- Anzeigen -


Sie sind hier: Home » Markt » Studien

Verschlüsselung infizierter Computer


Langzeitstudie und Whitepaper zur SamSam-Ransomware (Dezember 2015 bis Juni 2018)
SamSam-Ransomware treibt 5,9 Mio US-Dollar in gut zweieinhalb Jahren ein - Nur 37 Prozent der angegriffenen Unternehmen gehen an die Öffentlichkeit



Seit Ende 2015 bis Juni 2018 hat Sophos die Entwicklung einer ganz besonderen Ransomware verfolgt: SamSam trat erstmals im Dezember 2015 auf. Damals wurde von Ransomware-Angriffen berichtet, die sich auf den Betrieb einiger großer Organisationen auswirkten, darunter Krankenhäuser, Schulen und Städte. Die SamSam-Erpressungssoftware erweist sich als besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden. Das Ziel der jetzt veröffentlichten Studie von Sophos ist es, das Wesen dieser komplexen Bedrohung besser zu verstehen. Ein ausführliches Whitepaper fasst nun die Ergebnisse zusammen.

Wichtigste Ergebnisse der Studie
Der Studie zufolge waren die USA mit 74 Prozent der nachgewiesenen Angriffe das Hauptziel. In Europa sind vor allem das Vereinigte Königreich und Belgien betroffen, weitere Angriffe gab es in den Niederlanden, Estland und Dänemark. Ebenfalls angegriffen wurden Ziele in den Vereinigte Arabische Emirate (VAE), in Indien sowie in Australien.

Die Angriffe erfolgen meist zwischen 21.00 Uhr abends und 3.00 Uhr morgens und sind von einer wachsenden Professionalität geprägt, was das Umgehen von Sicherheitskomponenten und das Verwischen von Spuren betrifft.

Es ist nicht nachweisbar, ob es sich bei dem Kopf hinter SamSam um eine einzelne männliche oder weibliche Person handelt oder um eine Gruppe von Cyberkriminellen.

Sophos hat berechnet, dass SamSam seit erstmaligem Erscheinen im Jahre 2015 mehr als 5,9 Millionen US-Dollar erpressen konnte. Sophos schätzt außerdem, dass der (oder die) SamSam-Angreifer im Jahr 2018 durchschnittlich 300.000 US-Dollar pro Monat eingenommen hat. Das höchste bisher an SamSam gezahlte Lösegeld betrug 64.478 US-Dollar.

Manuell gesteuerte Angriffe nach Feierabend
Im Gegensatz zu vielen Ransomware-Angriffen stammen SamSam-Attacken nicht von einem herkömmlichen bösartigen Spam- oder Drive-by-Download-Angriff: Jeder Angriff ist ein manueller, gezielter Einbruch in ein zuvor sorgfältig als Ziel ausgewähltes Netzwerk. Sophos vermutet, dass viele Angriffe mit einer Remote-Desktop-Kompromittierung eines Gerätes im Netzwerk beginnen. Sobald die Malware das interne Netzwerk durchsucht und eine Liste potentieller Angriffsziele erstellt hat, warten die (oder der) SamSam-Angreifer entsprechend der Zeitzone des Opfers, bevor der eigentliche Angriff startet: spät abends und nachts, wenn Benutzer und Administratoren längst Feierabend haben, wird die Malware verteilt und mit der Verschlüsselung der infizierten Computer begonnen.

Dieses Timing verbessert die Erfolgschancen des Angriffs immens. Zudem erweist sich die Cyberkriminellen-Seite überraschend geschickt darin, viele Sicherheitswerkzeuge zu umgehen. Wenn etwa der Prozess der erpresserischen Verschlüsselung von Daten unterbrochen wird, löscht die Malware sofort alle Spuren von sich selbst, um eine nachträgliche Untersuchung zu behindern.

Die Opfer schweigen
Eine Reihe von Organisationen des mittleren und großen öffentlichen Sektors aus den Bereichen Gesundheit, Bildung und Regierung haben Angriffe durch SamSam offengelegt. Regierungsorganisationen haben dabei zu 100 Prozent die erlittenen Angriffe gemeldet. Von den betroffenen Organisationen der Gesundheitswirtschaft gingen 79 Prozent an die Öffentlichkeit ebenso wie 38 Prozent der betroffenen Bildungseinrichtungen. Insgesamt umfassen die Organisationen, die einen Angriff öffentlich bekannt gaben, nur 37 Prozent der von Sophos im Rahmen der Langzeitstudie identifizierten SamSam-Opfer.

Sophos glaubt, dass es hunderte weitere Opfer geben könnte, die keine öffentliche Erklärung abgegeben haben. So hat bisher hat kein Unternehmen anderer Branchen oder des Privatsektors irgendeine öffentliche Erklärung abgegeben, die einen SamSam-Angriff bestätigt – die Studie legt jedoch nahe, dass es diese gegeben hat.

