KMU müssen ihre Netze schon heute „rund um die Uhr“ überwachen – KI-Quanten-Erpressungstrojaner kommen erst noch!

/in , , , , , , , , , , , , /von

Von Joachim Jakobs

Die REMBE® GmbH Safety+Control, eine Mittelständlerin aus Südwestfalen mit weltweit 340 Mitarbeiterinnen beichtet im November 2024 eine Panne:
„Einige Bereiche unserer IT waren kurzzeitig Ziel eines externen Cyberangriffs. Wir haben sofort sämtliche Maßnahmen ergriffen, um den Vorfall einzudämmen, unsf[ere Systeme zu schützen und die volle Datensicherheit zu gewährleisten.“ Für Rembe ist das besonders peinlich — schließlich nimmt die Expertin „für Prozesssicherheit und Explosionsschutz“ für sich in Anspruch:  „Betriebliche Sicherheit 5.0 ist eine verantwortungsvolle Aufgabe. Eine Aufgabe, der wir uns seit 1973 mit ganzem Engagement verschrieben haben.“

Das DSGVO-Portal behauptet, es handele sich um die Erpresserbande „Black-Basta“. Dabei sei 1 Terabyte Daten abhanden gekommen: Finanz-, Personal-, Forschungsdaten, „etc“.

Die Sicherheitsfirma Barracuda bestätigt:
„Black Basta gehört zu den Ransomware-Clustern, die keine Spielchen treiben. Die Bedrohung tauchte im April 2022 auf und forderte in sieben Monaten fast 100 Opfer. Sie ist bekannt für ihre ausgefeilten Taktiken und Angriffe in verschiedenen Bereichen. Eines der jüngsten Opfer ist das katholische Gesundheitssystem Ascension, das seine Entdeckung des Angriffs am 9. Mai 2024 bekannt gab. Black Basta war in der Lage, 140 Krankenhäuser von Ascension in 19 Staaten und Washington DC zu stören. Telefone und Computersysteme fielen aus, und das Personal war gezwungen, auf Papiersysteme auszuweichen.“

Keine Spielchen heißt „Automatisierung und Umfang“ der Angriffe in die Höhe zu treiben:
„Die Automatisierung von Ransomware-Angriffen ermöglicht es Cyberkriminellen, eine große Anzahl von Opfern gleichzeitig anzugreifen. Automatisierte Tools können das Internet nach anfälligen Systemen durchsuchen und Angriffe in einem bisher unerreichten Ausmaß durchführen. Diese Skalierbarkeit erhöht ihre Erfolgsaussichten.“

Das Risikoberatungsunternehmen Kroll weiß Genaueres:

„Black Basta verschafft sich den ersten Zugang oft über einen Link zu einem bösartigen Dokument, das per E-Mail in Form einer passwortgeschützten Zip-Datei zugestellt wird. Sobald das Dokument extrahiert wurde, installiert es den Qakbot-Bankentrojaner, um sich einen Backdoor-Zugang zu verschaffen und SystemBC einzusetzen, das eine verschlüsselte Verbindung zu einem C2-Server herstellt. Oftmals verschafft sich Black Basta über legitime Fernzugriffs-Software-Tools Netzwerk-Persistenz.

Anschließend wird das als CobaltStrike bekannte Post-Exploitation-Framework installiert, um das Netzwerk auszukundschaften und zusätzliche Tools zu installieren. Anders als die meisten Bedrohungsakteure nutzt Black Basta zahlreiche Methoden zur Bereitstellung von Tools und zum Fernzugriff.

Black Basta versucht häufig, Sicherheitstools über vorgefertigte Skripte zu deaktivieren, die mit der Registrierung interagieren. Kroll hat auch Versuche beobachtet, Endpunkt-Erkennungs- und Reaktionssysteme zu entfernen oder zu deaktivieren, um den Einsatz von Tools wie Mimikatz und CobaltStrike zu verschleiern.

