KI und RaaS befeuern Ransomware

In drastischen Worten warnt zum Beispiel der Data-Management-Spezialist Veritas vor den Folgen KI-gesteuerter Ransomware-Angriffe: „Werkzeuge wie WormGPT erleichtern es Angreifern bereits heute, ihre Social-Engineering-Attacken mithilfe von KI-generierten Phishing-E-Mails zu verfeinern. 2024 werden immer häufiger durchgehend KI-gesteuerte, autonome Ransomware-Angriffe zum Einsatz kommen. Angefangen bei einer Automatisierung, die an Robocalls erinnert, wird die Technologie zunehmend dazu dienen, Ziele zu identifizieren, Einbrüche in Systeme durchzuführen, Opfer zu erpressen und anschließend Lösegeld auf die Konten der Angreifer zu überweisen. All dies erfolgt mit erschreckender Effizienz und minimalem menschlichen Eingreifen und damit einem noch drastischeren Ausbau der adressierbaren, potenziellen Opferzahl sowie der Frequenz der Angriffe.“

Zudem reagieren die Angreifer laut Veritas mit einer Weiterentwicklung ihrer Taktik darauf, dass sich immer mehr Unternehmen von Ransomware-Angriffen erholen können, ohne Lösegeld zu zahlen: „Unserer Einschätzung nach werden sie dabei gezielt Daten auf Zellebene beschädigen. Dabei wird ein Code tief in die Datenbank des Opfers eingefügt. Dieser Code verändert oder beschädigt bestimmte, nicht explizit genannte Daten, wenn das attackierte Unternehmen die Zahlung des Lösegelds verweigert hat“, erklärt Patrick Englisch, Regional CTO DACH bei Veritas Technologies.

Das Ausmaß dieser Bedrohung lasse sich für Unternehmen erst im Nachhinein abschätzen, da nicht klar sei, ob überhaupt und wenn ja welche Daten manipuliert oder beschädigt worden seien. Patrick Englisch folgert daraus: „Umso wichtiger ist es in solchen Fällen, dass Kopien der Daten vorhanden sind. Diese sollten zu 100 Prozent sicher, also nicht manipuliert, sein und sich schnell wiederherstellen lassen.

Um Ransomware noch gefährlicher zu machen, bräuchte es den KI-Faktor gar nicht. Dafür sorgen bereits Anpassungen der Angriffstaktiken und eine zunehmende Wertschätzung von Ransomware as a Service bei den Cyberkriminellen. Scott Caveza, Staff Research Engineer beim Netzwerksicherheitsanbieter Tenable, erklärt: „Ransomware-Gruppen werden ihre Taktik weiterentwickeln, um mit Collaboration-Technologien mehrere Ziele anzugreifen.“

Und die Experten der TÜV IT Trust GmbH erläutern: „Mit dem Geschäftsmodell Ransomware-as-a-Service füllen Kriminelle eine Marktlücke, denn so reicht ab sofort ein Auftrag über das Dark Web, um einen Ransomware-Angriff durchführen zu lassen. Eigenes Know-how ist nicht mehr nötig“. Auch Fälle von doppelten Ransomware-Angriffen, bei denen zwei Arten von Ransomware für dasselbe Ziel genutzt werden, sind demnach für 2024 vermehrt zu erwarten. Neben großen, zahlungskräftigen Unternehmen stünden nun auch kleine Unternehmen sowie Behörden im Fokus der Angreifer. Ransomware ist und bleibt laut TÜV Trust IT deshalb 2024 vermutlich die größte Bedrohung für Unternehmen.

Die Dimension des Ransomware-Problems macht Peter Machat deutlich, der Senior Director EMEA Central beim Asset-Security-Spezialisten Armis. Ihm zufolge gaben in einer Umfrage kürzlich 58 Prozent der in der IT-Branche tätigen Experten an, 2023 von Ransomware-Angriffen betroffen gewesen zu sein. Als Beispiele mit erheblichen Folgen wie Unterbrechungen der Patientenversorgung und finanziellen Einbußen führt Machat einen Ransomware-Angriff auf den NHS in Großbritannien sowie eine Datenpanne beim Krankenversicherungsanbieter Anthem in den USA an. Gerade im Gesundheitssektor erwartet Machat 2024 ein nochmaliges Anwachsen der Gefahr: „Ransomware as a Service (RaaS) ermöglicht Cyberkriminellen einen leichteren Zugang zu Netzwerk- und Geräteschwachstellen, was es zu einer äußerst effektiven Methode für Erpressung und Cyberangriffe macht.“

