Die Schattenpandemie: Die gegenwärtigen und zukünftigen Gefahren von Ransomware für Unternehmen

Inmitten des andauernden Kampfes gegen COVID-19 sehen sich Regierungen und Unternehmen weltweit einer weiteren viralen Bedrohung gegenüber – einer Bedrohung, gegen die niemand immun ist. Ransomware-Angriffe sind in den letzten zwei Jahren so weit eskaliert, dass Interpol sie nun als weltweite Pandemie betrachtet. In einem dringenden Aufruf zum Handeln, der Mitte 2021 herausgegeben wurde, sagte Jürgen Stock, der Generalsekretär der globalen Sicherheitsorganisation, dass die Bekämpfung von Ransomware zu einer Aufgabe geworden ist, die für eine Organisation oder Branche allein zu groß ist. Ohne eine weltweite Reaktion, sagte er, könne nichts das exponentielle Wachstum der Ransomware-Kriminalitätswelle eindämmen.

Im Oktober berief der Nationale Sicherheitsrat des Weißen Hauses einen globalen virtuellen Cybersicherheitsgipfel ein, und die 30 teilnehmenden Nationen verpflichteten sich, eine NATO-ähnliche Koalition zu bilden, die sich auf Cyberabwehr konzentriert. Aber die Experten, die Toptal konsultierte, sagen, dass Unternehmensleiter sich auch im Kampf gegen Ransomware engagieren müssen.

„Das muss mehr sein als nur ein Haufen Regierungen und internationaler Organisationen wie Interpol“, sagt VS Subrahmanian, ein weltweit führendes Unternehmen in den Bereichen Cybersicherheitsforschung und Terrorismusbekämpfung und Professor und Fakultätsmitglied am Roberta Buffett Institute for Global Affairs an der Northwestern University , erzählt Toptal Insights. Die Ransomware-Prävention muss „große Unternehmen einbeziehen, und sie muss die Menschen einbeziehen, die sehr intensiv über diese Dinge nachdenken, wie unabhängige oder akademische Forscher“.

Ransomware-Angriffe sind so weit eskaliert, dass Interpol sie nun als weltweite Pandemie betrachtet.

Durch die Verlangsamung des Wachstums des Ransomware-Ökosystems und die Verteidigung der Weltwirtschaft werden Unternehmen jetzt und in Zukunft geschützt. Selbst Unternehmen mit Goldstandard-Cybersicherheits-Checklisten sind nicht immun gegen die heutige Ransomware-Bedrohung. Und Unternehmensleiter, die glauben, dass sie sich aus einem Angriff freikaufen können, könnten beunruhigt sein, wenn sie erfahren, dass nur 8 % derjenigen, die Hacker bezahlen, alle ihre Daten zurückerhalten.

„Im Moment entwickeln Angreifer ihre Strategien ständig weiter, um Abwehrmaßnahmen zu umgehen oder zu überwinden, also ist dies ein ständiger Kampf“, sagt Subrahmanian, Mitbegründer von SentiMetrix, einem Unternehmen für Datenwissenschaft und soziale Analysen, das mit US-Regierungsbehörden und Fortune-500-Unternehmen zusammenarbeitet. und führenden Universitäten. „Die Zahl der Angriffe steigt und alle Unternehmen sind bedroht.“

Der aktuelle Stand der Dinge

Die plötzliche Umstellung auf Remote-Arbeit und die zunehmende Abhängigkeit von Cloud-Computing während des COVID-19-Shutdowns im Jahr 2020 legten Schwachstellen in den Netzwerken vieler Unternehmen offen und schufen mehr Eintrittspunkte für Malware – bösartige Softwareprogramme, die es Hackern ermöglichen, die Daten eines Unternehmens zu sperren und zu entfernen die Computer des Unternehmens und halten sie als Geisel auf externen Servern.

