Doppelerpressung durch Ransomware ist auf dem Vormarsch
Cyber-Kriminelle müssen nicht mehr mühsam Hunderte von Codezeilen durchgehen, um einen Weg in Ihr Netzwerk zu finden. Die Angreifer von heute verschaffen sich nicht mehr gewaltsam Zugang – sie melden sich einfach an.
Derzeit sind mehr als 24 Milliarden Benutzernamen mit den dazugehörigen Passwörtern auf kriminellen Marktplätzen zu finden. Mit diesen legitimen Anmeldedaten können sich Hacker problemlos anmelden, um sich im Netzwerk auszubreiten und auf Datenspeicher zuzugreifen. Indem sie sich als autorisierte Benutzer ausgeben, verschaffen sich Cyber-Kriminelle mühelos Zugang zu Unternehmen jeder Größenordnung. Diese Art von Angriff wird oft gar nicht erkannt.
Sind die Angreifer erst einmal im System, setzen sie häufig Doppelerpressung ein. Diese Art von Ransomware-Angriff hat im letzten Jahr um 120 % zugenommen. Doppelerpressung ist eine zweistufige Angriffsform, bei der Hacker die Daten zunächst verschlüsseln und sie dann ausschleusen, um sich damit ein weiteres Druckmittel zu verschaffen.
In der Vergangenheit haben Hacker kritische Daten in der Regel verschlüsselt und gegen Bezahlung eines Lösegelds den erforderlichen Entschlüsselungsschlüssel freigegeben. Wenn das Unternehmen über aktuelle Daten-Backups verfügte, konnte das IT-Team die Daten einfach wiederherstellen. Bei den Doppelerpressungen von heute sieht die Lage allerdings anders aus: Wenn Angreifer die Daten aus Ihrem System ausgeschleust haben, zerstören sie sie und drohen dann an, die Daten zu verkaufen oder zu veröffentlichen. Die Wiederherstellung eines Backups reicht hier also nicht aus.
Wenn Sie verhindern möchten, dass Ihre Daten für Doppelerpressung missbraucht werden, müssen Sie zweigleisig fahren: Da alle Unternehmen davon ausgehen müssen, früher oder später angegriffen zu werden, müssen Sie vorbeugende Maßnahmen implementieren, um die Wahrscheinlichkeit zu reduzieren, dass ein Angriffsversuch Erfolg hat. Darüber hinaus benötigen Ihre für die Sicherheit und Daten-Governance verantwortlichen Teams eine Strategie zur Stärkung der Resilienz und für die Wiederherstellung.
Was ist Doppelerpressung durch Ransomware?
Dabei handelt es sich um eine besonders gefährliche Cyber-Bedrohung. Wie bei herkömmlichen Ransomware-Angriffen werden die Daten des angegriffenen Unternehmens verschlüsselt, aber die Doppelerpressung geht noch einen Schritt weiter: Die Angreifer verhindern nicht nur, dass das Opfer auf seine Daten zugreifen kann, sondern stehlen die Daten und setzen sie als Druckmittel ein, um die Wahrscheinlichkeit zu erhöhen, dass das geforderte Lösegeld bezahlt wird. Durch diesen zweigleisigen Ansatz stellt Doppelerpressung eine sehr ernste Gefahr in allen Sektoren dar. Unternehmen befürchten zum einen, den Zugang zu geschäftskritischen Daten zu verlieren, und müssen zum anderen mit der Offenlegung vertraulicher Daten rechnen.
Die Hälfte aller Organisationen hatte bereits Datenlecks aufgrund von Doppelerpressung und ähnlichen Bedrohungen zu verzeichnen.
Wie funktioniert Doppelerpressung durch Ransomware?
Doppelerpressung durch Ransomware verstärkt die Bedrohung auf zweifache Weise: Zunächst dringen die Cyber-Kriminellen in das Netzwerk des anvisierten Unternehmens ein. Dazu nutzen sie verschiedene Methoden wie Phishing-E-Mails oder das Knacken schwacher Passwörter.
Wenn sie sich Zugang zum Netzwerk verschafft haben, aktivieren sie allerdings nicht sofort Ransomware, um Dateien zu verschlüsseln. Vielmehr schleusen sie erst geschäftskritische Daten aus der Infrastruktur aus. Dabei kann es sich um sensible Daten wie Kunden- oder Finanzdaten, geistiges Eigentum oder andere wertvolle Informationen handeln.
