Im Hinblick auf den Anstieg der weltweiten Ransomware-Aktivitäten in den ersten Monaten diesen Jahres haben Threat-Intelligence-Forscher von Cisco Talos die gefährlichsten Ransomware-Gruppen unter die Lupe genommen und eine Rangliste erstellt. Nimmt man die Anzahl ihrer Opfer, die auf Leak-Sites bekannt wurden, ist den Forschern zufolge die Lockbit-Gruppe aktuell am gefährlichsten. Es folgen auf den nächsten Plätzen Alphv, Play, 8base und Black Basta welche allesamt als RaaS (Ransomware-as-a-Service) fungieren.
"Man sieht, warum Lockbit in den Fokus von Strafverfolgungsbehörden gerückt ist und es im Februar und Mai diesen Jahres bereits zwei 'Takedowns' gab. Leider sind diese 'Zerschlagungen' meist nur von kurzer Dauer, da Lockbit und deren Partner sich schnell neu formieren können", sagt Thorsten Rosendahl, Technical Leader von Cisco Talos in Deutschland. "Auch wenn man in letzter Zeit doch von einigen operativen Problemen innerhalb der Gruppe hört und man diese auch von aussen sieht, bleibt Lockbit brandgefährlich."
Neben dem Ranking liefert die Talos-Analyse auch Einblicke in die Taktiken, Techniken und Prozesse (TTP) der 14 weltweit wichtigsten Erpresser-Gruppen sowie in Gemeinsamkeiten und Unterschiede der Akteure und ihrer Vorgehensweise. Ein Ergebnis etwa ist, dass mit dem Auftauchen neuer Erpressergruppen im letzten Jahr, die jeweils sehr individuelle Ziele, operative Strukturen oder Opferprofile aufweisen, sich diese Welt grundlegend geändert hat. Ein Effekt dieser Diversifizierung ist nach Ansicht der Talos-Forscher in einer Verschiebung hin zu immer individuelleren Cyberaktivitäten zu erkennen. Gruppen wie Hunters International, Cactus oder Akira besetzen beispielsweise sehr spezifische Nischen und unterscheiden sich in ihren operativen Zielen und stilistischen Vorgehensweisen stark voneinander.
Die Gruppen Blackbasta, Lockbit und Rhysida sind beispielsweise wiederum in den letzten Monaten immer offener dazu übergegangen, die Spielregeln hinter Ransomware zu verändern. Anstelle der reinen Verschlüsselung von Daten verursachen sie einen maximalen Schaden, indem sie ihre Opfersysteme zerstören, um so den Druck auf Unternehmen zu erhöhen. Gruppen wie AlphV/Blackcat oder Rhysida legen dagegen eine erhebliche taktische Vielfalt in ihren Angriffen an den Tag und nutzten das breiteste Spektrum an TTPs. Detailergebnisse der Analyse finden sich in im Blogpost von Cisco Talos: https://blog.talosintelligence.com/common-ransomware-actor-ttps-playbooks
"In der letzten Zeit sind wir als Cybersecurity-Community in allen Industrien besser darin geworden, Ransomware-Angriffe zu stoppen oder verschlüsselte Daten wieder herzustellen. Das sind gute Nachrichten", so Rosendahl weiter. "Wir beobachten aber mit Sorge, dass die Angreifer dazu übergehen, Daten primär zu exfiltrieren – nur gibt es hier keine Möglichkeit der Wiederherstellung. Es entstehen mehr und mehr kleinere, spezialisierte Gruppen, was es der angegriffenen Seite wesentlich schwieriger in der Verteidigung macht."
Zur Ransomware-Abwehr empfiehlt Cisco Talos eine orchestrierte Kaskade von Massnahmen. Dazu gehören:
- Regelmässiges Patch-Management, um Schwachstellen schnell zu beheben und das Risiko einer Ausnutzung zu verringern.
- Die Implementierung starker Passwortrichtlinien sowie eine korrekte Einrichtung einer Multi-Faktor-Authentifizierung (MFA), um eine zusätzliche Sicherheitsebene hinzuzufügen.
- Die Minimierung von Angriffsflächen aller Systeme und Umgebungen, indem unnötige Dienste und Funktionen deaktiviert werden.
- Client-Netzwerk-Authentifizierungen sowie Segmentierung des Netzwerks mithilfe von VLANs oder ähnlichen Technologien, um Daten und Systeme zu isolieren und laterale Bewegungen im Falle eines Einbruchs zu verhindern.
- Die Einrichtung eines Security Information and Event Management (SIEM)-Systems, um kontinuierlich Sicherheitsereignisse zu überwachen und zu analysieren.
- Die Umsetzung eines Ansatzes der minimalen Rechte, der sicherstellt, dass Benutzer und Systeme nur das nötigste Mass an Zugriff haben, das zur Ausführung ihrer Funktionen erforderlich ist.
