Ransomware
Lösegeldzahlungen aus datenwissenschaftlicher Sicht
Die Analyse verschiedener Datenquellen, einschließlich der Finanztransaktionen von Ransomware-Gruppen, kann Cybersicherheitsexperten Einblicke in die Arbeitsweise der Akteure geben und die Erkenntnisse können die Verteidigungsstrategie unterstützen.
Save to Folio
Das Aufkommen von Kryptowährung war ein wichtiger Schritt in der Entwicklung der Ransomware, denn die Kriminellen waren damit in ihren Erpressungen nicht mehr an lokale oder regionale Zahlungsoptionen gebunden.
Die Betriebskosten und Monetarisierungsmodelle einer Ransomware-Gruppe können Aufschluss über ihre Persistenzmethoden, die verfügbaren Taktiken, Techniken und Verfahren (TTPs) und die Qualifikationen ihrer Mitglieder geben - alles wertvolle Erkenntnisse für Verteidiger, wenn sie eine Abwehrstrategie entwickeln wollen, um gegen immer raffiniertere Ransomware-Angriffe bestehen zu können. Wir haben bereits untersucht, wie die Analyse von CVE-Daten mithilfe von datenwissenschaftlichen Ansätzen die Patching-Prioritäten von Cybersecurity-Teams unterstützen kann - eine von vielen Datenquellen, auf die Unternehmen zurückgreifen können, um die innere Funktionsweise des Ransomware-Ökosystems zu verstehen. In unserer gemeinsamen Forschungsarbeit mit Waratah Analytics, „What Decision-Makers Need to Know About Ransomware Risk“ haben wir untersucht, wie datenwissenschaftliche Techniken bei der Analyse der Lösegeldtransaktionen von Ransomware-Gruppen unterstützen können.
Profile potenzieller Opfer bestimmen Lösegeldhöhe
Verschiedene Faktoren spielen eine Rolle bei der Bestimmung der Höhe des ursprünglichen Lösegelds, und später, im Laufe der Verhandlungen mit ihnen, bei der Höhe des Mindestbetrags, auf den sich die böswilligen Akteure einzulassen bereit sind. Die Einnahmen des Opfers gehören zu den wichtigsten Erwägungen der Angreifer. Anhand der geleakten internen Chat-Protokolle von Conti stellten wir fest, dass die Gruppe, die über ein eigenes Open-Source-Intelligence-Team (OSINT) verfügte, das Informationen über ihre potenziellen Opfer sammelte, Profile von Unternehmen erstellte und deren Finanzlage anhand von öffentlich zugänglichen Geschäftsinformationen im Visier hatte.
Der Inhalt der bei einem Ransomware-Angriff gestohlenen Daten - einschließlich sensibler Finanzinformationen wie etwa aktuelle Geldtransaktionen, Kontoauszüge und Steuerberichte - kann ebenfalls in den Verhandlungsprozess einfließen: Wenn das Opfer angibt, nicht zahlen zu können, obwohl die Ransomware-Akteure über Vertragszahlungen oder verfügbare Geldmittel auf dessen Systemen Bescheid wissen, kontern die Angreifer möglicherweise, indem sie den Lösegeldbetrag in die Höhe treiben oder die Daten des Opfers veröffentlichen.
Geschäftsmodell bestimmt die Höhe der operativen Kosten
Ransomware-Gruppen müssen die Kosten für ihre Operationen decken, wenn sie Gewinn machen und ihr Geschäftsmodell erfolgreich sein sollen. Einige Gruppen verlangen von allen ihren Opfern einen festen Betrag, während andere das Lösegeld auf der Grundlage eines detaillierten Profils des Opfers festlegen. Wenn die Sicherheitsteams wissen, wie die Angreifer vorgehen und wie hoch das Lösegeld ist, können sie gezielte von nicht gezielten Ransomware-Kampagnen unterscheiden. Es ist wichtig, den Unterschied zu kennen, da die Verhinderung dieser Angriffe spezifische Verteidigungsstrategien erfordert.
Die Betriebskosten variieren je nach Gruppe und hängen weitgehend vom Geschäftsmodell der Angreifer ab. Wenn die Höhe des Lösegelds für Ransomware-Akteure verhandelbar ist, können die Kosten, die ihnen bei einem auf ein bestimmtes Opfer ausgerichteten Angriff entstehen, als untere Grenze für die Festlegung des Lösegelds herangezogen werden.
