Cisco warnt vor starkem Wachstum bei Ransomware

Vor allem Unternehmen leiden immer häufiger unter Angriffen über Ransomware. Jährlich sollen Kriminelle damit bis zu 34 Millionen Dollar generieren, so Cisco in dem jährlichen Bericht zur IT-Sicherheitslage.

Cisco legt den aktuellen Jahresbericht zur IT-Sicherheit vor. Ein wichtiger Trend bei Bedrohungslagen sind Schädlinge, die für die Freigabe von Daten Gelder erpressen. Die so genannte Ransomware zielt immer häufiger auf Unternehmen, da diese zahlungskräftiger sind, als Privatpersonen. Laut Schätzungen von Cisco sollen Kriminelle auf diese Weise im vergangenen Jahr mehr als 34 Millionen Dollar erbeutet haben. Die Erpresser fordern das Lösegeld meist in Form von Bitcoins, und sind damit kaum mehr aufzuspüren.

Ramsomware ist also inzwischen für Kriminelle ein probates Mittel, um schnell an Geld zu kommen. Unternehmen, wie etwa aus den Branchen Versicherung, Gesundheitswesen oder Energieversorgung sind nicht nur lohnende Ziele, sondern scheinen nach wie vor nicht mit den Mittel und den Entwicklungen der Kriminellen mithalten zu können.

Cisco erklärt, dass mehr als 9500 Personen oder Organisationen, im Schnitt 300 Dollar für die Freigabe ihrer Daten bezahlt haben und kommen so auf die Summe von 34 Millionen Dollar die im zurückliegenden Jahr mit Ransomware erpresst wurden. Tatsächlich könnte diese Zahl noch höher liegen.

Oracle ist als Hersteller von Java für viele Sicherheitslecks verantwortlich. Aber auch die Produkte anderer Anbieter wie Microosoft oder SAP weisen laut Cisco Sicherheitslecks auf. (Bild: Cisco)
Oracle ist als Hersteller von Java für viele Sicherheitslecks verantwortlich. Aber auch die Produkte anderer Anbieter wie Microosoft oder SAP weisen laut Cisco Sicherheitslecks auf. (Bild: Cisco)

Angreifer setzten dafür gefälschte Web-Seiten auf, die über das Angler-Exploit-Kit Schwachstellen im Browser des Opfers ausmachen und dann Malware wie Cryptowall oder Bedep aufspielen und damit den Rechner des Opfers unbrauchbar machen. Häufig werden dafür unter anderem auch ältere WordPress-Seiten gekapert, die von ihren Besitzern seit Jahren nicht mehr gepflegt werden.

In anderen Fällen nutzen Angreifer das Open-Source-Tool JexBoss, um Lecks in installierten JBoss Application Servern aufzudecken. Wenn sie dann darüber Zugriff auf das Netz bekommen, starten sie damit verschiedene Microsoft-Windows-Systeme mit der SamSam-Ransomware-Familie zu verschlüsseln.

Auf der Suche nach Schwachstellen mit dem JexBoss-Tool. (Bild: Github)
Auf der Suche nach Schwachstellen mit dem JexBoss-Tool. (Bild: Github)

Auch wenn die Unternehmen ihre Strategien und Tools, für den Kampf gegen Online-Kriminelle verbessert haben, gestatten sie den Angreifern noch immer zu viel Zeit, damit diese ungestört operieren können, warnt Cisco.

“Wo liegen die Schätzungen in der Branche, um einen Angriff zu entdecken? 100-200 Tage! Und das ist völlig unakzeptabel”, kritisiert John Stewart, von Cisco Security in einem Blog zu Midyear-Cybersecurity-Report. Wenn die Angreifer über Wochen oder Monate die Netze infiltrieren können, hätten sie einfach zu viel Zeit, um Schaden anzurichten.

