Auch im Jahr 2022 dominiert Ransomware wieder die Bedrohungslandschaft und entwickelt sich weiterhin zu einem immer komplexeren Geschäftsmodell. Im Vergleich zum Vorjahr hat sich das Volumen der Ransomware-Angriffe fast verdoppelt und die Gesamtkosten von Ransomware wurden auf über 20 Milliarden US-Dollar geschätzt.

Was Ransomware so unheimlich und bedrohlich macht, sind mitunter die verschwommenen Grenzen zwischen cyberkriminiellen Gruppen und ihren nationalstaatlichen Gegnern. Diese beeinflussen die Ziele von Ransomware-Attacken und machen es schwierig, die Bedrohungsakteure vor Gericht zu bringen. Besagte Gruppen werden “staatlich ignoriert”, solange die Ransomware-Ziele mit den strategischen Zielen der nationalstaatlichen Gegnern übereinstimmen. Oder sie werden “staatlich kontrolliert”, wenn Bedrohungsakteure zum Beispiel Angriffe im Namen und auf Anweisung des Nationalstaates ausführen. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) berichtete, dass 14 von 16 kritischen Infrastrukturen Ziel von Ransomware-Angriffen waren.

Unternehmen, die von einem Ransomware-Angriff betroffen sind, stehen vor einer ausweglosen Situation. Die einzigen Optionen sind entweder die Lösegeldforderungen zu ignorieren, die kompromittierten Systeme anhand von Sicherungskopien wiederherzustellen und zu hoffen, dass die Cyberkriminellen die sensiblen Daten des Unternehmens nicht weitergeben oder verkaufen. Die Alternative ist, das Lösegeld zu zahlen, um den Entschlüsselungschlüssel zu erhalten. Auch wenn die Zahlung des Lösegelds die einfachere Wahl zu sein scheint, lohnt es sich im Großteil der Fälle, nicht zu zahlen. Denn auch Unternehmen, die Lösegeld gezahlt haben, konnten nicht alle ihre Daten wiederherstellen und wurden oftmals von weiteren Ransomware-Angriffen getroffen - häufig sogar von denselben Bedrohungsakteuren.

Angesichts der anhaltenden Bedrohung, die diese Angriffe für Unternehmen darstellen, untersucht die zweite jährliche Studie von cybereason, wie sich Ransomware weiterhin auf das Geschäft auswirkt, welche Auswirkungen Unternehmen nach einem Ransomware-Angriff melden und welche Strategien große und kleine Unternehmen anwenden, um sich besser auf Angriffe vorzubereiten.

Ransomware bleibt allgegenwärtig

Ransomware ist nach wie vor ein Hauptproblem für Unternehmen. Trotz bedeutender Maßnahmen der US-Regierung, koordinierter Bemühungen von Regierungs- und Strafverfolgungsbehörden auf der ganzen Welt und einem verstärkten Fokus auf Ransomware, hat sich das Volumen der Angriffe im Jahr 2021 fast verdoppelt.

Von den über 1.400 Cybersicherheitsexperten, die an dieser zweiten Studie teilgenommen haben, gaben fast drei Viertel (73%) an, dass ihr Unternehmen in den letzten 24 Monaten von mindestens einem Ransomware-Angriff betroffen war. Verglichen mit 2021 bedeutet das einen drastischen Anstieg von 33 %.

Ransomware-Angriffe können Unternehmen in vielerlei Hinsicht beeinträchtigen und kombinierte Verluste in Höhe von Dutzenden oder Hunderten von Millionen Dollar verursachen. Die letztjährige Studie ergab, dass die Mehrheit der Unternehmen, die Opfer eines Ransomware-Angriffs wurden, zudem auch erhebliche Auswirkungen auf den Betrieb (wie Umsatzeinbußen, Rufschädigung oder Personalabbau) erlitten haben.

Ransomware ist ein lukratives Geschäftsmodell, das auch in Zukunft eine Bedrohung darstellen wird. Angreifer finden immer wieder innovative Wege um Opfer zu erpressen. Aus diesem Grund ist es für Unternehmen wichtiger denn je, sich vor Ransomware-Angriffen zu schützen.

Sind Unternehmen vorbereitet?

Trotz dem anhaltenden Fachkräftemangel im Bereich Cybersicherheit ergab die Studie einen deutlichen Anstieg der Zahl der Befragten, die der Meinung sind, dass ihre Unternehmen über die richtigen Fachkräfte zur Abwehr von Ransomware-Angriffen verfügen: 88% in diesem Jahr gegenüber 60% im letzten Jahr, eine Steigerung von fast 50%.