Eines der Hauptziele von Black Basta ist die Exfiltration von Daten. In den meisten Fällen wird dies mit Rclone erreicht, das nach bestimmten Dateien filtern kann, bevor es sie in einen Cloud-Dienst kopiert. Sobald die Exfiltration abgeschlossen ist, wird die Ransomware-Binärdatei ausgeführt, um Dateien mit der Erweiterung „.basta“ zu verschlüsseln, Sicherungskopien zu löschen und eine Lösegeldforderung namens readme.txt auf infizierten Geräten anzuzeigen.“

Die Bayerische Landesregierung berichtet in einer Broschüre „CYBERSICHERHEIT IN BAYERN 2024“:

„Bei den vielen Gruppierungen, die sich Angriffe mit Ransomware zum Geschäftsmodell gemacht hatten, dominierten im Berichtszeitraum u.a. Black Basta, LockBit 3.0, Alphv/BlackCat und Royal. Neben der Verschlüsselung der Daten ist aus datenschutzrechtlicher Sicht besonders schwerwiegend zu bewerten, dass die Daten in aller Regel vor der Verschlüsselung von den Angreifern abgegriffen werden. Diese Variante wird auch Double Extortion (doppelte Erpressung) genannt. Sie bietet den Angreifern nicht nur die Möglichkeit, ein Lösegeld für die Entschlüsselung der Daten zu verlangen, sondern auch damit zu drohen, die oftmals sensiblen Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird.“

Daten werden jedoch nicht einfach nur „veröffentlicht“; damit wird Kasse gemacht „Black Basta ist extrem gut in dem, was es tut. Es gelang ihr, im Laufe einiger Monate im Jahr 2022 mindestens 75 Organisationen im Namen ihrer „Partner“ (wie ihre Kunden genannt werden) zu überfallen. Obwohl sie als RaaS-Organisation (Ransomware auf Mietbasis) bekannt ist, setzt die Bande auch auf ‚doppelte Erpressung‘. Das bedeutet, dass sie, wenn ihre Opfer sich weigern, ein Lösegeld zu zahlen, einfach sensible Daten exfiltriert und sie zum Verkauf auf einem Cyberkriminalitätsmarktplatz freigibt.“

Die Folgen beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI):

„Namen und die zugehörige Telefonnummer oder gar das Geburtsdatum finden sich im Internet zuhauf. Die Möglichkeiten des Identitätsdiebstahls haben mit dem Internet deutlich zugenommen. Das BSI warnte 2014 gleich mehrmals vor großflächigen Identitätsdiebstählen mit vielen Millionen betroffenen E-Mail-Konten. Fremde können nicht nur Ihr E-Mail-Konto, sondern zum Beispiel auch Ihre Facebook-Seite kapern oder in Ihrem Namen über Twitter Nachrichten verbreiten. Auch Ihre Kreditkarte oder Ihr Online-Zugang zur Bank kann in fremde Hände fallen.“

Automatisierung einerseits und attraktive Verwertungsmöglichkeiten andererseits führen dazu, dass die Opfer der Erpressungstrojaner im Durchschnitt 234 Mitarbeiterinnen beschäftigen und eine Ausfallzeit von 21 Tagen hinnehmen müssen.

Da haben die Virenjägerinnen von SOPHOS allen Grund, sich mit der Cyberresilienz von Unternehmen „mit 100 bis 500 Mitarbeiterinnen“ zu beschäftigen. Das Ergebnis:

„– KMUs haben bei Ransomware-Angriffen eine höhere Rate an Datenverschlüsselung: Bei 74 Prozent der Ransomware-Angriffe auf KMUs gelingt es den Angreifern, die Daten zu verschlüsseln.
—    Kein Monitoring: In 33 Prozent der Fälle gibt es in KMUs niemanden, der aktiv überwacht, untersucht und auf Warnungen reagiert.
—    Untersuchung verdächtiger Sicherheitswarnungen ist eine Herausforderung: 96 Prozent der Mitarbeiter in KMUs finden mindestens einen Aspekt der Untersuchung verdächtiger Sicherheitswarnungen schwierig.
—    KMUs haben Schwierigkeiten, bösartige Warnungen/Vorfälle zu beseitigen: 75 Prozent der KMUs finden es schwierig, bösartige Warnungen oder Vorfälle rechtzeitig zu beheben.“

