Ransomware
Risiko durch Ransomware-Angriffe auf Supply Chain
Ransomware ist zu einer massiven Bedrohung geworden, die mittlerweile auch die Supply Chain von Unternehmen in einer Kettenreaktion beschädigen kann. Ein solides Verständnis des Risikos sowie Best Practices sind die Basis für mehr Sicherheit.
Ransomware stellt seit Jahren eine erhebliche Bedrohung für die Cybersicherheit dar. Sie wurde erstmals zwischen 2005 und 2006 in Russland beobachtet und verbreitete sich später als beliebtes Geschäftsmodell weltweit. 2012 stellte Trend Micro eine kontinuierliche Ausbreitung der Infektionen in Europa und Nordamerika fest. Eine Analyse zeigt, dass die Zahl der Infektionen im vergangenen Jahr um 105 % stieg, wobei Hunderte Millionen Angriffe entdeckt wurden. Diese Zunahme ist einerseits auf mehr Remote Working zurückzuführen und andererseits auf digitale Investitionen.
Zudem haben Ransomware-as-a-Service-Angebote eine neue Art von kriminellen Gruppen angezogen, und das wiederum ließ das Volumen und die Vielfalt der Bedrohungen steigen. Initial Access Broker (IABs) liefern häufig einen Einstiegspunkt, einen Phishing-Angriff oder eine RDP-Kompromittierung. Dann übernimmt der Partner, Affiliate genannt, das Angebot und nutzt verschiedene Tools, um Daten zu verschieben, zu exfiltrieren und seine Ransomware Payload abzulegen.
Große Unternehmen werden speziell in ausgeklügelten „Big Game Hunting“-Angriffen ausgesucht, während KMUs in größerer Zahl betroffen sind. Zweifache, dreifache und sogar vierfache Erpressung sind mittlerweile gängige Methoden, um Zahlungen zu erzwingen. Und einige der aggressivsten Gruppen wie Conti und REvil verdienen damit Milliarden.
Ransomware-Vorfälle
Allein während der letzten zwei Jahre, verursachte Ransomware Schäden in Höhe mehrerer Millionen Dollar.
Kaseya
Im Juli 2021 gab Kaseya bekannt, dass die eigenen Systeme infiltriert worden und etwa 1.500 Organisationen, die die Services des Unternehmens nutzen, betroffen sind. REvil bekannte sich zu dem Angriff und forderte einige Tausend bis fünf Millionen Dollar. Das Unternehmen weigerte sich zu zahlen, arbeitete mit dem FBI und der CISA zusammen und erhielt einen universellen Entschlüsselungs-Key.
Colonial Pipeline
Ebenfalls im Mai 2021 machte der Angriff auf die Colonial Pipeline weltweit Schlagzeilen. Der Angriff zwang die größte Kraftstoff-Pipeline in den USA, ihren Betrieb zu unterbrechen. DarkSide gelang es, über ein Virtual Private Netwrk (VPN)-Konto in das System des Unternehmens einzusteigen, über das die Mitarbeiter auf das Unternehmensnetzwerk zugriffen. DarkSide sperrte nicht nur die Computersysteme, sondern stahl auch über 100 GB an Unternehmensdaten.
Nvidia
Im Februar 2022 wurde das weltweit größte Halbleiterunternehmen durch einen Ransomware-Angriff infiltriert. Die Gruppe LAPSUS$ behauptete, sie habe ein TB an Daten erbeutet, darunter Dateien über Nvidia-Hardware und -Software. Die Hacker forderten vom Unternehmen ein Lösegeld in Kryptowährung, um die Daten geheim zu halten. Nvidia reagierte schnell, indem das Unternehmen seine Sicherheitsvorkehrungen verschärfte und mit Experten für Incident Response zusammenarbeitete, um die Situation einzudämmen.
Ein weiterer Ransomware-Vorfall betraf auch das Unternehmen Benttag.
Risiken für die Supply Chain
Ransomware ist inzwischen bei 25 % der Datensicherheitsverletzungen im Spiel, ein Anstieg von 13 % im Vergleich zum Vorjahr. Das Aufkommen an Meldungen an das FBI, die nur die Spitze des Eisbergs darstellen, ist von 2017 bis 2021 um 109 % gestiegen. Und da kriminelle Gruppen immer auf der Suche nach einem lukrativen Geschäft sind, bieten sich Supply Chains als attraktives Ziel an. Sie können entweder als schlecht verteidigter Zugangsvektor fungieren und/oder die Möglichkeit bieten, die Gewinne zu vervielfachen, indem viele Unternehmen über einen einzigen Lieferanten infiziert werden.