Eine weitere gute Nachricht: Fast drei Viertel der Befragten gaben an, dass sie glauben, dass ihr Unternehmen über die richtigen Notfallpläne zur Bewältigung eines Ransomware-Angriffs verfügt - eine Zahl, die im Vergleich zum Vorjahr relativ unverändert blieb.

Die Befragten aus dem Vereinigten Königreich gaben ein ein höheres Maß an Vertrauen in ihre Mitarbeiter (94%) und die Richtlinien ihres Unternehmens (77%) an. Im Vergleich dazu äußerten die Teilnehmer in Frankreich mit 82% bzw. 53% weniger Vertrauen und die Teilnehmer in Singapur mit 64% bzw. 61% das geringste Vertrauen. Aufgeschlüsselt nach Sektoren hatten die Finanzdienstleister (95%) und der Transportsektor (94%) das größte Vertrauen in ihre Mitarbeiter (95% bzw. 94%), während das Bildungswesen mit 71% das geringste Vertrauen in seine Mitarbeiter und mit 53% in seine Prozesse hatte.

Diese Werte sind besonders besorgniserregend, da Colleges und Schulsysteme häufig Ziel von Ransomware sind. Das Lincoln College, ein 157 Jahre altes traditionell schwarzes College in den USA, gab bekannt, dauerhaft schließen zu müssen, nachdem es nach einem Ransomware-Angriff im Dezember 2021 monatelang keinen Zugang zu den Systemen für die Rekrutierung und das Fundraising hatte.

Ransomware und die Auswirkungen auf das Unternehmen

Viele der Befragten glauben zwar, dass ihr Unternehmen auf einen Ransomware-Angriff vorbereitet ist, aber dieser Glaube ist möglicherweise fehlgeleitet. Die Daten zeigen im Jahresvergleich eine erhebliche Diskrepanz und ein falsches Gefühl der Zuversicht zwischen der angeblichen Preparedness der Befragten und der tatsächlichen Preparedness ihrer Unternehmen im Falle eines erfolgreichen Ransomware-Angriffs.

  • 37% berichteten, dass ihr Unternehmen gezwungen war, Mitarbeiter zu entlassen - dies entspricht einem Anstieg von fast 30% gegenüber 2021
  • 35 % meldeten Rücktritte auf Führungsebene nach einem Ransomware-Angriff
  • 33 % waren gezwungen ihre Geschäftstätigkeit vorübergehend einzustellen, was einem Anstieg von 7 Prozentpunkten im Vergleich zum Vorjahr entspricht

Warum entscheiden sich Organisationen für die Zahlung eines Lösegelds?

Von den Unternehmen, die nach erfolgreichen Angriffen eine oder mehrere Lösegeldforderungen gezahlt haben, gab fast die Hälfte (49%) an, dass ihr Hauptmotiv für die Zahlung darin bestand, Umsatzeinbußen zu vermeiden. Die Notwendigkeit einer schnelleren Wiederherstellung wurde von 41% als Hauptgrund für die Zahlung angegeben, was unter dem Gesichtspunkt der Geschäftsfähigkeit und -kontinuität sinnvoll erscheint.

Einige Unternehmen entschieden sich für die Zahlung des Lösegeldes, weil sie nicht auf einen Ransomware-Angriff eingestellt waren: 27% gaben an, dass sie ihre Daten nicht gesichert hatten, 34% hatten zu wenig Personal um eine angemessene Reaktion auf den Angriff initiieren zu können. Beides sind vermeidbare Umstände für Unternehmen, die die Bedrohung durch Ransomware ernst nehmen und Indikatoren dafür, dass die besagten betroffenen Unternehmen schlichtweg unvorbereitet operieren.

Die Top Beweggründe einer Ransomware-Zahlung:

  • 49%: Umsatzeinbußen verhindern
  • 41%: Wiederherstellung beschleunigen
  • 27%: Datenwiederherstellung
  • 34%: Unterbesetzung
  • 28%: Vermeidung von Downtime, die Leib und Leben schaden könnte

Die Entscheidung einer Lösegeldforderung nachzukommen ist besonders für Organisationen in kritischen Infrastrukturen, wie z.B. dem Gesundheitswesen, nicht einfach. Wenn Ransomware den Zugang zu für die Gesundheitsversorgung wichtigen Systemen und Daten verhindert, kann das fatale Folgen nach sich ziehen. Diese Dringlichkeit erklärt, warum fast ein Drittel (28%) angab, die Lösegeldforderung bezahlt zu haben, um Verletzungen oder Verlust von Menschenleben zu vermeiden.