Auch bei den Zielen der Ransomware-Angriffe gibt es eine Fortentwicklung im negativen Sinn, wie Trend Micro berichtet: „Die Cyberkriminellen weltweit professionalisieren sich und bieten ihre Dienste als RaaS auch Bedrohungsakteuren mit weniger technischem Sachverstand an. Dies in Kombination mit einer Konzentrationsverschiebung auf „weiche“ Ziele führt dazu, dass Ransomware auch im nächsten Jahr zu den größten wirtschaftlichen Bedrohungen für den deutschen Mittelstand zählen wird.“

Ähnlich sieht das Justin Albrecht, Global Director of Mobile Threat Intelligence bei Lookout, einem Unternehmen, das sich vorwiegend um die Sicherheit von mobilen Geräten und Cloud-Anwendungen kümmert. Er sagt voraus, dass sich berüchtigte Hackergruppen nicht nur immer besser organisieren werden, sondern zunehmend Teile ihrer Angriffe per RaaS auslagern, zum Beispiel die Identifizierung oder Lokalisierung eines Exploits oder die Zusammenarbeit mit einem „Partnerunternehmen“, um den Angriff zu starten.

Der neue Report von Lookout zeigt zudem, dass Ransomware-Angriffe immer häufiger auch Auswirkungen auf OT-Umgebungen haben. 2023 beschränkten sich 21 Prozent der Ransomware-Angriffe demnach auf die IT, während 37 Prozent sowohl die IT als auch die OT betrafen. In der Vorgänger-Studie aus dem Jahr 2021 waren es 32 Prozent (nur IT) und 27 Prozent (IT und OT) gewesen. Diese signifikante Veränderung in den letzten zwei Jahren verdeutlicht die wachsende Angriffsfläche und das steigende Risiko von Betriebsstörungen, die mit der zunehmenden Konvergenz von IT und OT einhergehen.

Neben den steigenden betrieblichen Auswirkungen von Ransomware sind auch die finanziellen Auswirkungen nach wie vor beträchtlich. 69 Prozent der 2023 (???) von Ransomware-Angriffen betroffenen Unternehmen haben laut Lookout das geforderte Lösegeld bezahlt, was bei mehr als der Hälfte zu finanziellen Einbußen von über 100.000 Dollar geführt hat. Entsprechend steigt die Nachfrage nach Cyber-Versicherungen: Eine große Mehrheit der Unternehmen (80 Prozent) hat mittlerweile eine Cyber-Versicherung abgeschlossen, wobei sich etwa die Hälfte (49 Prozent) sich für eine Police mit einer Deckungssumme von einer halben Million Dollar oder mehr entschieden hat.

Scott Caveza, Staff Research Engineer bei Tenable, macht sich in punkto Lösegeld keine Illusionen: „Während sich Dutzende von Ländern verpflichtet haben, bei Cyberangriffen kein Lösegeld zu zahlen, werden Unternehmen aller Größenordnungen weiterhin zahlen, auch wenn es keine Garantie dafür gibt, dass die Angreifer die gestohlenen Daten löschen“, so Caveza.

Todd Moore, Senior VP Data Security Products beim Technologie-Konzern Thales, kritisiert in diesem Zusammenhang, dass es noch viele offene Fragen in Bezug auf Gefängnisstrafen, finanzielle Forderungen und andere rechtliche Konsequenzen gebe, die mit der Kriminalisierung von Ransomware-Zahlungen verbunden seien. Diese Unsicherheiten würden es den Unternehmen erschweren machen, die Cybersicherheit innerhalb eines rechtlichen Rahmens zu gewährleisten.

Moore erwartet, dass sich bei Ransomware die Waage weiter zu Gunsten der Cyberkriminellen verschiebt. Die Bedrohung nehme immer noch zu, ebenso steige die Zahl der ausgenutzten Zero-Days deutlich, ein Trend, der sich 2024 aufgrund von zwei wichtigen Faktoren fortsetzen werde, so Moore: „Unternehmen haben immer noch Schwierigkeiten, ihr eigenes Risiko einzuschätzen, und die meisten haben keinen ausreichenden Überblick über ihren digitalen Fußabdruck. Sie verfügen nicht

Die Verfügbarkeit von RaaS-Plattformen führt anscheinend bereits zu einem Preisverfall für geklaute Informationen – mit negativen Folgen für die Sicherheit der Unternehmen: „Es gibt bereits erste Anzeichen dafür, dass Initial Access Broker (IABs) unter Druck stehen, die Preise für Informationen zu senken, die sie über infizierte, angriffsbereite Umgebungen verkaufen. Dies wird zwangsläufig dazu führen, dass Bedrohungsakteure ihre Erpressungs- und Ransomware-Aktivitäten weiter kommerzialisieren, indem sie eine größere Anzahl kleinerer Organisationen ins Visier nehmen, um die gleichen Gewinne zu erzielen“, beschreibt Christian Have, CTO von Logpoint, einem Spezialisten für Security Information and Event Management (SIEM), den Effekt der RaaS-Plattformen. Darüber hinaus werde Ransomware noch stärker zur kriminellen Massenware, da KI-Technologien den Weg für die Entwicklung überzeugenderer Phishing-Betrügereien und Malware ebnen würden.