Sicherheitsempfehlungen für Unternehmen
"Es gibt keine einzelne Empfehlung für die Sicherheit. Ein aktives und mehrschichtiges Sicherheitsmodell ist die beste Vorgehensweise", erklärt Michael Veit, Sicherheitsexperte bei Sophos. Er rät vier Punkte unbedingt zu beachten, um sich möglichst gut gegen Bedrohungen wie SamSam zu schützen:

1. Eingeschränkter Zugriff auf Port 3389 (RDP), indem nur Mitarbeitern, die ein VPN verwenden, ermöglicht wird, remote auf beliebige Systeme zuzugreifen. Verwenden Sie die Multi-Faktor-Authentifizierung für den VPN-Zugriff

2. Vollständige, regelmäßige Schwachstellen-Scans und Penetrationstests im gesamten Netzwerk; Wenn Sie die neuesten Testberichte nicht gelesen haben, tun Sie es jetzt.

3. Multi-Faktor-Authentifizierung für sensible interne Systeme, auch für Mitarbeiter im LAN oder VPN.

4. Erstellen Sie Sicherungen, die offline und offline sind, und entwickeln Sie einen Notfallwiederherstellungsplan, der die Wiederherstellung von Daten und ganzen Systemen umfasst.

Weitere bewährte Sicherheitspraktiken, die Sophos empfiehlt:
>> Layer-Sicherheit, die Angreifer von allen Zugangspunkten aus blockiert und keinen Zugang mehr innerhalb eines Netzwerks erhält

>> Rigoroses und sorgfältiges Patchen

>> Serverspezifische Sicherheit mit Lockdown-Funktionen und Anti-Exploit-Schutz, insbesondere für ungepatchte Systeme

>> Sicherheit, die Informationen synchronisiert und teilt, um Sperrungen zu aktivieren

>> Endpoint- und Serversicherheit mit Diebstahlschutz für Anmeldeinformationen

>> Schwer zu knackende und einzigartige IT-Admin-Passwörter mit Multi-Faktor-Authentifizierung

>> Verbesserung der Passwortrichtlinien: Ermutigen Sie die Mitarbeiter, sichere Passwort-Manager, längere Passphrasen und die Nichtwiederverwendung von Passwörtern für mehrere Accounts zu verwenden

>> Periodische Bewertungen, die Tools von Drittanbietern wie Censys oder Shodan verwenden, um öffentlich zugängliche Dienste und Ports in Ihrem öffentlich zugänglichen IP-Adressraum zu identifizieren und diese dann zu schließen

>> Verbesserte Kontozugriffskontrollen: Erarbeiten Sie sinnvolle Richtlinien, um untätige Konten zu schützen. Sperren von Konten und Warnen von IT-Mitarbeitern nach einer Reihe fehlgeschlagener Anmeldeversuche

>> Regelmäßige Phishing-Tests und Mitarbeiterschulungen zu den Gefahren von Phishing
(Sophos: ra)

eingetragen: 10.08.18
Newsletterlauf: 22.08.18

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Zugangsrechte immer noch eine Achillesferse

    58 Prozent aller global befragten Unternehmen gelingt es nicht, Anträge von Einzelpersonen, die auf Grundlage der DSGVO (Datenschutz-Grundverordnung) eine Kopie ihrer persönlichen Daten angefordert haben, innerhalb der in der Verordnung festgelegten Frist von einem Monat zu bearbeiten. Dies zeigt eine aktuelle Studie von Talend. Im September 2018 veröffentlichte Talend die Ergebnisse ihrer ersten DSGVO-Vergleichsstudie. Mit dieser Studie sollte die Fähigkeit von Unternehmen bewertet werden, die Zugangs- und Portabilitätsanforderungen der EU-Verordnung einzuhalten. 70 Prozent der untersuchten Unternehmen waren damals nicht in der Lage, Daten einer betroffenen Person innerhalb eines Monats zur Verfügung zu stellen. Ein Jahr später befragte Talend erneut diejenigen Unternehmen, die im ersten Benchmark die DSGVO-Vorgaben nicht einhalten konnten. Gleichzeitig wurden auch neue Unternehmen aus der Zielgruppe befragt. Zwar erhöhte sich der Gesamtanteil derjenigen Unternehmen, die eine Einhaltung der Vorschriften vermeldeten, auf 42 Prozent, dennoch bleibt die Quote 18 Monate nach Inkrafttreten der Verordnung vergleichsweise niedrig.