Der Gesamtbetrag, den amerikanische Organisationen an Ransomware-Angreifer gezahlt haben, hat sich nach Schätzungen des Financial Crimes Enforcement Network (FinCen) des US-Finanzministeriums zwischen 2019 und Juni 2021 mehr als verdoppelt. Die durchschnittliche Lösegeldzahlung, die von jedem Opfer verlangt wird, ist ebenfalls explodiert, von knapp 1 Million Dollar im Jahr 2019 auf mehr als 5 Millionen Dollar im Jahr 2020, so Unit 42, eine globale Gruppe für Bedrohungsforschung und Malware-Analyse im Besitz des Cybersicherheitsunternehmens Palo Alto Networks.

Bei einem der lähmendsten Angriffe in der jüngeren Geschichte erzwangen Hacker im Jahr 2021 für fünf Tage die Unterbrechung der Benzinversorgung eines Großteils der Ostküste der USA, bis Colonial Pipeline Co. 4,4 Millionen US-Dollar Lösegeld zahlte. Etwa zur gleichen Zeit zahlte der in Chicago ansässige Versicherungsriese CNA Ransomware-Angreifern 40 Millionen Dollar und setzte damit eine neue Höchstmarke für einen Einzelangriff.

Ende 2021 wurde der weltweit führende Anbieter von HR-Softwarelösungen, die Ultimate Kronos Group, von einem Angriff heimgesucht, der dazu führte, dass große Arbeitgeber sich bemühten, alternative Wege zur Bezahlung ihrer Mitarbeiter zu finden – zwei Wochen vor den Weihnachtsferien. Die Höhe des geforderten Lösegelds wurde nicht veröffentlicht, aber es ist wahrscheinlich massiv, wenn man bedenkt, dass UKG im Jahr 2021 Einnahmen von 3,3 Milliarden US-Dollar gemeldet hat.

Das exponentielle Wachstum der Gewinne für Kriminelle zieht immer mehr Opportunisten aus der ganzen Welt an. China ist als Hotspot für Cyberkriminalität bekannt; Andere aktive Länder für Hacker sind Brasilien, Polen, Iran, Indien, die Vereinigten Staaten, Russland und die Ukraine.

Die heutigen Ransomware-Angriffe werden immer rücksichtsloser

Früher folgten Ransomware-Angriffe einem sehr einfachen Ablauf: „Sie würden angegriffen. Einige Ihrer Dateien werden verschlüsselt. Sie müssten ein Lösegeld in Bitcoin zahlen, um diese Dateien zurückzubekommen“, sagt Subrahmanian. Diese Arten von Angriffen begannen Ende der 1980er Jahre, als Computerviren auf Disketten an ahnungslose Opfer verteilt wurden, die Bargeld an anonyme Postfächer senden mussten, um ihre Computer zu entsperren. Als sich das globale Geschäft online verlagerte, taten dies auch die Systeme.

Im Laufe der Jahre haben Unternehmen erkannt, dass das häufige Sichern von Dateien auf externen Festplatten oder Cloud-Servern die Gefahr von Datensperren neutralisiert. „Die Ransomware-Bedrohungsakteure haben also ihre Vorgehensweise geändert“, sagt Subrahmanian. „Bei einem Angriff verschlüsseln sie nicht nur Ihre Daten. Sie stehlen auch etwas davon.“

Hacker nutzen gestohlene Daten und setzen bei Angriffen jetzt regelmäßig bis zu vier Arten von Erpressung ein. Die erste besteht darin, die Daten des Opfers zu verschlüsseln und sie auf einen vom Cyberkriminellen kontrollierten Server zu exfiltrieren (zu entfernen). Die zweite droht mit der öffentlichen Offenlegung von Firmengeheimnissen oder Informationen, die den Ruf des Unternehmens schädigen könnten. Eine dritte Art der Erpressung besteht in der Androhung eines Denial-of-Service-Angriffs (DOS), der die öffentlich zugänglichen Websites einer Organisation lahmlegt.