Warum es sich nicht lohnt zu zahlen

Es gibt keine eindeutigen Best Practices, die für jede Organisation unter allen Umständen funktionieren. Jedes Szenario eines Ransomware-Angriffs muss von Fall zu Fall bewertet werden, da jede Infiltration, jede Angriffsgruppe, jede Opferorganisation, jeder gefährdete Datensatz und jede betroffene Drittpartei einzigartig ist und es zahlreiche Faktoren gibt, die bei der Entscheidung, ob eine Zahlung geleistet werden soll oder nicht, berücksichtigt werden müssen.

Gleichwohl hat die Studie ergeben, dass es sich zweifellos nicht lohnt zu zahlen. Von den Unternehmen, die sich für die Zahlung eines Lösegelds entschieden haben, gab die überwiegende Mehrheit (fast 80%) an, dass sie Opfer mindestens eines nachfolgenden Ransomware-Angriffs wurden. Von denjenigen, die ein zweites Mal Opfer eines Ransomware-Angriffs wurden, gab fast die Hälfte (48%) an, dass der Angriff von denselben Angreifern verübt wurde.

Zwei Drittel (68%) der Unternehmen, die ein Lösegeld gezahlt haben und erneut angegriffen wurden, berichteten, dass der zweite Angriff weniger als einen Monat nach dem ersten erfolgte und dass die Bedrohungsakteure beim zweiten Mal einen noch höheren Lösegeldbetrag forderten. Von den Unternehmen, die nach dem ersten Angriff ein Lösegeld gezahlt hatten, zahlte fast die Hälfte (44%) auch die zweite Lösegeldforderung, und fast jedes zehnte Unternehmen (9%) gab an, drei Mal oder öfter ein Lösegeld bezahlt zu haben.

Zusammengefasst bedeutet das: Fast 8 von 10 Unternehmen, die ein Lösegeld gezahlt haben, wurden von einem zweiten Ransomware-Angriff getroffen. Fast die Hälfte davon wiederum wurde von denselben Bedrohungsakteuren verübt. Mehr als zwei Drittel dieser Angriffe verlangten ein höheres Lösegeld als der erste Angriff. Und fast 6 von 10 Unternehmen konnten auch nach Zahlung des Lösegelds nicht alle ihre Systeme und Daten wiederherstellen.

Entwicklung von Ransomware-Angriffen zu RansomOps

Ransomware-Angriffe haben sich in den letzten Jahren dramatisch entwickelt: von einer kleinen Heimindustrie, die im Wesentlichen lästige Angriffe wie Phishing und Drive-by-Exploits durchführt, zu einem hochkomplexen Geschäftsmodell, das inzwischen für seine Effizienz, Spezialisierung, Innovation und technische Raffinesse bekannt ist.

Während breit angelegte, zufällige Angriffe immer noch weit verbreitet sind, bewegen sich Ransomware-Anbieter weg von eben diesen groß angelegten Attacken mit niedrigen Lösegeldforderungen und hin zu gezielteren, individuellen Angriffen, die auf Organisationen abzielen, welche aufgrund ihrer Fähigkeit und Wahrscheinlichkeit, Lösegeldforderungen in Höhe von mehreren Millionen Dollar zu zahlen, ausgewählt wurden. Ransomware-Angriffe bestehen immer häufiger aus komplexen Angriffssequenzen, die darauf abzielen, so viel wie möglich vom Zielnetzwerk zu infiltrieren, anstatt nur einen einzelnen Computer mit der Ransomware-Nutzlast zu infizieren.

Von den Organisationen, die in den letzten 24 Monaten Opfer eines Ransomware-Angriffs wurde, berichteten

  • 63%, dass die Angreifer sich bis zu sechs Monaten im System befanden, bevor sie entdeckt wurden,
  • 21% von einer Verweilzeit zwischen sieben und zwölf Monaten und
  • 16% wurden über ein Jahr lang belagert.

Diese komplexeren Ransomware-Operationen, oder RansomOps, beinhalten sehr gezielte, komplexe Angriffssequenzen, die von hochentwickelten Bedrohungsakteuren durchgeführt werden.

Angriffe auf die Lieferkette nehmen zu

Die Verlagerung zu komplexeren RansomOps-Angriffen hat auch zu einer Zunahme von Angriffen auf die Lieferkette geführt. Ein Angriff auf die Lieferkette ermöglicht es Angreifern, sich auf die Kompromittierung eines einzigen Unternehmens zu konzentrieren, wodurch sie dann den gesamten Kundenstamm kompromittieren können. Der Angriff auf den IT-Dienstleister Kaseya im Jahr 2021, der zu weiteren Angriffen auf dessen Kunden führte, ist ein Paradebeispiel für einen Angriff über die Lieferkette.

