Der Schutz vor Ransomeware, wird für Unternehmen immer wichtiger. Am 18. Dezember 2022 attackierte die „LockBit“-Gruppe das Kinderkrankenhaus „SickKids“ in Toronto, Kanada, welches als Lehr- und Forschungskrankenhaus seine Spezialisierung in der medizinischen Versorgung von Kindern hat. Mit Ransomware soll auf interne, unternehmenseigene Systeme und Telefonleitung sowie die Webseite des Krankenhauses zugegriffen worden sein. Die Folgen seien in diesem Fall glücklicherweise nur Verzögerungen von Laborergebnissen, ebenso wie lange Wartezeiten für Patienten gewesen. Denn das Entschlüsselungsprogramm wurde später von der Gruppe selbst mit einer öffentlichen Entschuldigung bereitgestellt.

Neues Geschäft mit Ransomware: Die RaaS-Branche boomt

So endet eine Cyberattacke in den seltensten Fällen. Die Gruppe LockBit ist ein RaaS-Dienstleister, der Ransomware-as-a-Service anbietet. Andere RaaS-Anbieter heißen bspw. Ryuk, Conti, Hive, BlackCat, Nokoyawa, Agenda etc. Sie stellen ihre Tools Partnern bereit, um deren Identität zu verschleiern. Es werden Organisationen gehackt, Daten kopiert und verschlüsselt – und dazu sind weder tiefere Fachkenntnisse noch Grundkenntnisse nötig. Im Anschluss stellen Ransomware-Gruppen wie LockBit die Verschlüsselungssoftware und Webseite unter Forderung einer Lösegeldzahlung zur Verfügung. In dieser kriminellen Industrie sind meist mehrere Angreifer an einer einzigen Kompromittierung beteiligt. RaaS-Kits können im Dark Web problemlos erworben werden. Ein äußerst lukratives Geschäft in Zeiten des digitalen Wandels und ein klares Zeichen dafür, dass Unternehmen es nicht schaffen, sich diesem Wandel schnell genug anzupassen.

Sicherheitsbericht von Microsoft: Experten legen Daten vor

Der Sicherheitsbericht Cyber Signals von Microsoft analysierte dazu mehr als 43 Billionen Sicherheitssignale, zusammengestellt von 8.500 Sicherheitsexpert:innen, und fasste damit wichtige Sicherheitstrends und Empfehlungen für den Schutz der IT-Infrastrukturen von Unternehmen zusammen. Die erstmalige Infektion verläuft oftmals durch Malware oder das Ausnutzen einer Sicherheitslücke. Demnach konnte Microsoft feststellen, dass nach dem Öffnen einer Phishing Mail ein Angreifer im Schnitt eine Stunde und zwölf Minuten braucht, um in das System einzudringen. Bei der Kompromittierung eines Gerätes haben die Angreifer durchschnittlich nach einer Stunde und 42 Minuten Erfolg, in das Netzwerk zu gelangen.

Welche Empfehlungen lassen sich dem Bericht von Microsoft entnehmen?

Ordnung bei den Anmeldeinformationen

Die Entwicklung einer Netzwerksegmentierung auf Basis von Privilegien, die neben einer Netzwerksegmentierung eingeführt werden können, wird dabei helfen, laterale Bewegungen einzuschränken.

Audit für Offenlegung von Anmeldeinformationen

Bei besserer Überprüfung der Anmeldeinformationen können Ransomware-Angriffe mit höherer Wahrscheinlichkeit verhindert werden. Alle Teams – IT, Sicherheitsteams und SOC – sollten in enger Zusammenarbeit daran arbeiten, administrative Privilegien zu verringern. Diese Teams sollten verstehen, auf welchem Level Anmeldeinformationen durch Offenlegung gefährdet sind.

Reduzierung der Angriffsfläche

Mittels der Einführung von Regeln zur Reduzierung der Angriffsfläche lassen sich gängige Angriffsmethoden, die bei Ransomware-Attacken angewandt werden, eingrenzen. Beobachtungen von Attacken durch Ransomware-Gruppen haben gezeigt, dass es Organisationen mit klar definierten Regeln in der Vergangenheit gelungen ist, Angriffe schon im Anfangsstadium zu erkennen und abzuwehren. Es konnten dabei sogar Hands-On-Keyboard Aktivitäten verhindert werden.

Damit Unternehmen und Ihre IT-Infrastruktur sicher in das digitale Zeitalter gelangen, entwickeln Microsoft und deren Sicherheitsexpert:innen konstant ihre Sicherheitslösungen weiter. Für ausgiebigen Schutz vor kriminellen Bedrohungen empfiehlt Microsoft das Zero-Trust-Modell. Du möchtest mehr über Zero Trust erfahren? Wir beraten dich gern!

#busitec #IT #zukunftderarbeit #microsoft #digitaltransformation