Das sind wirklich aggressive Cyberangriffe, und die Leute, die sie ausführen, haben mehr Macht als die Nationalstaaten. – Austin Dimmer, DevSecOps-Experte

Eine neue, vierte Art der Ransomware-Erpressung – die sogenannte „externe Erpressung“ – tauchte 2020 bei einem einzigartigen Angriff auf ein Privatunternehmen auf, das 25 psychiatrische Kliniken in Finnland betreibt. Die Angreifer forderten nicht nur Geld, damit das Unternehmen wieder Zugriff auf seine Systeme erlangen und die Veröffentlichung interner Daten vermeiden konnte, die Kriminellen erpressten auch Zehntausende von einzelnen Patienten und drohten damit, ihre vertraulichen Therapeutennotizen und Behandlungsprotokolle öffentlich zugänglich zu machen, wenn sie dies nicht täten zahlen durchschnittlich 200 Euro pro Person.

„Dies sind wirklich aggressive Cyberangriffe, und die Typen, die diese Angriffe durchgeführt haben, haben jetzt mehr Macht als die Nationalstaaten“, sagt Austin Dimmer gegenüber Toptal Insights. Als Experte für DevSecOps (Entwicklung, Sicherheit und Betrieb), der sichere Netzwerke für die Europäische Kommission, Lego und Publicis Worldwide aufgebaut und verwaltet hat, hat Dimmer seinen Anteil an der Arbeit von Cyberkriminellen gesehen. „Sie sind einfach unbarmherzig und kennen keine Gnade.“

Ein komplexes Netzwerk macht Angreifer schwer zu fassen

Die dezentrale und komplexe Natur des Ransomware-Marktplatzes macht es unglaublich schwierig, Angreifer festzunehmen. Das Netz von Menschen, die einen einzelnen Angriff ausführen, geht weit über einen Entwickler bösartiger Software hinaus, der die Malware erstellt. Entwickler führen selten selbst Angriffe durch. Vielmehr stellen sie ihre Waren zum Kauf oder zur Miete ins Darknet. An diesem Punkt schließen Distributoren mit den Entwicklern das Recht ab, die Software einzusetzen und Angriffe durchzuführen.

Sobald ein Lösegeld gezahlt wird, tritt ein Netzwerk von Kryptowährungs-Geldwäschern auf, schrubbt die Gelder und verteilt die Gewinne zurück an den/die Entwickler, Distributor(en) und andere Akteure.

Selbst wenn Ransomware-Angreifer gefunden und festgenommen werden, ist die finanzielle Entschädigung für die Opfer im Allgemeinen minimal. Im Fall Colonial Pipeline zum Beispiel konnte das FBI nur Kryptowährungstransaktionen verfolgen, um etwa die Hälfte der gezahlten Lösegelder in Höhe von 4,4 Millionen Dollar zurückzuerhalten.

Vorhersage und Verhinderung zukünftiger Angriffe

Mit wenig Hoffnung, Kriminelle und Lösegelder aufzuspüren, nachdem ein Ransomware-Angriff abgeschlossen ist, konzentriert sich Subrahmanian auf Vorhersage und Prävention. Er und sein Team bei Northwestern entwickeln derzeit ein Vorhersagesystem, das die Art und den Zeitpunkt zukünftiger Ransomware-Angriffe vorhersehen kann, bevor Daten kompromittiert werden.

Seine Software verwendet künstliche Intelligenz, um Kommunikation und Trends im Dark Web und in den sozialen Medien zu verfolgen, um neue Malware zu identifizieren, die entwickelt wird, und um festzustellen, wann sie potenziellen Distributoren beworben wird.

Subrahmanian will nicht nur genau bestimmen, wann, sondern auch wie Hacker versuchen, Systeme zu infiltrieren. Seine ersten Erkenntnisse zeigten, dass von den Tausenden möglichen Schwachstellen, die in Sicherheitschecklisten und von Beratern identifiziert wurden, Hacker nur 9,3 % der Schwachstellen ins Visier nehmen. Dies bedeutet, dass Unternehmen möglicherweise 90 % ihrer IT-Sicherheitsbemühungen für den falschen Schutz verschwenden.