Zudem ist die Angriffsfläche in Unternehmen zunehmend verteilt - über eine umfangreiche Supply Chain hinweg, die Cloud- und Software-Anbieter, professionelle Service-Firmen und andere vernetzte Einheiten umfasst. Jedes dieser Unternehmen hat möglicherweise privilegierten Netzwerkzugang oder speichert sensible Informationen, die Kundenunternehmen gehören. Jedes einzelne Unternehmen stellt daher ein potenzielles Sicherheitsrisiko dar, das es zu beherrschen gilt. Doch allzu oft sind die Lieferketten schwammig und schlecht definiert, und die Kontrollen werden, wenn überhaupt, nur reaktiv und willkürlich durchgeführt.
Aktuelle Situation in Unternehmen
Um mehr zu erfahren, beauftragte Trend Micro Sapio Research mit der Befragung von 2958 IT-Entscheidungsträgern in 26 Ländern: Großbritannien, Belgien, Tschechische Republik, Niederlande, Spanien, Schweden, Norwegen, Finnland, Dänemark, Frankreich, Deutschland, Schweiz, Österreich, USA, Italien, Kanada, Taiwan, Japan, Australien, Indien, Polen, Hongkong, Mexiko, Kolumbien, Chile, Brasilien.
Um die Sicherheit in der Supply Chain zu verbessern, ist es wichtig, das Risiko durch Ransomware transparent zu machen. Allerdings teilen nur 47 % der befragten Unternehmen ihr Wissen über Ransomware-Angriffe mit ihren Zulieferern. 25 % geben außerdem an, potenziell nützliche Informationen über Bedrohungen nicht mit ihren Partnern zu teilen. Darüber hinaus waren die Erkennungsraten für Ransomware-Aktivitäten ebenfalls alarmierend niedrig:
Die Verringerung von Ransomware-Risiken sollte innerhalb des Unternehmens beginnen, was dazu beitragen würde zu verhindern, dass Lieferanten über Verstöße kontaktiert werden, um ihr Partnerunternehmen zur Zahlung zu zwingen.
Eine sicherere Supply Chain
Es gibt keine Einheitslösung, um das Ransomware-Risiko in der Supply Chain zu minimieren. Best Practices können jedoch dazu beitragen, eine bessere und sicherere Supply Chain zu schaffen. Der Schlüssel dazu ist ein umfassendes Verständnis der Supply Chain selbst und des entsprechenden Datenflusses sowie die Identifizierung von hochriskante Lieferanten.
Regelmäßige Audits (soweit möglich) sollten auch anhand der grundlegenden Industriestandards durchgeführt werden. Und ähnliche Prüfungen müssen durchgeführt werden, bevor neue Lieferanten aufgenommen werden. Abgesehen von Best Practices sollten sowohl der Lieferant als auch der Kunde idealerweise diese Schritte zur Risikominderung befolgen:
- Umsetzung einer Richtlinie über die geringstmöglichen Privilegien für alle Geräte und Services
- Verwendung von Mehrfaktor-Authentifizierung zum Schutz sensibler Informationen
- Scannen von Open-Source-Komponenten auf Schwachstellen/Malware vor der Verwendung und Einbindung in CI/CD-Pipelines
- Einsatz von XDR, um Bedrohungen zu erkennen und zu beseitigen, bevor sie sich auswirken können
- Betrieb eines umfassenden, mehrschichtigen Schutzes für Mail, Server, Cloud, Netzwerk und Endpunkt
- Kontinuierliches risikobasiertes Patching und Schwachstellenmanagement
- Kontinuierliche Schulungsprogramme für Benutzer durchführen
- Regelmäßige Backups gemäß der 3-2-1-Regel
- Einsatz von Tools zur Verwaltung von Angriffsflächen
- Regelmäßige Durchführung von Penetrations- und Schwachstellentests
- Regelmäßiges Testen von Incident Response Plänen
- Verschlüsselung der Daten At Rest und während der Übertragung
Trend Micro kann diesen kritischen Sicherheitsaufgaben unterstützen, denn wir bieten Tools zur Verwaltung von Angriffsflächen und einen umfassenden Schutz, sowie Detection-and-Response in einer einzigen Plattform, Trend Micro One.