In dieser Studie gaben die meisten Unternehmen (64%), die in den letzten 24 Monaten von einem erfolgreichen Ransomware-Angriff betroffen waren, an, dass der primäre Infektionsvektor eine Gefährdung der Lieferkette durch Dritte war. Kleine bis mittelgroße Unternehmen waren hiervon am ehesten betroffen.

Die Auswirkungen von Ransomware auf Sicherheitsbudgets

Die stetige Zunahme des Umfangs, der Komplexität und der Schwere von Ransomware-Angriffen führt zu einer Erhöhung der Sicherheitsbudgets. 86% der Befragten gaben an, dass sie ihre Sicherheitsbudgets zur Abwehr von Ransomware-Angriffen erhöht haben. Insgesamt gaben zwei Drittel (66%) der Befragten an, dass ihre Sicherheitsprogramme deutlich gestiegen sind - zwischen 11% und 50%.

Der durchschnittliche Anstieg der Sicherheitsbudgets aller Studienteilnehmer betrug 20%. Das zeigt, dass Ransomware zu den wichtigsten Faktoren für Sicherheitsausgaben in Unternehmen aller Größen und Branchen gehört. Wo also investieren Unternehmen das zusätzliche Budget, um das von Ransomware-Angriffen ausgehende Risiko zu verringern? Die Studie zeigt, dass die Budgetzuweisungen für Cyber-Versicherungspolicen der wichtigste Posten für erhöhte Ausgaben sind.

Seit ihrer Markteinführung hat sich die Annahme von Cyberversicherungen stark verbreitet. 93% der Befragten gaben an, dass ihre Unternehmen über eine Cyberversicherungspolice verfügen, gegenüber noch nur 75% im Bericht von 2021. Von denjenigen, die über eine Cyberversicherung verfügen, gaben 84% an, dass ihre Verträge speziell Ransomware-Angriffe abdecken. Im Vorjahresbericht waren es nur 54%.

Eine Cyberversicherung kann zwar ein wirksames Instrument sein um einen Teil des Risikos eines Angriffs zu übertragen, mindert dieses aber nicht generell und bietet auch keinen nennenswerten Schutz. Selbst wenn eine Cyberversicherungspolice eine Lösegeldforderung abdeckt, verwehrt sie möglicherweise den Ersatz anderer finanzieller Folgen, wie Umsatzeinbußen, Kosten für die Wiederherstellung, höhere Versicherungsprämien, Geldbußen, Anwaltskosten und Ähnliches. Darüber hinaus schützt eine Cyber-Versicherung ein Unternehmen nicht davor, zu den 8 von 10 Unternehmen zu gehören, die von einem zweiten Ransomware-Angriff in kürzester Zeit betroffen sind - und es erscheint sehr zweifelhaft, dass eine Cyber-Versicherung mehrere Lösegeldzahlungen innerhalb eines Monats abdecken würde.

Leitfaden zum Schutz vor Ransomware

Wenn ein Unternehmen erst einmal mit Ransomware infiziert ist, gibt es keine eindeutige "beste Option". Wenn das Lösegeld nicht gezahlt wird, kann der Geschäftsbetrieb für Tage oder Wochen zum Stillstand kommen, während die Daten manuell aus Sicherungskopien wiederhergestellt werden - vorausgesetzt, das Unternehmen verfügt überhaupt über Sicherungskopien.

Die beste Möglichkeit sich gegen Ransomware zu schützen besteht darin, proaktiv zu handeln und einen Angriff von vornherein zu verhindern, einen laufenden Angriff so früh wie möglich zu erkennen und zu unterbrechen und auf einen erfolgreichen Angriff schnell zu reagieren.