Obwohl es nahezu unmöglich ist, die Aktionen von anonymen Hackergruppen und Einzelpersonen, die weltweit verstreut sind, vorherzusehen, kann die Überwachung der aggregierten Kommunikation, die für Verbindungen zur Cyberkriminalität gekennzeichnet ist, auf wachsende Bedrohungsbereiche hinweisen. Ähnlich wie das Beobachten der Finanzmärkte, um Trends vorherzusagen, hofft Subrahmanian, dass die Beobachtung des breiten Marktes der Ransomware-Aktivitäten den Forschern helfen wird, aufkommende Malware und ihre potenziellen Ziele zu erkennen, damit Unternehmen proaktive Maßnahmen ergreifen können.

Innovative Möglichkeiten, wie der Privatsektor zur Bekämpfung der Cyberkriminalität beitragen kann

Ohne die Art zuverlässiger Prognosen, die das Team von Subrahmanian zu erstellen versucht, sind die Frontlinien immer noch ein erschütternder Ort für Unternehmen. Aber diese vier Strategien können Unternehmensführern helfen, sich jetzt zu wehren:

Reduzieren Sie die Gewinne für Ransomware-Angreifer

Wenn Ransomware-Angriffe Cyberkriminellen weiterhin riesige Zahltage bescheren, glaubt Dimmer, dass die meisten Bemühungen von Regierungen und Strafverfolgungsbehörden zum Scheitern verurteilt sind. Es gibt einfach zu viele Gewinnmöglichkeiten, argumentiert er, insbesondere wenn man bedenkt, dass andere solche wirtschaftlichen Möglichkeiten in einigen der Länder, in denen Hacker ansässig sind, möglicherweise nicht existieren.

Um diesen wirtschaftlichen Motor zu schwächen, sollten Unternehmen erwägen, interne Regeln gegen die Zahlung von Lösegeld zu erlassen und Gesetze zu unterstützen, die die Zahlung von Lösegeld illegal machen würden, sagen Subrahmanian und Ismael Peinado, Chief Technology Officer von Toptal. „Denken Sie nur darüber nach, warum wir diese Angriffe haben. Weil Angreifer das Geld bekommen. Und warum wird es immer schlimmer? Weil sie das Geld immer wieder bekommen“, sagt Peinado. „Warum zahlen wir kein Lösegeld an Leute, die in Banken gehen und Geiseln nehmen? Aus dem gleichen Grunde."

Es mag kontrovers klingen, Handlungen von Ransomware-Opfern zu kriminalisieren, aber Subrahmanian stellt fest, dass Unternehmen, die Cyberkriminelle bezahlen, um ihre Daten zu retten, möglicherweise bereits gegen internationales Recht verstoßen, wenn die Angreifer aus Ländern stammen, gegen die internationale Sanktionen verhängt wurden, oder mit Organisationen verbunden sind, die den Terrorismus fördern. Ein Bericht über Kryptowährungszahlungen an Hacker, die die Zielländer von Kryptowährungszahlungen für Ransomware verfolgten, zeigte, dass mindestens 15 % der Zahlungen unter Verstoß gegen internationale Gesetze in die Hände verbotener Unternehmen gelangten.

Darüber hinaus garantiert das Bezahlen nicht, dass Hacker ihren Teil der Abmachung einhalten. Laut einer kürzlich durchgeführten Umfrage des Cybersicherheitsunternehmens Sophos unter mehr als 5.000 IT-Führungskräften auf der ganzen Welt erhielten Unternehmen, die bezahlten, im Durchschnitt nur 65 % ihrer Daten zurück. Nur 8 % der Opfer konnten alle ihre Dateien wiederherstellen.

