Security Operations

FBI lässt DarkSide leer ausgehen – aber das Ransomware-Problem bleibt

Obwohl es wichtig ist, den jüngsten Erfolg des FBI beim Abfangen eines erheblichen Teils des Lösegelds, das Colonial Pipeline an die Betreiber hinter DarkSide gezahlt hat, zu würdigen, schließt diese erfolgreiche Aktion leider nicht automatisch auch die bestehenden Netzwerklücken. Die Tatsache, dass der Angriff erfolgreich war, bleibt wahrscheinlich das kritischste Problem, das es zu lösen gilt.

In Bezug auf die Lösegeldzahlung ist Bitcoin für Angreifer immer noch zu einfach und bequem. Unternehmen sollten nicht davon ausgehen, dass das, was mit DarkSide passiert ist, die Täter davon abhält, Lösegeld in Kryptowährung zu fordern. Und selbst wenn Bitcoin für anonyme Zahlungen unhaltbar werden sollte, würden sich Cyberkriminelle einfach an neue Zahlungsmethoden anpassen. Dem Fluss der Kryptowährung zu folgen ist eine legitime Taktik und kann einen Einblick in das Verhalten der Täter geben. Aber es gibt einfach zu viele Möglichkeiten, Ransomware-Zahlungen und andere kriminelle Kryptowährungstransaktionen zu verschleiern, um auf diese Weise einen grundlegenden Schlag gegen die Hackertruppen zu schaffen.

Fakt ist, dass es zurzeit leider keine kurze und einfache Antwort zur Lösung des aktuellen, massiven Ransomware-Problems gibt. Unterm Strich müssen wir den finanziellen Anreiz für Cyberkriminelle beseitigen und gleichzeitig Ansporn für Unternehmen schaffen, ihre Sicherheit zu erhöhen und die Zahlung von Lösegeld einzustellen. Wir können das Problem nicht einfach per Gesetz oder ausschließlich mit Technologie erschlagen. Es muss einen ethischen, gut durchdachten Rahmen dafür geben, wie Gesetzgebung und Technologie zusammenarbeiten können, um dieses Dilemma zu beenden.

Angreifer setzen dort an, wo es am meisten wehtut, um die Wahrscheinlichkeit einer hohen Lösegeldzahlung zu erhöhen. Allerdings sind viele Ransomware-Angriffe dabei nicht von Anfang an gezielt, wie z.B. beim Colonial-Pipeline-Angriff, sondern opportunistisch. Sobald die Cyberkriminellen in ihren weitgefächerten Angriffswellen erkennen, dass sie ein potenziell lukratives Opfer am Haken haben, gehen sie „all-in“ und starten einen gezielten Angriff.

Aus Sicht der Verteidigung geht es in der frühen, opportunistischen Phase also vor allem darum, grundsätzlich wenig Angriffsfläche zu bieten. Das heißt, wir müssen Basisregeln konsequent umsetzen – jeden Patch für Software und Hardware einspielen, die Verwendung von RDP wo immer möglich deaktivieren oder einzuschränken, Multifaktor-Authentifizierung einführen, Daten verschlüsseln und Backups offline speichern. Diese Barrieren sind nicht kugelsicher, aber sie halten Cyberkriminelle mit großer Wahrscheinlichkeit davon ab, ein Unternehmen als leichtes Ziel auszumachen und in der Folge eine Ransomwareattacke oder anderen gezielten Angriff zu starten. Der zweite wichtige Punkt in einer erfolgreiche Abwehrstrategie ist die Kombination von Technologie mit menschlichem Fachwissen, um Sicherheitsvorfälle, die sich wie die berühmte Nadel im Heuhaufen im Netzwerk verstecken, zu finden. Nur wenn potenzielle Probleme rechtzeitig erkannt werden, können IT-Teams Bedrohungen schnell neutralisieren, und zwar bevor Ransomware als ‚Schlussakt‘ zum Einsatz kommt.