter den Ersatz von Millionen von Kreditkarten) und Massenklagen aufkommen und ihre eigene Sicherheitsinfrastruktur komplett überarbeiten.

Und dann kam Sony

Beim Angriff auf Sony wurden zwar nicht Millionen von Kreditkartennummern gestohlen dafür aber riesige Mengen an Informationen im Internet veröffentlicht:

  • 47.000 Sozialversicherungsnummern
  • Interne Finanzdokumente und Gehaltslisten
  • Persönliche Daten und Adressen, Visa- und Passnummern, Steuerunterlagen
  • Über 30.000 vertrauliche Geschäftsdokumente
  • Peinliche und belastende E-Mails von C-Level-Führungskräften
  • Private Schlüssel für die Sony-Server

Mit den durch das derart offengelegte geistige Eigentum entstandenen Schäden – veröffentlichte Verträge und Geschäftspraktiken, Ideen zu Drehbüchern, Gehälter – wird Sony vermutlich noch jahrelang zu kämpfen haben.

Und: Es kann durchaus passieren, dass eine Cyber-Gang mithilfe von Chimera ein fürstliches Lösegeld einstreicht und trotzdem sämtliche interne Dateien eines Unternehmens in Sony-Manier im Internet zur Schau stellt. Von einem Erpresser kann man schließlich nicht unbedingt erwarten, dass er sein Wort hält.

Chimera & Co. haben also das Potenzial, den verheerenden finanziellen Schaden des Target-Angriffs mit einer Rufschädigung wie beim Sony-Hack zu verbinden.

Zeitverzögerte Aufdeckung von Sicherheitsvorfällen

Wie lange haben Target, Home Depot und Sony gebraucht, um festzustellen, dass sie angegriffen wurden? Unglücklicherweise konnten die Hacker ihre Arbeit wochenund monatelang ungestört verrichten.

Damit stehen diese Unternehmen bei weitem nicht alleine da. Eine aktuelle Analyse von 574 Sicherheitsvorfällen durch Trustwave ergab, dass der Zeitraum zwischen Angriff und Aufdeckung durchschnittlich 188 Tage beträgt. Es dauert also sehr lange – zu lange –, bis Unternehmen die Eindringlinge überhaupt bemerken.

Um Ransomware zu entdecken und zu stoppen, kann es sinnvoll sein, das Pferd von hinten aufzuzäumen. Die IT-Sicherheitsabteilung muss versuchen, Phishing-E-Mails zu blockieren oder zumindest die Mitarbeiter im Hinblick auf diese Methode schulen, sie muss den Zugriff auf soziale Medien einschränken, Netzwerkverbindungen mit bekannten Command-and-Control-(C2-)URLs/IP-Adressen überwachen und nach Prozessen Ausschau halten, die potenziell schädigend sein können.

Doch das A und O im Kampf gegen Ransomware ist es, sich genauer anzusehen worauf es die Angreifer eigentlich abgesehen haben, nämlich auf die Dateien und E-Mails, die tagtäglich von Mitarbeitern erstellt und verwendet werden. In den meisten Unternehmen sind unstrukturierte Daten die mengenmäßig umfassendste, wertvollste und sensibelste Art von Daten – und zugleich auch diejenige, die am wenigsten überwacht wird.

Möglicherweise kann man einen Angreifer nicht davon abhalten, in ein Netzwerk einzudringen. Aber mit geeigneten Governance- und Überwachungsmethoden ist es möglich, die Menge der verfügbaren Daten deutlich einzuschränken und die IT zeitnah zu benachrichtigen, wenn Hacker auf sensible Daten zugreifen und sie kopieren.

Eine geeignete Methode um Angriffe schneller aufzudecken ist die Analyse des Benutzerverhaltens. Weitere Informationen dazu finden Sie unter anderen in diesem Beitrag.

The post Chimera: Ein neues Ransomware-Modell appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

cerber-ransomware:-was-sie-wissen-müssen
Cerber Ransomware: Was Sie wissen müssen
Was ist Cerber ? Cerber Ransomware ist ein Ransomware-as-a-Service- (RaaS) Dienst. Der Angreifer erwirbt also eine Lizenz für Cerber Ransomware über das Internet und teilt sich das Lösegeld mit dem...
letzte-woche-in-ransomware:-woche-vom-9.-august
Letzte Woche in Ransomware: Woche vom 9. August
In dieser Woche ist eine neue Ransomware-Gruppe namens BlackMatter aufgetaucht und hat gezeigt, dass sich auch Ransomware-Gruppen Sorgen um verärgerte Mitarbeiter machen sollten.
letzte-woche-in-ransomware:-die-woche-vom-21.-juni
Letzte Woche in Ransomware: die Woche vom 21. Juni
Ransomware in den Nachrichten Als Darkside ihren Ransomware-Angriff auf die amerikanische Infrastruktur startete, erregte die Gruppe die Aufmerksamkeit der US-Strafverfolgungsbehörden, was schließlich zu ihrer Auflösung im Mai führte. Dies hat...
eine-kurze-geschichte-der-ransomware
Eine kurze Geschichte der Ransomware
Das erste dokumentierte Beispiel für eine Ransomware ist der AIDS-Trojaner aus dem Jahr 1989, auch bekannt als PC Cyborg1. Der in Harvard ausgebildete Evolutionsbiologe Joseph L. Popp schickte 20.000 infizierte...