Setzen Sie auf SecOps statt auf Checklisten und externe Audits

Technologieführer, die versuchen, ihre Unternehmen zu schützen, wenden häufig Best-Practice-Checklisten für die Sicherheit an, investieren in die neueste Sicherheitssoftware und stellen teure Sicherheitsprüfer ein, um Netzwerkschwachstellen zu testen. Leider sagt Peinado – ein weltweit führendes Unternehmen im Bereich Cybersicherheit mit 20 Jahren Erfahrung in der Zusammenarbeit mit Regierungsorganisationen, Start-ups und großen, wachstumsstarken Unternehmen –, dass dies der falsche Ansatz ist.

Checklisten und Zertifizierungen nachzujagen und sich auf die einfache Einhaltung gesetzlicher Vorschriften zu konzentrieren, kann die IT-Ressourcen einer Institution verschlingen und gleichzeitig ein falsches Sicherheitsgefühl bei der Unternehmensführung erzeugen. Mit den zusätzlichen Zugangspunkten zu Systemen und der Abhängigkeit von Cloud Computing sei der Zugang zu Netzwerken nicht mehr so ​​schwierig wie früher, sagt er. Dennoch verbringen Sicherheitsfirmen immer noch unzählige Stunden damit, Netzwerke nach Schwachstellen zu durchsuchen, die möglicherweise nie das Ziel von Hackern sind. „Am Ende des Tages verlieren sie den Fokus auf das, was echte Hacker tun, nämlich dass sie, wenn Sie sich einen Weg in Ihr Haus sichern, einfach einen anderen Weg finden, um einzubrechen“, sagt er.

Stattdessen empfiehlt Peinado, dass Technologieführer die Sicherheit direkt in den Engineering-Betrieb integrieren und den ständigen Test- und Patch-Zyklus abschaffen. Diese Art von Sicherheitsoperationen, die als DevSecOps oder SecOps bezeichnet werden, integrieren die Sicherheit direkt in die Softwareentwicklungsoperationen eines Unternehmens und fördern eine Umgebung mit schnellen Reaktionen auf neue Bedrohungen, sagt er.

Wenn beispielsweise eine neue Funktion oder ein neues Feature für die Website eines Unternehmens erstellt und öffentlich eingeführt wird, ergeben sich neue Schwachstellen für Hacker. In einem traditionellen Arbeitszyklus würden Entwickler die Funktionen der neuen Website in einem Silo erstellen und sie dann zum Testen durch interne (und manchmal externe) Sicherheitsexperten einreichen. Die Sicherheit würde dann gepatcht und über die im Nachhinein gefundenen Schwachstellen gelegt.

In einer SecOps-Umgebung sitzen die Ingenieure und Entwickler, die die Site oder Funktionalität erstellen, Seite an Seite mit einem Sicherheitsingenieur, um sicherzustellen, dass das richtige Sicherheitsniveau integriert wird, während das Produkt entwickelt wird. Dieser integrierte Ansatz macht SecOps-Entwickler auf eine Weise bewusster und verantwortungsbewusster, die bei traditionelleren Verfahren einfach nicht möglich ist, sagt Peinado.

Nutzen Sie kontingente Cybersicherheitstalente

Dimmer, der als Teil des Entwickler-Talent-Netzwerks von Toptal mit Kunden zusammenarbeitet, sagt, dass er gemischte Reaktionen erhält, wenn er versucht, die SecOps-Sichtweise in die Prozesse der Kunden einzuführen, oft aufgrund von Qualifikationslücken in internen IT-Teams – Systeme werden immer schwieriger zu bedienen Sie machen sie sicherer. Erfolg bedeutet nicht nur, die richtigen Systeme zu haben, sondern auch das geschulte Personal, um sie zu bedienen, sagt er.

