Blog

5 gefährliche Ransomware-Angriffe

Geschrieben von ForeNova | Februar 17, 2023

In den letzten Jahren entwickelten sich Ransomware-Angriffe zu einer der größten Bedrohungen für die Sicherheit von Unternehmen und von Privatpersonen. Vom Wannacry-Angriff im Jahr 2017 bis zum NotPetya-Angriff im Jahr 2018 verursachten bösartige Cyberangriffe Schäden und Störungen in Milliardenhöhe. Wegen des drastischen Anstieges der Ransomware-Angriffe, sollte man wissen, wie man sich und seine Daten vor diesen Bedrohungen schützt.

Ransomware tritt im digitalen Zeitalter immer häufiger auf. Gerade die Flut an Angriffen verdeutlicht, wie ernst die Bedrohung ist. Von Gesundheitsdienstleistern bis hin zu Regierungsbehörden ist niemand gegen die Bedrohung durch Ransomware gefeit und die letzten fünf großen Ransomware-Angriffe veranschaulichen die Gefahr, die hinter den Angriffen steckt. In diesem Artikel stellen wir Ihnen diese fünf Angriffe vor und Sie erfahren, wie sie sich vor ähnlichen Bedrohungen schützen können.

1. NVIDIA

Die Angreifer (LAPSUS) verschafften sich durch schwache und leicht zu erratende Passwörtern, Zugang zu großen Mengen geschützter Daten und Anmeldeinformationen von Mitarbeitern. Nachdem die Angreifer die Daten von Nvidia verschlüsselten, änderte LAPSUS seine Strategie von herkömmlichen Ransomware-Angriffen auf Cyber-Erpressung. Die Angreifer drohten, sensible Informationen zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Das Unternehmen reagierte auf den Angriff, indem sie ihre Sicherheitsprotokolle verstärkten, u. a. durch die Einführung einer Multi-Faktor-Authentifizierung, strengere Passwörter und eine stärkere Datenverschlüsselung. Außerdem arbeiten sie mit den Strafverfolgungsbehörden zusammen, um die sichere Wiederherstellung ihrer Daten zu gewährleisten und die Angreifer strafrechtlich zu verfolgen.

 

2. Die Regierung von Costa Rica

Die Conti Ransomware-Gruppe wurde im Jahr 2020 durch die Angriffe auf den öffentlichen und den privaten Sektor schnell bekannt. Bei ihrem letzten Angriff, am 11. April 2022, verschaffte sich Conti durch kompromittierte Anmeldedaten, die sie durch Malware erlangten, Zugang zum Netzwerk der Regierung von Costa Rica. Advanced Intelligence (AdvIntel) berichtete, dass die Hacker am 15. April nach einer Aufklärungsaktion 672 GB an Daten exfiltrierten.

Das Eintrittstor war ein System, das ein Teil des Finanzministeriums war. Dadurch konnten sie über eine VPN-Verbindung auf die kompromittierten Anmeldedaten zugreifen. Der Angriff verlief nach einem typischen Muster: Es wurden mehr als 10 Cobalt Strike Beacon-Sitzungen eingerichtet, und der Angreifer verschaffte sich Zugang zum lokalen Netzwerk-Domänenadministrator. Der Eindringling verwendete verschiedene Tools, um Domänen-Vertrauensbeziehungen aufzulisten, das Netzwerk nach Dateifreigaben zu durchsuchen und die Ausgabe der Dateifreigaben über den Cobalt Strike-Backdoor-Kanal auf einen lokalen Computer herunterzuladen.

3. Toyota

Der Denso Konzern, ein globaler Automobil-Zulieferer und eine Tochtergesellschaft von Toyota, wurde am 10. März 2022 Opfer eines Ransomware-Angriffs. Das Unternehmen teilte mit, dass der Angriff Denso Automotive Deutschland, eine Tochtergesellschaft in Deutschland, betraf. Sie ist für die Entwicklung und den Vertrieb zuständig. Denso reagierte umgehend, indem es die Netzwerkverbindungen der betroffenen Geräte kappte. Dadurch wollten sie sicherstellen, dass der Angriff die Aktivitäten des Unternehmens nicht unterbrechen würde.  Die Ransomware-Gruppe Pandora erklärte sich anschließend für den Angriff verantwortlich und drohte, Geschäftsgeheimnisse und Transaktionsdaten des Unternehmens zu veröffentlichen. Zuvor wurden ähnliche Angriffe auf die japanischen Automobilzulieferer, Bridgestone und Kojima Industries, bekannt. Diese Angriffe verdeutlichen die Verwundbarkeit von Lieferketten der deutschen als auch der japanischen Automobilindustrie.

