2020 war das Jahr, in dem Ransomware zum Massenphänomen wurde. Einst war sie eine Nischenbedrohung für multinationale Unternehmen und staatliche Auftragnehmer, doch mittlerweile müssen Unternehmen aller Art und Größe Ransomware fürchten.
In unserem jüngsten Threat Bulletin wurde die Gefahr von Ransomware besonders hervorgehoben, insbesondere für Organisationen, die bisher in Sachen Cybersicherheit noch nicht sehr bewandert sind. Denn Ransomware wird auch zunehmend für Schulen ein Problem, und auch Stadtverwaltungen werden mit dieser Art von Malware ins Visier genommen.
Das gestiegene Risiko von Ransomware beruht nicht nur auf der Ausdehnung auf neue Opfergruppen. Auch die verwendete Malware wird immer raffinierter. Dies zeigt auch die Zusammenstellung der gefährlichsten Ransomware, die wir 2020 gesehen haben, mehr als deutlich:
1. Netwalker Ransomware
Netwalker Ransomware war 2020 eine der häufigsten und erfolgreichsten Formen von Ransomware. Sie tauchte bereits kurz nach dem Ausbruch der Pandemie gehäuft auf und war ein wichtiger Bestandteil groß angelegter Phishing- und Malware-Kampagnen, die im Zuge der zunehmenden Remote-Arbeit wie Pilze aus dem Boden schossen.
Netwalker ist eine Weiterentwicklung der Mailto-Ransomware, die erstmals Ende 2019 auftauchte und zumeist über E-Mail-Phishing-Kampagnen verbreitet wird. Sie nimmt unterschiedslos Unternehmen aller Größen ins Visier, auch Bildungseinrichtungen und Regierungsbehörden.
Netwalker konnte einige beeindruckende Erfolge verzeichnen. Beispielsweise kam die Malware bei gefährlichen Angriffen auf das australische Transportunternehmen Toll Group, die Michigan State University und die University of California San Francisco zum Einsatz.
2. Nefilim Ransomware
2020 gingen mehrere aufsehenerregende Angriffe auf die Ransomware Nefilim zurück. Sie wurde vor allem gegen Unternehmen eingesetzt, die kritische Infrastrukturen wie Gesundheit, Energiesektor, Versorgungsketten und Dienstleistungen der Behörden verwalten. Dieser besorgniserregende Trend verschärfte sich in den letzten Jahren und die Ransomware Nefilim war einer seiner Treiber.
Die Angriffswege, die Nefilim-Angriffe nutzen, liegen vielfach noch im Dunkeln, doch scheint diese Malware vornehmlich Schwachstellen in Remote Desktop Protocol (RDP)-Systemen auszunutzen. Zwei Faktoren erklären die wachsende Beliebtheit von Nefilim.
Zum einen gab es mehrere Sicherheitslücken in Microsofts RDP. Jede dieser Lücken konnte für einen einfachen Zugriff ausgenutzt werden, wobei Brute Force die am weitesten verbreitete Angriffsmethode der Cyberkriminellen war. Zum anderen ist die Zahl der RDP-Nutzer durch die Pandemie rasant gestiegen.
Mit Dynamic Application Security Testing (DAST) können Unternehmen diese Malware-Art wirksam erkennen. Diese Tools scannen Ihre Anwendungen ständig auf Schwachstellen, auch während der Ausführung. So können Bedrohungen durch Ransomware frühzeitig erkannt werden.
3. WastedLocker Ransomware
WastedLocker ist die jüngste in einer Reihe von Ransomware-Varianten, die auf große Organisationen und Konzerne in den USA abzielen. Diese Malware geht auf das Konto der Evil Corp-Gruppe, die zu den größten Ransomware-Anbietern der Welt zählt.
WastedLocker entstand aus verschiedenen, früheren Malware-Varianten. Nicht nur der berüchtigte Banking-Trojaner Zeus, sondern auch die Locky Ransomware, die vor über vier Jahren zahlreiche Immobilienbesitzer traf, geht auf diese Gruppe zurück.
