Die Bedrohung, die eigentlich nie weg war, ist zurück (und dieses Mal so richtig)
Erinnern Sie sich noch an den Mai 2017? Damals gewann Emmanuel Macron die Wahlen in Frankreich. Die Ringling Bros. und der Barnum & Bailey Circus gaben nach 146 Jahren ihre letzte Vorstellung. Die US-amerikanische FCC hatte beschlossen, die Regeln für die Netzneutralität zu kippen. Und der National Health Service in Großbritannien war von einem massiven Ransomware-Angriff betroffen, der letztlich über 120 Millionen US-Dollar kostete.
Vier Jahre später macht Ransomware erneut Schlagzeilen, während sie Unternehmen auf der ganzen Welt erheblichen finanziellen Schaden zufügt. So zum Beispiel der jüngste Angriff auf dieColonial Pipeline, der dazu führte, dass das Unternehmen den Betrieb einstellen musste, wodurch das Ganze die Aufmerksamkeit der Medien erlangte.
Wer nur den normalen, nicht fachbezogenen Medien folgt, könnte glauben, dass Ransomware-Angriffe nur gelegentlich stattfinden. Doch die Realität ist, dass Ransomware nie weg war. Seit 2017 ist nicht nur das Angriffsvolumen stetig gestiegen, sondern auch das von Angreifern geforderte Lösegeld sowie die Kosten für die Behebung.
Darüber hinaus haben Angreifer ständig die Tools und Angriffsvektoren weiterentwickelt, die sie zur Bereitstellung der Ransomware-Payloads verwenden. Eine Weile lang wurde die Payload an Phishing-E-Mails angehängt, wobei häufig die Betreffzeile „Rechnung angehängt“ verwendet wurde. Das hat sich zu schädlichen Links in E-Mails geändert, über die Payloads heruntergeladen werden, wenn Opfer darauf klicken. Angreifer nutzten die anfänglichen Payloads unter anderem, um im Zielnetzwerk Fuß zu fassen. Nach einer gewissen Zeit wurde dann die eigentliche Malware heruntergeladen und die Ransomware ausgeführt.
Ransomware-Aufschwung 2021
Basierend auf einer Analyse untersuchter DNS-Protokolle der Akamai Intelligent Edge Platform können wir sehen, dass seit Anfang 2021 immer mehr Anfragen an Ransomware-Bereitstellungsdomains gestellt wurden.
Abbildung 1: Traffic zu Malware-Websites mit Ransomware-Bezug
Von Mitte Februar bis Mitte März ist ein merklicher Anstieg des Traffics zu Ransomware-Domains zu beobachten. Dieser Anstieg war auf eine starke Zunahme der Ransomware Ryuk zurückzuführen, die in der Regel auf große Unternehmen abzielt. Schätzungen gehen davon aus, dass die kriminelle Gruppe hinter den Angriffen über 150 Millionen US-Dollar gestohlen hat, seit die Ransomware im August 2018 erstmals in freier Wildbahn entdeckt wurde.
So kann Akamai Ihre Ransomware-Abwehr verbessern
Akamai Enterprise Threat Protector ist ein cloudbasiertes Secure Web Gateway, das Anfragen an Ransomware-Bereitstellungsdomains und URLs mithilfe von Echtzeit-Bedrohungsinformationen blockiert. Darüber hinaus verwendet es mehrere Malware-Erkennungs-Engines, einschließlich einer Cloud-Sandbox, um den Webtraffic zu untersuchen und zu analysieren und so Ransomware-Payloads zu erkennen. Erfahren Sie mehr über Enterprise Threat Protector.