4. Cisco

Cisco wurde am 24. Mai 2022 Opfer eines Cyberangriffs. Angreifer verschafften sich Zugriff auf das persönliche Google-Konto eines Mitarbeiters und synchronisierten die Passwörter. Laut Cisco Talos, der Cybersecurity-Tochtergesellschaft von Cisco, nutzten die Angreifer Voice-Phishing und eine Multi-Faktor-Authentifizierungsmüdigkeit. Dadurch brachten die Angreifer Mitarbeiter von Cisco dazu, ihnen Zugang zum VPN-Client des Unternehmens zu gewähren und erlangten dadurch administrative Rechte. Die Angreifer wurden mit der Yanluowang-Ransomware-Gang, der LAPSUS$-Bedrohungsgruppe und der UNC2447-Cybercrime-Gang in Verbindung gebracht. Sie setzten verschiedene Tools ein, um ihren Zugang zu den Systemen innerhalb des Netzwerks zu verbessern. Jedoch blockierte Cisco nach eigener Aussage die Versuche der Angreifer, auf das Netzwerk zuzugreifen.  Cisco erklärte außerdem, dass der Angriff keine Auswirkungen auf den Geschäftsbetrieb oder sensible Kundendaten hatte. Das Unternehmen untersucht den Angriff weiter und erklärte, ähnliche Vorfälle durch geeignete Maßnahmen in Zukunft zu verhindern.

5. SpiceJet, eine indische Fluggesellschaft

Die indische Billigfluggesellschaft SpiceJet musste nach einem versuchten Ransomware-Angriff ihren Betrieb einstellen. Der Angriff führte zu erheblichen Verzögerungen und beeinträchtigte den Kundenservice und die Buchungssysteme des Unternehmens. Trotz der Behauptung der Fluggesellschaft, die Situation sei bereinigt worden, beschwerten sich die Passagiere über lange Wartezeiten. Sie mussten beispielsweise bis zu vier Stunden in Flugzeugen ohne Essen oder Erfrischungen verbringen. SpiceJet warnte seine Kunden nicht vor den möglichen Störungen und musste sich daher der Kritik von Passagieren und Regierungsvertretern stellen. Der Angriff führte zu erheblichen finanziellen Verlusten. SpiceJet ist leider nur eine von vielen Fluggesellschaften, die in den letzten Jahren mit Bedrohungen dieser Art konfrontiert waren.

Die Gefahren von Ransomware

  • Finanzielle Verluste: Ransomware-Angriffe können finanziell verheerend sein, denn die durchschnittliche Lösegeldforderung lag im Jahr 2021 bei über 250.000 Dollar. In vielen Fällen mussten die Opfer das Lösegeld zahlen, um wieder Zugriff auf ihre verschlüsselten Dateien zu erhalten.  Es gibt jedoch keine Garantie, dass die Angreifer den Entschlüsselungsschlüssel zur Verfügung stellen, selbst wenn das Lösegeld bezahlt wird.

  • Weitergabe sensibler Informationen: Durch Ransomware-Angriffe können sensible Daten, wie vertrauliche Geschäftsinformationen, persönliche Finanzdaten oder/und andere sensible Daten veröffentlicht oder weitergegeben werden. In einigen Fällen, veröffentlichen die Angreifer sogar die gestohlenen Daten online, wenn das Lösegeld nicht gezahlt wird.

  • Ausfall des Geschäftsbetriebs: Ransomware-Angriffe können zu erheblichen Unterbrechungen des Geschäftsbetriebs führen. Einige Unternehmen müssen ihren Betrieb für Tage oder sogar Wochen einstellen, während sie versuchen, sich von dem Angriff zu erholen.

