Muster und Ziele für die Ausnutzung von Schwachstellen durch Ransomware: 2017–2023

Eine aktuelle Studie von Insikt analysiert Ransomware- und Sicherheitslückentrends der letzten sechs Jahre und bietet Einblicke in die Zukunftserwartungen.

Ransomware- Gruppen nutzen Schwachstellen in zwei unterschiedlichen Kategorien aus: solche, die nur von wenigen Gruppen angegriffen werden, und solche, die von mehreren Gruppen in großem Umfang ausgenutzt werden. Jede Kategorie erfordert unterschiedliche Verteidigungsstrategien. Gruppen, die es auf bestimmte Schwachstellen abgesehen haben, folgen in der Regel bestimmten Mustern. Dies ermöglicht es den Unternehmen, Abwehrmaßnahmen und Prüfungen zu priorisieren. Um sich gegen einmalige Angriffe verteidigen zu können, ist es wichtig, die wahrscheinlichen Ziele und Schwachstellentypen zu verstehen.

Diagramm, das die Anzahl der Ransomware-Gruppen zeigt, die in den letzten fünf Jahren mit der Ausnutzung von Schwachstellen in Verbindung gebracht wurden. Mit „einer Gruppe“ meinen wir beispielsweise, dass nur eine Gruppe eine Schwachstelle ausgenutzt hat (Quelle: Recorded Future)

Häufig ausgenutzte Schwachstellen finden sich in häufig genutzter Unternehmenssoftware und können auf verschiedene Weise, beispielsweise mithilfe von Penetrationstestmodulen, leicht ausgenutzt werden. Zur Abwehr solcher Angriffe müssen Schwachstellen umgehend gepatcht, Sicherheitsforschung auf Proof of Concept überwacht und kriminelle Foren auf Hinweise zu Tech-Stack-Komponenten und nicht auf bestimmte Schwachstellen beobachtet werden.

Einige Ransomware-Gruppen konzentrieren sich auf die Ausnutzung von drei oder mehr Schwachstellen und liefern den Verteidigern so klare Zielmuster. Beispielsweise hat CL0P es auf Dateiübertragungssoftware von Accellion, SolarWinds und MOVEit abgesehen. Die am häufigsten angegriffenen Schwachstellen befinden sich in weit verbreiteter Unternehmenssoftware und können leicht ausgenutzt werden. Schwachstellen, die einzigartige Vektoren erfordern, werden normalerweise nur von wenigen Gruppen ausgenutzt.

Betreiber und Partner von Ransomware diskutieren selten über spezifische Schwachstellen, doch das breitere Ökosystem der Cyberkriminellen identifiziert und diskutiert öffentlich bekannte Schwachstellen und potenzielle Ziele für eine Ausnutzung.

Mit Blick auf das Jahr 2024 könnten Fortschritte im Bereich der generativen KI die technischen Hürden für Cyberkriminelle senken und die Ausnutzung weiterer Zero-Day-Schwachstellen erleichtern. Große Anbieter wie Google und Apple, die bislang gegen derartige Bedrohungen immun waren, könnten zum Ziel von Ransomware-Kampagnen werden. Darüber hinaus könnte eine mögliche Erholung des Wertes von Kryptowährungen den Fokus von Erpressergruppen auf den Diebstahl von Krypto-Wallets verlagern, ausgehend von der Schwachstellenforschung.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.