In vielen Unternehmen würde auch die Übersicht fehlen und Sicherheitsadministratoren verlassen sich nach wie vor zu sehr auf Lösungen, die punktuell ansetzen, anstatt auf Herausforderungen als Ganzes zu blicken. Auch dieses Verhalten würde den Angreifern in die Hände spielen, so Cisco.

Etwa 7 Prozent der deutschen JBoss-Installationen sollen laut Cisco mit Malware Infiziert sein. (Bild: Cisco)
Etwa 7 Prozent der deutschen JBoss-Installationen sollen laut Cisco mit Malware Infiziert sein. (Bild: Cisco)

Gleichzeitig bleiben die Angreifer immer in Bewegung und würden sich neue Bereiche, neue Technolgoien und neue Regionen aussuchen, um ihrem Handwerk nachzugehen, warnt Stewart, der gleichzeitig von Regierungen mehr und stärkere Signale gegen Cyberkriminelle einfordert.

Der aktuelle Report bringt auch einen alten Bekannten mit: Etwa 80 Prozent aller erfolgreichen Angriffe mit dem Nuclear- Ransomware-Expliot-Kit basieren auf Adobes Flash. Daneben stellt der Red Hat Application-Server JBoss für viele Angreifer einen neuen Angriffsvektor dar. Auch hier sei ein starker Anstieg bei Ransomware-Angriffen zu beobachten.

Interessant auch, dass sich zwischen September 2015 und dem März 2016 der Web-Traffic von HTTPS mit bösartigen Inhalten verfünffacht haben soll. Laut Cisco sollen dafür vor allem bösartige Werbung und Adware verantwortlich sein. Immer häufiger würden Angreifer ihre Daten verschlüsselt übermitteln, um ihre Aktivitäten zu verbergen oder um mehr Zeit für Operationen zu gewinnen.

Verschlüsselter Malware-Traffic

Immer mehr Malware nutze auch Transport Layer Security (TLS), um Netzwerktraffic zu verschlüsseln. Diese Entwicklung sorge für Bedenken, denn auf diese Weise würden auch Deep-Packet-Inspection-Tools als Sicherheitswerkzeug geschwächt.

Eine Variante des Nuclear-Exploit-Kits setze sogar eine Variante von Tor ein, einer Software, die für die Anonymisierung im Web verwendet wird. Damit werde der Payload des Schädlings verschleiert und für Sicherheitsexperten wird es so schwieriger, die Malware dingfest zu machen.

Empfehlungen

Besonderes Augenmerk gelte es auch darauf zu lenken, dass Hacker mehr oder weniger Zeitgleich mit der Veröffentlichung eines Updates oder Patches, auch ein Exploit entwicklen. Nach wie vor aber sei es in vielen Unternehmen nicht üblich, Patches möglichst schnell aufzuspielen.

Um dieses Problem zu unterstreichen hat Cisco eigene Komponenten, die bei Anwendern im Einsatz untersucht. Das Ergebnis: knapp ein Viertel dieser Geräte wies Lecks auf, die bereits 2011 bekannt wurden. Immerhin noch 16 Prozent der Geräte litten unter Sicherheitslecks, die 2009 zum ersten Mal veröffentlicht wurden.

Aufbau von Malwartising as a Service (MaaS). (Bild: Cisco)
Aufbau von Malwartising as a Service (MaaS). (Bild: Cisco)

Cisco empfiehlt Unternehmen, eine “First-Line of Defense” aufzubauen. Damit sind regelmäßige Patches, Authentifizerung und eine Segmentierung des Netzes gemeint, um die Verbreitung von Schädlingen und Angreifern zu behindern. Auch eine umfassende und sichere Backup-Strategie sei genauso zu empfehlen wie die Schulung der Mitarbeiter vor Gefahren aus dem Web.

Künftig erwarte Cisco, dass Ransomware sich vermehrt selbst weiterverbreitet und darauf gelte es sich als Unternehmen vorzubereiten. Besonders gefährdet sei der Gesundheitsbereich.