  • Befolgen Sie bewährte Praktiken der Sicherheitshygiene:
    Dazu gehören die rechtzeitige Verwaltung von Patches und die regelmäßige Aktualisierung von Betriebssystemen und anderer Software, externe Datensicherungen, die Einführung eines Programms zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen und der Einsatz von erstklassigen Sicherheitslösungen im Netzwerk.
  • Implementieren Sie mehrschichtige Präventionsfunktionen:
    Präventionslösungen wie NGAV sollten standardmäßig auf allen Unternehmensendpunkten im gesamten Netzwerk installiert sein, um Ransomware-Angriffe sowohl mit bekannten TTPs als auch mit benutzerdefinierter Malware abzuwehren.
  • Einsatz von Endpoint und Extended Detection and Response (EDR und XDR):
    Punktlösungen zur Erkennung bösartiger Aktivitäten wie eines RansomOps-Angriffs bieten die nötige Transparenz, um Ransomware-Angriffe zu beenden, bevor es zu einer Datenexfiltration kommt oder die Ransomware-Nutzlast übertragen werden kann.
  • Stellen Sie sicher, dass die wichtigsten Interessenvertreter erreicht werden können:
    Die Verantwortlichen sollten zu jeder Tageszeit erreichbar sein, da sich kritische Abhilfemaßnahmen an Wochenenden/Feiertagen verzögern können. Eine klare Zuweisung von Bereitschaftsdiensten für Sicherheitsvorfälle außerhalb der Geschäftszeiten ist unerlässlich.
  • Führen Sie regelmäßig Table-Top-Übungen durch:
    Diese funktionsübergreifenden Übungen sollten wichtige Entscheidungsträger aus der Rechtsabteilung, der Personalabteilung, dem IT-Support und anderen Abteilungen bis hin zur Geschäftsleitung einbeziehen, um eine reibungslose Reaktion auf Vorfälle zu gewährleisten.
  • Sorgen Sie für klare Isolierungspraktiken:
    Dies kann ein weiteres Eindringen in das Netzwerk oder die Verbreitung von Ransomware auf andere Geräte oder Systeme verhindern. Die Mitarbeiter sollten in der Lage sein einen Host zu trennen, ein kompromittiertes Konto zu sperren oder eine bösartige Domäne zu blockieren. Es wird empfohlen, diese Verfahren mindestens einmal im Quartal mit geplanten oder ungeplanten Übungen zu testen, um sicherzustellen, dass alle Mitarbeiter und Verfahren wie erwartet funktionieren.
  • Bewerten Sie die Optionen der Anbieter von Sicherheitsdiensten:
    Wenn in Ihrer Sicherheitsorganisation Personal- oder Qualifikationsdefizite bestehen, sollten Sie mit Ihren MSP vorab vereinbarte Reaktionsverfahren festlegen, damit sie nach einem vereinbarten Plan sofort handeln können.
  • Sperren Sie kritische Konten an Wochenenden und Feiertagen:
    Der übliche Weg, den Angreifer bei der Verbreitung von Ransomware in einem Netzwerk einschlagen, besteht darin, die Rechte auf Domänenebene zu erweitern und dann die die Ransomware einzusetzen. Diese Konten mit den höchsten Privilegien müssen in den meisten Fällen nur selten selten während des Wochenendes oder in den Ferien benutzt werden. Mitarbeiter sollten hochsichere, nur für Notfälle bestimmte Konten im Active Directory einrichten, die nur verwendet werden, wenn andere betriebliche Konten vorübergehend als Vorsichtsmaßnahme deaktiviert oder während eines Ransomware-Angriffs nicht zugänglich sind. Ergreifen Sie ähnliche Vorsichtsmaßnahmen für den VPN-Zugang, indem Sie dessen Verfügbarkeit am Wochenende je nach Geschäftsanforderungen einschränken.

Über Cybereason und die Studie

Cybereason ist ein Cybersecurity-Technologieunternehmen, das 2012 gegründet wurde und eine Plattform für den Schutz von Endgeräten bietet. Cybereason ist ein internationales Unternehmen in Privatbesitz mit Hauptsitz in Boston und Kunden in mehr als 40 Ländern.

Die Umfrage wurde von Censuswide im April 2022 im Auftrag von Cybereason durchgeführt. Insgesamt nahmen 1.456 Cybersicherheitsexperten aus Unternehmen mit 700 oder mehr Mitarbeitern an der Umfrage teil - mit Teilnehmern aus den Vereinigten Staaten (24%), Großbritannien (17%), Deutschland (10%), Frankreich (10%), Japan (10%), Italien (7%), Südafrika (7%), den Vereinigten Arabischen Emiraten (7%) und Singapur (7%).

Den offiziellen Threat-Report von Sophos mit vielen interessanten Informationen zur Gegenwart und Zukunft von Ransomware finden Sie hier. Die fünf wichtigsten Take-Aways Im Bezug auf Ransomware im Jahr 2022 gibt es hier.

Quellen:
Ransomware: The true cost to Business. A Global Study on Ransomware Business Impact. (2022)
https://www.cybereason.com