Die meisten, aber nicht alle Experten sehen in Ransomware auch künftig die größte Bedrohung. Mark Stockley beispielsweise erwartet, dass sich Cyberangriffe sich zunehmend auf Datendiebstahl statt Erpressung fokussieren. „Anstatt nur auf Ransomware zu setzen – sprich, die Daten eines kompromittierten Unternehmens zu verschlüsseln und für die Entschlüsselung ein Lösegeld zu verlangen – werden Cyberkriminelle in Zukunft auch verstärkt auf subtilere Methoden setzen. Sobald sie sich Zugang zu einem Unternehmensnetzwerk verschafft haben, können Angreifer beispielsweise die Verwaltungsanwendungen, die bereits im Netzwerk aktiv sind, nutzen, um nach und nach über einen längeren Zeitraum hinweg und größtenteils unbemerkt Daten zu entwenden,“ erklärt der Cybersecurity Evangelist von Malwarebytes, einem Anbieter von Sicherheitssoftware.

Die Vorteile dieses Ansatzes für die Kriminellen liegen für Stockley auf der Hand: „Jedes Unternehmen hat potenziell Zugriff auf Technologien zur Erkennung und Beseitigung von Malware, aber wenn keine Malware verwendet wird, sind diese nicht effektiv. Stattdessen braucht es aufmerksame Mitarbeiter, die Unstimmigkeiten im Netzwerk erkennen und melden – Schutz vor Cyberkriminellen wird also in Zukunft zunehmend von der Fähigkeit eines Unternehmens abhängig sein, qualifizierte Mitarbeiter zu finden.“

Jonathan Fischbein, Global CISO EMEA des israelischen Security-Konzerns Check Point, hält es für sehr wichtig, „dass Unternehmen einen ganzheitlichen Ansatz für Ransomware wählen und eine Strategie zur Schadensbegrenzung entwickeln. Es reicht nicht aus, nur Lösungen zur Abwehr von Ransomware zu haben.“ Zwar würden Unternehmen bereits eine Vielzahl von Sicherheitstools einsetzen, doch reichten diese nicht aus, da sie oft nicht miteinander kompatibel seien. Was Unternehmen wirklich bräuchten, seien bessere Präventions- und Erkennungstools.

Die Experten der TÜV Trust IT fordern: „Das Stichwort ‚Cyberhygiene‘ ist folglich ein wichtiger Faktor im Bereich der Cybersecurity jedes Unternehmens und muss 2024 wieder mehr in den Fokus rücken.“ Dazu gehörten technische Aspekte wie ein schnelles Patching neuer Schwachstellen sowie die Pflege eines Offline-Backup-Systems. Und angesichts der fortdauernden Bedrohung durch Ransomware seien regelmäßige Awareness-Schulungen für Mitarbeiter umso wichtiger.

Veritas plädiert nachdrücklich dafür, dass Unternehmen CISO-Stellen schaffen. Begründung: „Datensicherheit stellt das größte Risiko dar, dem Unternehmen heute ausgesetzt sind - noch vor wirtschaftlicher Unsicherheit und einem verschärften Wettbewerb.“ Veritas räumt gleichzeitig ein, dass es gar nicht so leicht, solche Stellen zu besetzen. Denn wer diese Position innehabe, müsse häufig erhebliche Konsequenzen fürchten. So hätten kürzlich mehrere Fälle für Schlagzeilen gesorgt, in denen CISOs für Sicherheitsverletzungen verantwortlich gemacht worden seien und in der Folge ihre Jobs verloren oder mit rechtlichen Folgen konfrontiert gewesen seien.

Der Mangel an CISOs wird im kommenden Jahr Veritas zufolge seinen Tribut fordern. 35 Prozent der deutschen Firmen hätten noch keinen oder nur einen teilweisen Plan zur Datenwiederherstellung, obwohl die Cyber-Kriminellen unvorbereitete Unternehmen verstärkt ins Visier nehmen würden, insbesondere mit ausgefeilten KI-gestützten Ransomware-Attacken. 26 Prozent der Führungskräfte und IT-Leiter befürchteten denn auch, dass ihre Unternehmen das Ende des Jahres nicht überleben werden.

Check-Point-CISO Jonathan Fischbein zieht ein pessimistisches Fazit: „Ransomware-Angriffe werden zunehmen. Sie werden auch weiterhin Unternehmen aller Größenordnungen treffen und von den Opfern Millionen von Dollar erpressen. Vor allem aber werden die Bedrohungen immer besser verschleiert.“ Und Richard Werner, Business Consultant bei Trend Micro, bringt es so auf den Punkt: „Das Aufkommen von Ransomware as a Service beflügelt Bedrohungsakteure weltweit“.