Bei Gruppen, deren Geschäftsmodell die Anpassung der Lösegeldhöhe an das Opfer vorsieht, beobachteten wir erhebliche Unterschiede in der Höhe der Lösegeldzahlungen, wie beispielsweise bei der Ransomware-as-a-Service (RaaS) Cerber. Bei Ransomware wie DeadBolt, die sich auf volumenbasierte Angriffe konzentriert, sind die Unterschiede dagegen gering. Gruppen wie Cerber berechnen die Höhe des anfänglichen Lösegelds und den Schwellenwert des ausgehandelten Betrags auf der Grundlage des individuellen Ziels, da die Kosten für die Organisation und Durchführung eines Angriffs auf ein Opfer zusätzliches Personal und zusätzliche Infrastruktur erfordern können.
Die Analyse verschiedener Datenquellen, einschließlich der Finanztransaktionen von Ransomware-Gruppen, kann Cybersicherheitsexperten Einblicke in die Arbeitsweise dieser Akteure mit unterschiedlichen Geschäftsmodellen geben. Unsere Ergebnisse deuten darauf hin, dass Ransomware-Gruppen, deren Monetarisierungsstrategie die Durchführung gezielter Angriffe beinhaltet, über ähnliche Fähigkeiten, Ansätze und Angriffsmöglichkeiten verfügen, wie sie bei APT-Gruppen (Advanced Persistent Threats) zu beobachten sind. Cybersecurity-Teams benötigen für die Bekämpfung dieser Art von Ransomware-Gruppen vergleichbare Ressourcen wie für die Verteidigung ihrer Organisationen gegen staatlich gesponserte Akteure oder einen Penetrationstest mit unbegrenzter Bandbreite.
Zahlungsbereite Opfer zahlen schnell
Eine der im Rahmen der Untersuchung vorgestellte Fallstudie untersucht die DeadBolt Ransomware. Es zeigt sich, dass die Hälfte der Opfer dieser Erpressersoftware, die bereit waren zu zahlen, innerhalb von zwanzig Tagen auf die Forderungen einging, 75 % sogar innerhalb von vierzig Tagen. Die Wiederherstellungszeit ist ein wichtiger Entscheidungsgrund für Ransomware-Opfer auf Unternehmensebene. Wenn die kritischen Systeme von einem Angriff betroffen sind - vor allem, wenn der Umsatz von diesen Systemen abhängt -, ist es wahrscheinlich, dass das Lösegeld schnell bezahlt wird.
Bei der Untersuchung der Schnelligkeit, mit der Lösegeld in Ransomware-Fällen gezahlt wird, fanden wir heraus, dass die Datenverschlüsselung bei Cyberangriffen nicht lange vor der Erkennung dieser finanziellen Transaktionen in der Blockchain stattfindet. Deshalb kann diese Art von Daten für Verteidiger nützlich sein, wenn sie Lösegeldzahlungen mit binären Samples von Ransomware oder Datenlecks korrelieren.
Fazit
Unternehmen benötigen eine umfassende Verteidigungsstrategie, wenn sie den Trends und Entwicklungen in der Ransomware-Landschaft voraus sein wollen. Um auf der Hut zu sein, wird außerdem empfohlen, die folgenden Best Practices für die Sicherheit umzusetzen:
- Setzen Sie auf Multifaktor-Authentifizierung (MFA), um Angreifer daran zu hindern, sich lateral innerhalb eines Netzes zu bewegen.
- Folgen Sie der 3-2-1 Regel beim Backup von wichtigen Dateien, d.h. erstellen Sie drei Kopien in zwei unterschiedlichen Dateiformaten und halten sie eine der Kopien an einem separaten Ort vor.
- Regelmäßiges Patchen und Updaten von Systemen hilft, böswillige Akteure davon abzuhalten, Schwachstellen in Betriebssystemen und Anwendungen auszunutzen
Unternehmen können auch vom Einsatz mehrschichtiger Erkennungs- und Reaktionslösungen profitieren, wie z. B. Trend Micro Vision One™. Das Schutzsystem bietet XDR-Funktionen, die Daten über mehrere Sicherheitsebenen - Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke - sammeln und automatisch korrelieren, um Angriffe durch automatisierten Schutz zu verhindern und gleichzeitig sicherzustellen, dass keine wichtigen Vorfälle unbemerkt bleiben. Trend Micro Apex One™ unterstützt darüber hinaus mit automatisierter Bedrohungserkennung und -reaktion der nächsten Stufe, um Endpunkte vor fortgeschrittenen Problemen wie von Menschen gesteuerter Ransomware zu schützen.
Den vollständigen Bericht darüber, wie datenwissenschaftliche Ansätze Cybersecurity-Fachleuten und Branchenführern helfen können, das Risiko von Ransomware-Angriffen auf ihr Unternehmen einzuschätzen, finden Sie in unserem Forschungspapier „What Decision-Makers Need to Know About Ransomware Risk“.
Zusammenarbeit mit Erin Burns, Eireann Leverett of Waratah Analytics