  • Rufschädigung: Ransomware-Angriffe können die Reputation des Unternehmens bei den Kunden, Klienten und Partnern nachhaltig schädigen. Sie verlieren in einigen Fällen ihr Vertrauen in die Fähigkeit des Unternehmens sensible und geschäftskritische Informationen zu schützen.

Was haben sie alle gemeinsam?

Die häufigste Schwachstelle, die bei einem Ransomware-Angriff ausgenutzt wird, ist menschliches Versagen. Dazu gehören Fehler, wie das Öffnen von E-Mail-Anhängen aus unbekannten Quellen, der Besuch bösartiger Websites oder veraltete Software. Social-Engineering-Angriffe, wie Phishing E-Mails, sind ebenfalls eine gängige Taktik von Ransomware-Angreifern, damit Opfer die Malware downloaden.

Um Risiko eines Ransomware-Angriffs zu mindern, müssen die Mitarbeiter sowohl über die Gefahren von Schadsoftware als auch über die sichere Nutzung des Internets aufgeklärt werden. Unternehmen sollten zudem zuverlässige Sicherheitsmaßnahmen implementieren. Diese Maßnahmen sollten Firewalls, Antiviren-Software und regelmäßiger Backups wichtiger Daten umfassen.

Um Ransomware-Angriffe erfolgreich zu verhindern, sollten Unternehmen im Bezug auf ihre Cybersicherheit wachsam zu sein und proaktiv handeln. Das bedeutet, dass Sie Ihre Software und Betriebssysteme regelmäßig aktualisieren, sichere Passwörter und eine Zwei-Faktor-Authentifizierung verwenden und Ihre Daten regelmäßig sichern müssen. Darüber hinaus ist es wichtig, potenzielle Bedrohungen einschätzen zu können und nur E-Mails und Anhänge aus vertrauenswürdigen Quellen zu öffnen.  Schließlich ist es wichtig, eine wirksame Sicherheitsstrategie einzuführen, die eine Schulung der User über bewährte Verfahren und Investitionen in zuverlässige, aktuelle Sicherheitslösungen umfasst.

Fazit

Alle Ransomware Opfer haben eine Gemeinsamkeit: Sie haben es versäumt, die notwendigen Maßnahmen zum Schutz ihrer Daten zu ergreifen. Ob es nun daran lag, dass sie nicht die richtige Sicherheitssoftware installiert hatten, ihre Systeme nicht gepatcht oder ihre Daten nicht gesichert hatten - die Opfer von Ransomware wurden alle unvorbereitet getroffen und zahlen nun den hohen Preis dafür. Der beste Weg, um sich vor Ransomware zu schützen, besteht darin, proaktiv zu handeln und die notwendigen Schritte zu unternehmen, um die Sicherheit Ihrer Daten zu gewährleisten. Dazu gehört, dass Sie Ihre Software regelmäßig aktualisieren und Backups Ihrer Daten erstellen. Zudem sollten Sie in eine gute Sicherheitslösung zum Schutz Ihrer Daten einsetzen.

Eine der effektivsten Möglichkeiten, Ransomware-Angriffe zu verhindern, ist der Einsatz von Tools wie NovaMDR. Der Sicherheitsdienst, unterstützt Unternehmen dabei, Sicherheitsabläufe zu verbessern, indem die neueste Technologie mit menschlichem Fachwissen kombiniert wird.  Der Dienst bietet eine genaue Erkennung und Analyse von Bedrohungen und wir unterstützen bei der Reaktion auf Sicherheitsvorfälle und bei der Verhinderung.  Dadurch wir die Effizienz ihrer Cybersecurity gesteigert, die Transparenz ihres Netzwerkes erhöht und ihr Sicherheitsteam unterstützt.

NovaMDR schützt Sie zu jeder Zeit (24/7). Dadurch können Sie ihre Mitarbeiterfluktuation reduzieren, die Unternehmenssicherheit wird verbessert und ihr IT-Team kann sich auf andere wichtige Aufgaben konzentrieren. Der Dienst verbessert zudem kontinuierlich die Sicherheitslage durch unsere Sicherheitsexperten. Außerdem können Sie automatisch Bedrohungen erkennen und analysieren sowie kontinuierlich ihr Netzwerk überwachen und auf Bedrohungen reagieren.