Muster und Ziele für Ransomware

Muster und Ziele für die Ausnutzung von Schwachstellen durch Ransomware: 2017–2023

insikt-group-logo-aktualisiert-3-300x48.png

Eine aktuelle Studie von Insikt analysiert Ransomware- und Sicherheitslückentrends der letzten sechs Jahre und bietet Einblicke in die Zukunftserwartungen.

Ransomware-Gruppen nutzen Schwachstellen in zwei verschiedenen Kategorien aus: Schwachstellen, die nur von wenigen Gruppen ausgenutzt werden, und solche, die von mehreren Gruppen ausgenutzt werden. Jede Kategorie erfordert unterschiedliche Verteidigungsstrategien. Gruppen, die es auf bestimmte Schwachstellen abgesehen haben, neigen dazu, bestimmten Mustern zu folgen, was es Unternehmen ermöglicht, Abwehrmaßnahmen und Audits zu priorisieren. Um sich gegen einzigartige Angriffe zu schützen, ist es wichtig, die wahrscheinlichen Ziele und Schwachstellen zu kennen.

Diagramm, das die Anzahl der Ransomware-Gruppen zeigt, die in den letzten fünf Jahren mit der Ausnutzung von Sicherheitslücken in Verbindung gebracht wurden
Diagramm, das die Anzahl der Ransomware-Gruppen zeigt, die in den letzten fünf Jahren mit der Ausnutzung von Schwachstellen in Verbindung gebracht wurden. Mit „einer Gruppe“ meinen wir beispielsweise, dass nur eine Gruppe eine Schwachstelle ausgenutzt hat (Quelle: Recorded Future)

Weit verbreitete Schwachstellen finden sich in häufig genutzter Unternehmenssoftware und lassen sich durch verschiedene Mittel wie Penetrationstestmodule leicht ausnutzen. Die von Ransomware-Betreibern am häufigsten ins Visier genommenen Schwachstellen können alle leicht über Penetrationstest-Module oder einzelne Codezeilen ausgenutzt werden. Zur Abwehr solcher Exploits gehört das sofortige Patchen von Sicherheitslücken, die Überwachung der Sicherheitsforschung auf Machbarkeitsnachweise und das Beobachten krimineller Foren nach Hinweisen auf Tech-Stack-Komponenten und nicht auf spezifische Sicherheitslücken.

Einige Ransomware-Gruppen konzentrieren sich darauf, drei oder mehr Sicherheitslücken auszunutzen und so klare Angriffsmuster für Verteidiger vorzugeben. CL0P hat beispielsweise Dateiübertragungssoftware von Accellion, SolarWinds und MOVEit ins Visier genommen. Die meisten gezielten Schwachstellen befinden sich in weit verbreiteter Unternehmenssoftware und können leicht ausgenutzt werden. Schwachstellen, die einzigartige Vektoren erfordern, werden in der Regel nur von wenigen Gruppen ausgenutzt.

Auf der Grundlage einer Überprüfung der übergeordneten Kategorien, in die Sicherheitslücken fallen, sind wir zuversichtlich, dass eine Sicherheitslücke, die nur von einer Gruppe ausgenutzt wird, wahrscheinlich ein speziell angefertigtes Paket (z. B. eine komprimierte Datei oder Anwendungsdaten) erfordert und nicht einfach über ein paar Zeilen Code missbraucht werden kann.

Von allen Schwachstellen, die von Ransomware-Operationen ausgenutzt wurden, stachen fünf als diejenigen hervor, die die meiste Aufmerksamkeit der Bedrohungsakteure auf sich zogen, da sie von der höchsten Anzahl einzelner Ransomware-Bedrohungsakteure ausgenutzt wurden. Bei diesen Schwachstellen handelt es sich um ProxyShel, ZeroLogon, Log4Shell, CVE-2021-34527 – die Microsoft-Unternehmensprodukte wie Exchange, Netlogon und Print Spooler betraf – und CVE-2019-19781, die Citrix-Software betraf. Microsofts Dominanz hier ist nicht überraschend: Wie wir in früheren Berichten festgestellt haben, ist Microsoft regelmäßig der Anbieter, der am stärksten von Zero-Day-Exploits und von Ransomware insgesamt betroffen ist, da etwa 55 % der Sicherheitslücken, die von drei oder mehr Gruppen ausgenutzt wurden, in Microsoft-Produkten waren.

Nach ihrer Bekanntgabe erfreuten sich die fünf größten Schwachstellen auch in der weiteren Bedrohungslandschaft großer Beliebtheit. Grund dafür sind Faktoren wie die massiven Auswirkungen im Hinblick auf den Zugriff auf bzw. die Kontrolle über Systeme und die Verbreitung der betroffenen Software. So wurden beispielsweise nationalstaatliche Gruppen und andere Cyberkriminelle, die keine Ransomware einsetzen, wiederholt dabei beobachtet, wie sie diese Schwachstellen als Teil ihrer Einbruchsoperationen anvisierten.

Ransomware-Betreiber und ihre Partner sprechen selten über spezifische Schwachstellen, aber das breitere Ökosystem der Cyberkriminellen identifiziert und diskutiert öffentlich bekannte Schwachstellen und potenzielle Ziele, die sie ausnutzen wollen.

Minderungsstrategien

Basierend auf den oben genannten Erkenntnissen und Bewertungen halten wir die folgenden Abwehrmaßnahmen als die effektivsten gegen die Ausnutzung von Schwachstellen durch Ransomware-Betreiber:

Mit Blick auf das Jahr 2024 könnten Fortschritte in der generativen KI die technische Barriere für Cyberkriminelle senken und die Ausnutzung weiterer Zero-Day-Sicherheitslücken erleichtern. Große Anbieter wie Google und Apple könnten zum Ziel von Ransomware-Kampagnen werden, die bisher gegen solche Bedrohungen immun waren. Darüber hinaus könnte ein möglicher Wiederanstieg des Wertes von Kryptowährungen dazu führen, dass sich Erpressergruppen von der Erforschung von Schwachstellen auf den Diebstahl von Krypto-Brieftaschen konzentrieren.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Hinweis: Diese Zusammenfassung des Berichts wurde erstmals am 8. Februar 2024 veröffentlicht und am 30. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.