Weiter schreibt die Sicherheitsfirma:
„Da 91 Prozent der Ransomware-Angriffe außerhalb der üblichen Geschäftszeiten stattfinden, müssen KMUs in der Lage sein, ihre Netzwerke rund um die Uhr zu überwachen, um bösartige Aktivitäten zu erkennen, bevor ein Angreifer Daten exfiltrieren oder verschlüsseln kann.“

Ratschläge sich der Seuche zu erwehren, gibts viele
„Der beste Schutz gegen Ransomware und das Verhindern von Cyber Erpressungen besteht in regelmäßigen Updates, einer umfangreichen, holistischen Sicherheitslösung sowie Security Awareness Trainings und Weiterbildung von Mitarbeitern. Nur, wenn Mitarbeiter die aktuellen Cybergefahren kennen und wissen, welche Einfallstore Hacker nutzen, können sie dem Ernstfall aktiv vorbeugen.“

Das heißt: „Effektiver Ransomware-Schutz“ ist (nur!) „mit ganzheitlicher Zero-Trust-Architektur“  zu erzielen.

Bild: Freepik.com

Die Bedeutung digitaler Nachhaltigkeit wächst mit der Zunahme der Bedrohungen — die Firma Pure Storage befürchtet, dass „KI-Angriffe noch raffinierter und umfangreicher“ werden könnten:

„Ransomware-Angriffe sind seit Jahren eine ständige Bedrohung, und die Integration von KI-Techniken hebt diese Angriffe auf ein neues Niveau von Raffinesse, Geschwindigkeit und Umfang [—]
Durch den Einsatz von KI zur Erkundung und Schwachstellenbewertung kann KI-gestützte Ransomware Schwachstellen in der bestehenden Cybersicherheitsabwehr mit erschreckender Präzision ausnutzen. Angreifer können Einbruchspunkte identifizieren und ausnutzen, die von herkömmlichen Verteidigungssystemen übersehen werden können. Dazu gehören Zero-Day-Schwachstellen und Fehlkonfigurationen in Software und Systemen, was die Abwehr solcher Angriffe weiter erschwert. Algorithmen des maschinellen Lernens (ML) können riesige Datenmengen analysieren, um potenzielle Ziele zu identifizieren, überzeugende Phishing-E-Mails zu erstellen und sogar Lösegeldforderungen auf der Grundlage des Profils des Opfers anzupassen.“

Bis 2030 ist zudem mit der Verfügbarkeit von Quantencomputern zu rechnen — was ebenfalls zur Erhöhung der Risiken beitragen wird:

„Da das Quantencomputing in greifbare Nähe rückt, müssen sich Unternehmen und Einzelpersonen den tiefgreifenden Herausforderungen stellen, die sich daraus für die Datensicherheit ergeben. Die Synergie zwischen Ransomware-Angriffen und Quantencomputern erfordert eine proaktive Reaktion.“

Compliance 4.0 berichtet einmal wöchentlich über Digitalisierung, ihre Risiken und Rechtsfolgen auf dem Weg in die regelkonforme Vollautomatisierung der Welt.

 

Ähnliche Beiträge

Managed Security Services sind im Kommen Bildquelle: MarinaBay; Credit: Dassault Systèmes-Virtual SingaporeSimulation: Morgen schon heute erleben So geht B2B-Beschaffung 4.0 heute Digital Annealer: Technologien von morgen schon heute nutzen
Das könnte Dich auch interessieren
Wettbewerbsfähigkeit Deutschlands: VDMA legt Strategieplan für „Robotik und Automation 2028“ vor
Nach der Bundestagswahl: Wie der Mittelstand bei der Digitalisierung vorankommt
Privatsphäre im Internet heißt Freiheit
Smart Services & Smart Citys
Digital Banking
Securing Smart Societies