Die Besetzung hochwertiger technischer Funktionen wie Sicherheitsingenieure ist nach wie vor ein Problem für Unternehmen. Fast 1 von 10 Unternehmen, die von TechBeacon für den Bericht „State of Security Operations“ befragt wurden, gaben an, dass der Mangel an qualifizierten Talenten die Cybersicherheitsherausforderung Nr. 1 im Jahr 2021 sei – und fast 30 % gaben an, dass dies zu den drei größten Hindernissen gehöre.

Erstklassige Tech-Talente können über bedingte Netzwerke wie Toptal eingestellt werden, um diese Lücken zu schließen. Entwickler und Technologieführer wie Dimmer sind seit Jahrzehnten sehr gefragt, sind es aber aufgrund des massiven Mangels an Cybersecurity-Mitarbeitern jetzt noch mehr. Die Information Systems Security Association schätzte die Lücke von 4 Millionen Fachleuten in der Branche im Jahr 2019, und ihre Umfrage unter IT-Führungskräften im Jahr 2021 ergab, dass sich die Lücke seitdem vergrößert hat.

Einige Unternehmensleiter zögern möglicherweise, externe Talente für die sensibelsten Sicherheitsprojekte einzusetzen, wie z. B. die Aufnahme von Freiberuflern in die Schützengräben von SecOps. Die Auslagerung eines Teils des Sicherheitsbetriebs an externe Talente ist jedoch tatsächlich bereits die Norm: Mehr als die Hälfte der von TechBeacon befragten Unternehmen gaben an, dass sie eine Kombination aus internen und externen Ressourcen nutzen, um ihre Cybersicherheitsfunktionen zu bewältigen.

Die Zukunft der Cyberkriminalität

Bisher hat sich die KI-Frühwarnsoftware von Subrahmanian bei der Vorhersage von Ransomware-Angriffen in experimentellen Modellen als zu 70 % effektiv erwiesen, sagt er. Wenn die Tests weiterhin gut verlaufen, hofft er, ab Mitte 2022 Prognosen für reale Angriffe veröffentlichen zu können.

Seine Forschung konzentriert sich auch auf die Lücke zwischen dem Zeitpunkt, an dem Schwachstellen in Software identifiziert werden, und dem Zeitpunkt, an dem Software-Patches und Sicherheitsupdates allgemein für die Öffentlichkeit verfügbar sind. Erste Erkenntnisse aus dieser Untersuchung zeigen, dass fast die Hälfte der Malware-Angriffe in diesem Zeitraum stattfinden, der im Durchschnitt etwa 132 Tage dauert. Diese längere Zeit der Verwundbarkeit macht sein Streben nach einem effektiven Vorhersagemodell noch wichtiger, um Hacker beim Auftreten neuer Bedrohungen zu stoppen.

In der Zwischenzeit verstärkt sich Big Tech. Google hat sich verpflichtet, in den nächsten fünf Jahren 10 Milliarden US-Dollar auszugeben, um die Software-Lieferkette zu sichern und die Nutzung von Zero-Trust-Systemen zu erweitern, Sicherheitsframeworks, die eine kontinuierliche Authentifizierung aller internen und externen Benutzer erfordern. Microsoft bietet 150 Millionen US-Dollar an technischen Dienstleistungen an, um lokale Regierungen in den USA bei der Verbesserung ihrer Verteidigung zu unterstützen. Und Amazon hat zugesagt, damit zu beginnen, die gleichen Sicherheitsbewusstseinsschulungen anzubieten, die es seinen Mitarbeitern in der Öffentlichkeit gibt, und die zweistufige Authentifizierung für alle Amazon Web Services (AWS)-Kunden kostenlos zu machen.

Die Bekämpfung von Ransomware als sich ständig weiterentwickelnder Bedrohung wird ein globales Dorf erfordern, sagt Subrahmanian, und Unternehmen – ob groß oder klein – müssen Teil davon sein.

Siehe auch: Durchsuchen Sie das Developer Skill Directory von Toptal nach SecOps-Talenten