Webinar

Die neuesten Ransomware-Bedrohungen und wie man sich mit Microsoft Defender und MXDR dagegen schützen kann

Dies sind die neuesten Ransomware-Bedrohungen und wie man sich mit Microsoft Defender und MXDR dagegen schützen kann. Und bei uns ist Drew Perry, Chief Innovation Officer bei Ontinue. Vielen Dank, Drew. Ich übergebe das Wort an Sie, damit wir loslegen können. Danke, Chris. Vielen Dank, Chris, und ich danke Ihnen allen, dass Sie heute hier sind. Zunächst einmal werden wir die Zeit ein wenig zurückdrehen. Die Bedrohung durch Ransomware hat sich in den letzten zehn oder fünfzehn Jahren erheblich weiterentwickelt. In unserer täglichen Arbeit bei Ontinue als Managed Service Provider für das Microsoft-Sicherheitsportfolio sehen wir alle möglichen Bedrohungsakteure, die es auf unseren Kundenstamm abgesehen haben, und wir helfen ihnen, Vorfälle und Ransomware-Szenarien erfolgreich zu verhindern. Aber wenn wir in die Anfänge von Ransomware zurückblicken, haben wir einen sehr langen Weg zurückgelegt. Einige von uns erinnern sich vielleicht noch an die ersten Varianten von CryptoLocker in den 20er Jahren. Damals handelte es sich um eine opportunistische Situation, in der ein Familienmitglied oder ein kleines Unternehmen ein einzelnes Gerät mit all seinen wertvollen Dateien und Fotos einsperrte und eine Lösegeldforderung erhielt, die in Bitcoin bezahlt werden musste. Seitdem haben sich die Dinge erheblich weiterentwickelt, und zwar entlang der Ketten von NotPetya und anderen Arten von Malware, die in den Siebzigerjahren veröffentlicht wurden und sich zu einer eher von Menschen betriebenen Operation entwickelt haben. So arbeiten Teams und Cyber-Banden zusammen, um Daten zu exfiltrieren, den Zugang zu Unternehmen über Datenbroker zu verkaufen oder sogar Malware zu installieren, nur um den anfänglichen Zugang zu erhalten und ihn an jemand anderen weiterzugeben, der dann in Ihren Umgebungen schlimme Dinge anrichtet. Wir haben den Eindruck, dass sich dies seit etwa neunzehn oder zwanzig Jahren zu einer massiven Operation entwickelt hat. Und vor allem, was wir tagtäglich im Zusammenhang mit Informationsdiebstahl und dieser Art von Malware sehen. Ich möchte Sie nur auf eine kleine Forschungsarbeit hinweisen, die unser Mitarbeiter Rhys Downing von unserem Cyber Defense Center hier Ontinue über eine bestimmte Malware namens Luma Stealer durchgeführt hat. Sie können sich diesen Bericht also gerne genauer ansehen und selbst einige dieser Maßnahmen ergreifen, um zu verhindern, dass Ihnen etwas zustößt. Wie ich bereits sagte, gehen wir hier etwa fünf Jahre zurück und betrachten die Ransomware-Bedrohung in der Zeit vor der Ukraine-Invasion. Damals hatten wir also eine andere Regierung in den USA und eine ganz andere Bedrohungslandschaft. Aber im Grunde hat sich seitdem nicht viel geändert, denn wir haben zwei globale Supermächte, die sich fast im Krieg befinden, zumindest im Cyberkrieg. Damals wurde viel geleugnet: Erpressung, Leugnung von Bedrohungsakteuren, die ihren Sitz in Ländern wie Russland haben. Und wir hatten eine US-Regierung, die begann, Druck auszuüben, um tatsächlich etwas gegen diese Bedrohung zu unternehmen. Aber was konnten sie wirklich tun? Sie könnten versuchen, die Struktur abzuschalten. Sie könnten den Einsatz erhöhen, indem sie weitere Sanktionen verhängen. Aber wird das wirklich funktionieren? Oder hat es funktioniert, wenn man sich die letzten fünf Jahre ansieht? Ich würde gerne eine Vermutung anstellen, aber dazu kommen wir etwas später. Aber damals gab es in den USA eine Menge Diskussionen darüber, ob die Dinge auf die nächste Stufe gehoben werden sollten, um die Infrastruktur der Cyber-Banden und Ransomware-Betreiber tatsächlich zu stören. Sollte ein Geheimdienst oder ein Nationalstaat wirklich diese Infrastruktur ins Visier nehmen, um sie auszuschalten und die Dinge zu beenden. Damals sagte der US-Präsident ganz einfach: Ja. Und was