  • Unternehmen investieren mehr in IT-Sicherheit

    Zwei Drittel der Unternehmen (66 Prozent) wollen ihre Investitionen in IT-Sicherheit steigern - mehr als in jeden anderen Bereich. Auch gefragt sind Datenanalyse-Software, in die 55 Prozent der Unternehmen mehr investieren wollen und Online-Shops mit 52 Prozent. Das zeigt eine repräsentative Umfrage von Bitkom Research im Auftrag von Tata Consultancy Services (TCS) unter 953 Unternehmen mit 100 oder mehr Mitarbeitern in Deutschland. Im Durchschnitt investieren die Unternehmen 5,5 Prozent ihres Jahresumsatzes in die digitale Transformation - eine Steigerung um 12 Prozent zum Vorjahr. Allerdings werden wie die Anforderungen an Datenschutz (53 Prozent) und IT-Sicherheit (52 Prozent) von den Unternehmen auch als größte Hürden der Digitalisierung gesehen. Nur ein Prozent sieht hingegen fehlende finanzielle Mittel als Hinderungsgrund. Fehlt das Geld, sind die Probleme hausgemacht: Jedes fünfte Unternehmen (19 Prozent) sieht fehlende Investitionsbereitschaft trotz vorhandener Geldmittel als Hürde. Noch häufiger genannt werden fehlende Vorgaben der Geschäftsführung (31 Prozent) oder langwierige Entscheidungsprozesse (37 Prozent). Der Fachkräftemangel wird zur immer größeren Herausforderung: Mehr als ein Drittel (35 Prozent) sieht den Mangel an Mitarbeitern mit Digitalkompetenz als Hürde - 2017 waren es erst 25 Prozent.

  • Kundenzufriedenheit erfordert Test-Automatisierung

    Compuware hat die Ergebnisse einer weltweiten Umfrage unter 400 IT-Führungskräften, davon 75 aus Deutschland, bekannt gegeben. Demnach sind manuelle Testverfahren nach wie vor weit verbreitet. Sie stellen jedoch eine der größten Herausforderungen für große Unternehmen dar, wenn sie digitale Innovationen beschleunigen möchten.Die von Vanson Bourne im Auftrag von Compuware durchgeführte Umfrage untersucht die Prozesse von Unternehmen, um Innovationen auf dem Mainframe so schnell wie in ihren verteilten Umgebungen, die stark vom Mainframe abhängig sind, bereitzustellen. Die Studie untersucht auch die Methoden zur Unterstützung von Tests auf dem Mainframe sowie die Herausforderungen bei der gleichzeitigen Steigerung von Qualität, Geschwindigkeit und Effizienz während des Entwicklungs- und Bereitstellungsprozesses für Anwendungen. Die vollständige Studie mit den weltweiten Ergebnissen können Sie hier herunterladen.

  • Biometrische Daten vermehrt Angriffen ausgesetzt

    37 Prozent der Computer, Server oder Workstations, auf denen biometrische Daten erfasst, verarbeitet und gespeichert und von einer Kaspersky-Lösung geschützt werden, waren im dritten Quartal 2019 mindestens einem Malware-Infektionsversuch ausgesetzt. Dies zeigt der aktuelle Report "Threats for biometric data processing and storage systems" des Kaspersky ICS CERT. Es handelte sich vor allem um generische Malware wie Remote Access Trojaner (RATs) (5,4 Prozent), bei Phishing-Angriffen verwendete Malware (5,1 Prozent), Ransomware (1,9 Prozent) sowie Banking-Trojaner (1,5 Prozent). Die Verwendung biometrischer Daten wie Fingerabdrücke, Handgeometrie oder Irisstruktur zur Authentifizierung, als Ergänzung oder Ersatz zu traditionellen Anmeldedaten, nimmt stetig zu. Sie wird unter anderem für den Zugriff auf Regierungs- und Handelsbüros, industrielle Automatisierungssysteme, Unternehmens- und Privat-Laptops sowie Smartphones verwendet - und steht damit vermehrt im Fokus von Cyberkriminellen.Die Experten von Kaspersky ICS CERT haben Cyberbedrohungen untersucht, die im dritten Quartal dieses Jahres von Kaspersky-Produkten auf Computern, die biometrische Daten sammeln, verarbeiten und speichern, untersucht. Das Ergebnis: Auf über einem Drittel der Computer (37 Prozent) schlugen die Kaspersky-Produkte Alarm.

  • Security-Markt setzt 9,2 Milliarden Euro um

    Die globale Sicherheitsindustrie befindet sich in einer stetigen Wachstumsphase. Alleine in Deutschland wurde dieses Jahr nach den Daten von Statista ein Umsatz von etwa 9,2 Milliarden Euro erzielt. Dies sei darauf zurückzuführen, dass das Bewusstsein für Sicherheit geschärft werde, und dass Verbraucher hierfür auch immer öfter Geld investieren. Deutschland ist hierbei augenscheinlich einer der wichtigsten Märkte innerhalb Europas. Die Bundesrepublik beheimatet in dieser Sparte rund 6.000 Unternehmen mit insgesamt 180.000 Mitarbeitern. Von 2018 auf 2019 verzeichnet die Branche in Deutschland ein Wachstum von 2,9 Prozent. Etwa 80 Prozent des Gesamtumsatzes fallen hierbei auf private Akteure. Im Jahr 2011 belief sich der Umsatz der Sicherheits- und Ermittlungsindustrie hierzulande noch auf 5,3 Milliarden Euro. Seither ist der Branchenwert um 73,58 Prozent gewachsen.

Viele Unternehmen mit IT-Sicherheitsvorfällen Direkte Bedrohungen durch eigene Mitarbeiter