Anschließend leiten die Cyber-Kriminellen die zweite Angriffsphase ein, indem sie die Dateien im System des Opfers mithilfe von Ransomware verschlüsseln. Das angegriffene Unternehmen kann dann nicht mehr auf seine Daten zugreifen.
Außerdem steht es gleich vor zwei Problemen: Es muss wieder Zugriff auf die verschlüsselten Dateien erlangen und verhindern, dass die gestohlenen Daten offengelegt, im Dark Web verkauft oder anderweitig missbraucht werden. Die Angreifer verlangen ein Lösegeld – meist in Form einer Kryptowährung. Sie versprechen, bei Zahlung des Lösegelds den Entschlüsselungsschlüssel bereitzustellen und die gestohlenen Daten nicht weiterzugeben.
Aus dieser Kombination aus Datenverschlüsselung und -diebstahl leitet sich die Bezeichnung Doppelerpressung ab – eine besonders gefährliche Art eines Cyber-Angriffs.
Die Folgen von Doppelerpressung für moderne Cloud-basierte Unternehmen
Die meisten Unternehmen produzieren heutzutage eine große Menge an wertvollen Daten, die über verschiedene Abteilungen, Standorte, Cloud-Regionen und SaaS-Anwendungen verteilt sind. Der Trend zur Datendemokratisierung veranlasst Unternehmen, Daten allen Mitarbeitenden, aber auch externen Anbietern und Vertragspartnern zugänglich zu machen, die sie benötigen.
Die Kombination aus Datendemokratisierung und den Cloud-basierten Geschäftsmodellen von heute erschwert es IT- und Sicherheitsteams, alle Daten im Netzwerk im Blick zu behalten. Entwickler und Datenwissenschaftler erstellen ständig neue Datenspeicher und verschieben, ändern oder duplizieren sensible Daten – oftmals ohne Wissen der IT-Teams. Benutzer können sensible Daten daher zwischen verschiedenen Datenspeichern hin und her schieben (und sind sich dessen mitunter gar nicht bewusst). Außerdem steigt die Zahl der Benutzer, die Zugriff auf diese Daten haben.
Aufgrund der dynamischen Natur der Cloud-Landschaft vergrößert sich die Angriffsfläche erheblich. Das macht es Angreifern leichter, Ransomware-Angriffe mit Doppelerpressung zu starten, Anmeldedaten von Benutzern zu missbrauchen, sich Zugang zu Cloud-Speichern zu verschaffen und die sensiblen, unbekannten oder „Schattendaten“ eines Unternehmens zu missbrauchen. Ein Datendiebstahl hat zahlreiche schwerwiegende Folgen für Unternehmen, von finanziellen Schäden über Reputationsverlust bis hin zu rechtlichen Konsequenzen.
Laut der Rubrik-Studie „Ransomware in Focus“ bereitet Ransomware (einschließlich Doppelerpressung) CISOs aus mehreren Gründen große Sorgen:
Offenlegung sensibler Daten
Die hohen, mit der Wiederherstellung nach einem Ransomware-Angriff verbundenen Kosten
Umsatzverluste aufgrund von Betriebsstörungen
Schädigung des Markenrufs
Da Ransomware erhebliche Auswirkungen auf das Geschäft zur Folge hat, wird sie von den meisten CISOs als größte Bedrohung für ihr Unternehmen betrachtet.
Mentalitätswandel – von Cyber-Prävention zu Cyber-Resilienz
Eine effektive Reaktion auf Doppelerpressung durch Ransomware erfordert ein Umdenken in Bezug auf die Cyber-Sicherheit.
Traditionelle Cyber-Sicherheitsansätze stellen die Prävention in den Vordergrund und konzentrieren sich auf das Patchen von Sicherheitslücken, das Beheben von Fehlkonfigurationen und Anomalien sowie darauf, nicht autorisierte Benutzer aus dem Netzwerk fernzuhalten. Allerdings nutzen moderne Angreifer in der Regel kleinere Fehler aus, die in einer sich ständig verändernden Cloud-Umgebung leicht übersehen werden.
So fällt beispielsweise ein Mitarbeiter, der Zugriff auf sensible Daten hat, vielleicht auf eine Phishing-E-Mail herein und gibt so versehentlich seine Anmeldedaten preis. Oder ein Entwickler hat, um schnell ein bestimmtes Problem zu lösen, vertrauliche Daten in einen öffentlichen S3-Bucket kopiert und vergessen, sie anschließend wieder zu löschen.