2020 konzentrierte sich WastedLocker auf große Unternehmen. Die Angriffe erfolgten meist gezielt gegen bestimmte, in den USA ansässige Unternehmen.
Im Juli 2020 machte der Angriff auf Garmin, einem Hersteller von Navigationsgeräten und Smartwatches, Schlagzeilen, da das Unternehmen einen weltweiten Ausfall erlebte.
Zu Forschungszwecken hat das BlackBerry® Threat Research Team ein Ransomware-Sample von WastedLocker erhalten und eine Zusammenfassung der gewonnenen Erkenntnisse erstellt.
4. Tycoon Ransomware
2020 machten auch immer wieder Angriffe auf Bildungseinrichtungen und Regierungsbehörden Schlagzeilen. An vorderster Front fast immer mit dabei: Tycoon RansomwareNuke Ransomware ist die mit Abstand älteste Malware dieser Liste, aber nichtsdestotrotz gefährlich. Diese Malware wurde erstmals im Jahr 2016 entdeckt und wird zumeist über eine E-Mail-Phishing-Kampagne verbreitet.. Diese Malware wurde erstmals im Dezember 2019 entdeckt und schien auf den ersten Blick ein ungewöhnliches, aber harmloses Beispiel für eine trojanisierte JRE zu sein.
Dieser Eindruck täuschte. Die Malware infizierte unzählige Rechner von Mitarbeitern, die im Homeoffice arbeiteten und über VPN-Tools auf Unternehmensnetzwerke zugriffen. Unzureichende Sicherheitsvorkehrungen bei den VPN-Tools ermöglichten die Angriffe. Mittlerweile haben Anwender von VPN-Diensten die Möglichkeit, SHA512-Authentifizierungshashes oder 2048-Bit-DHE-RSA-Key-Exchanges zu verwenden, die zu den besten Verschlüsselungsstandards gehören.
Kostengünstige VPN-Apps, die zumeist von unerfahrenen Remote-Mitarbeitern genutzt werden, erfüllen diese Verschlüsselungsstandards nicht. Das macht sie besonders anfällig für gezielte Tycoon-Angriffe. Glücklicherweise gelang es uns, wie in unserem Artikel zu dieser Malware beschrieben, einigen Unternehmen dabei zu helfen, die Daten ohne Zahlung eines Lösegelds wiederherzustellen.
5. Nuke Ransomware
Nuke Ransomware ist die mit Abstand älteste Malware dieser Liste, aber nichtsdestotrotz gefährlich. Diese Malware wurde erstmals im Jahr 2016 entdeckt und wird zumeist über eine E-Mail-Phishing-Kampagne verbreitet.
Hat Nuke sich auf einem Rechner eingenistet, verschlüsselt sie Dateien mit einem AES 256-Bit-Schlüssel. Sobald die Verschlüsselung erfolgt ist, wird der Name der Datei in eine Zeichenkombination geändert, der eine .nuclear55-Erweiterung folgt. Dieser Verschlüsselungsschlüssel wird dann durch eine asymmetrische Verschlüsselung mit 2048-Bit-RSA geschützt.
Zusammenfassung
2020 war ein Jahr der Ransomware-Angriffe. Sie waren raffinierter und ausgefeilter und werden uns auch in Zukunft immer wieder fordern. Der Erfolgsweg von Ransomware begann lange vor 2020, doch wie sie während der Pandemie eingesetzt wurde, deutet darauf hin, dass sie uns noch lange begleiten wird. Deshalb sollten Sie nicht untätig bleiben. Schützen Sie proaktiv Ihre Daten, Mitarbeiter und Ihr Unternehmen.
BlackBerry bietet Ihnen die Cybersecurity-Lösungen und Services, die Sie für einen reibungslosen Wechsel von einer reaktiven zu einer sicheren, präventiven Sicherheitspolitik brauchen. Unser Best Practices Guide verrät Ihnen mehr über den Schutz vor Ransomware und deren Beseitigung.