Der Versuch, Angreifer am Eindringen in Ihre Infrastruktur zu hindern, reicht einfach nicht aus. Moderne Unternehmen müssen davon ausgehen, dass es irgendwann zu einem Sicherheitsvorfall kommt, und sich entsprechend vorbereiten. Sie müssen einen Aktionsplan erstellen, um ihre Daten vor Eindringlingen zu schützen und den Betrieb nach einem Angriff schnellstmöglich wiederaufnehmen zu können.
„Wir müssen das Thema anders angehen und uns eingestehen, dass Prävention zwar wichtig ist, aber wenn wir uns nur darauf verlassen, dann ist das einfach mangelnde Planung. Wir benötigen eine Strategie zur Cyber-Abwehr, die davon ausgeht, dass ein Angriff unvermeidlich it.“ – Bipul Sinha, CEO von Rubrik
Ein mehrdimensionaler Ansatz für die Cyber-Resilienz
Die Stärkung der Cyber-Resilienz gegen Doppelerpressung erfordert ein vielschichtiges Vorgehen: Um die Löschung von Daten zu verhindern, benötigen Sie zuverlässige Funktionen zur Absicherung dieser Daten. Werden sie doch gelöscht, müssen Sie dem mit Cyber-Wiederherstellungsfunktionen entgegenwirken können, und um Datendiebstahl vorzubeugen, ist eine DSPM-Lösung erforderlich.
Rubrik Security Cloud ermöglicht die Absicherung und Wiederherstellung von Daten mithilfe von per Air Gap geschützten, unveränderlichen Daten- und Anwendungs-Backups, deren Zugriff strengen Kontrollen unterliegt, und stellt Wiederherstellungs-Workflows für den Fall einer Sicherheitsverletzung bereit. Darüber hinaus bietet das Rubrik-Unternehmen Laminar Security eine DSPM-Lösung, die die Durchsetzung von Best Practices in Bezug auf Datensicherheit, die Erkennung von Gefahren für Daten und die Datenbeobachtbarkeit unterstützt. Die Laminar-Plattform bietet unter anderem folgende Funktionen:
Eliminierung redundanter Daten: Laminar hilft Unternehmen, redundante Daten zu identifizieren und zu löschen. Durch diese Bereinigung wird das Risiko von Datenschutzverletzungen minimiert, indem sowohl Ihre Angriffsfläche als auch die Menge der sensiblen Daten reduziert wird, die Sie überwachen und schützen müssen.
Anwendung des Least-Privilege-Prinzips mit DAG (Data Access Governance): Die Laminar-Plattform setzt das Least-Privilege-Prinzip durch. Das ist ein wichtiger Schritt, um das Risiko zu mindern, das sich aus zu großzügigen Zugriffsrechten ergibt. DAG (Data Access Governance; Governance beim Datenzugriff) steuert den Zugriff der Benutzer und Geräte auf sensible Daten und erzwingt die Anwendung des Least-Privilege-Prinzips, um die Zugänglichkeit von Daten auf das Nötigste zu reduzieren und die Folgen eines Datenlecks zu minimieren. Dies bedeutet, dass Benutzer und Systeme nur die Zugriffsberechtigungen erhalten, die sie zum Ausführen ihrer Aufgaben benötigen – eine wichtige Maßnahme zur Steigerung des Datensicherheitsniveaus.
Schadensbegrenzung mit DDR: Die innovativen Funktionen für die Bedrohungserkennung der Laminar-Plattform helfen, potenzielle Bedrohungen für Daten, wie anomalen Datenzugriff und andere verdächtige Aktivitäten, zeitnah zu identifizieren. Funktionen für die Datenerkennung und die Reaktion auf Datensicherheitsverletzungen (Data Detection and Response; DDR) stellen sicher, dass Unternehmen in Echtzeit über mögliche Datenverletzungen informiert werden. So können sie Bedrohungen schnell eindämmen und negative Folgen minimieren.
Zusammen bieten Rubrik und Laminar Unternehmen die erforderliche Unterstützung, um auf Echtzeitangriffe zu reagieren und schnellstmöglich wieder zum Normalbetrieb zurückzukehren.
Sind Sie bereit, den nächsten Schritt in Richtung Cyber-Resilienz zu tun?
Erfahren Sie im Detail, wie DSPM einen proaktiven Ansatz zur Stärkung der Cyber-Resilienz fördert und Unternehmen den Schutz sensibler Daten ermöglicht.