könnten sie tun? Sie könnten eine Menge Kryptoide erbeuten. Wenn also irgendwelche Informationen verschlüsselt waren, konnten wir sie sehr leicht verteilen und entschlüsseln, bevor ein Lösegeld gezahlt wurde. Wir hätten einige der gespeicherten Daten löschen können, um eine Erpressung zu verhindern, oder vielleicht sogar die Bitcoin- und Krypto-Wallets abfangen und einsammeln können, in denen Zahlungen getätigt wurden, um tatsächlich eine Entschädigung zu erhalten und diese Gelder wieder an die Opfer zu verteilen. All dies sind unglaublich komplexe Operationen, die nicht so einfach durchzuführen sind, selbst wenn man sich auf der Ebene eines Nationalstaats befindet. Die Frage war also: Würden die USA und andere diese Server angreifen? Das Problem ist, dass auf einer hohen Ebene, wo es um Diplomatie und Sanktionen geht, beide Parteien an einen Tisch kommen müssen. Und wie das Bild zuvor, die zwei Fäuste, die hier in den Krieg ziehen, wenn einer nicht mitspielt, wird es nicht wirklich funktionieren. Und die Antwort von Putin lautete damals: Ich habe keinen dieser Berichte über diese Cyberangriffe erhalten. Ich glaube nicht, dass es so etwas gibt. Im Grunde genommen weiß ich nicht, wovon Sie sprechen. Wenn ich mir die letzten fünf Jahre anschaue, dann ist es ziemlich klar, dass die Reaktion klar ist, wenn mit den Erpressungsaktivitäten dieser Cyber-Banden erhebliche Geldbeträge verdient werden. Ransomware-Betreiber erhalten im Grunde genommen Koffer voller Geld. Vielleicht ist das ein wenig übertrieben, aber sie erhalten erhebliche Geldbeträge für diese Arbeit. Wir behandeln dies wie einen alltäglichen Job, wie einen Pen-Tester oder jemanden, der eine unbefugte Sicherheitsbewertung gegen Ihre IP-Adressen vornimmt. Und die Summen, die dafür gezahlt werden, sind erschütternd. Wenn wir uns an die zwanziger Jahre zurückerinnern, wo die jährlichen Einnahmen aus dieser Art von Aktivitäten allein in jenem Jahr bei etwa drei bis fünfzig Millionen Dollar lagen. Und wenn wir uns das heute anschauen, dann sind diese Möglichkeiten, diese Arten von Aktivitäten und der damit verbundene Markt inzwischen auf 8,5 Millionen Dollar angewachsen. Und dabei ist noch nicht einmal berücksichtigt, wenn sie diese Lösegeldzahlungen und Bitcoin damals erhalten haben, wie viel sie allein für die Aufrechterhaltung dieser Kryptozeit wert gewesen wären. Aber das ist wieder eine andere Geschichte. Und jede dieser verschiedenen Banden hat sehr ähnliche Taktiken und Techniken. Sie haben es meist auf gestohlene Anmeldedaten abgesehen, verwenden diese wieder, versenden Phishing-E-Mails und sondieren so aktiv externe IP-Adressen und Ihre externe Infrastruktur oder Dinge wie freiliegende RDP-Ports, SSH-Ports und nutzen diese Informationen von der Infostealer-Malware, um sich einfach in Ihre Umgebung einzuloggen, wenn Ihre Kontrollen nicht korrekt implementiert sind. Und einige dieser Banden sind, wie ich schon sagte, erfolgreicher als andere. Aber wenn ich zurückblicke, gab es in den letzten Jahren eine ganze Reihe von Erfolgen bei gezielten Takedown-Operationen. Ein Beispiel dafür ist Evil Corp oder R Evil, die durch eine laufende internationale Operation unter der Leitung der NCA erfolgreich zerschlagen werden konnten, was die Infrastruktur betrifft. Aus individueller Sicht wurden sie jedoch einfach sanktioniert. Und auch hier glaube ich nicht, dass dies ausreicht, um diese Art von Bedrohung zu stoppen. Wir sehen, dass diese Operationen erfolgreich sind, wenn es darum geht, die Infrastruktur zu zerstören, aber offensichtlich taucht eine weitere Bande auf. Es gibt immer noch Geld zu verdienen, denn es werden immer noch Zahlungen geleistet. Und die Dinge ändern sich in diesem Bereich. Hier in Großbritannien wird darüber diskutiert, Lösegeldzahlungen illegal zu machen. Auch hier kenne ich die Vor- und Nachteile nicht, und ich weiß nicht, ob das tatsächlich erfolgreich sein wird, aber zumindest bewegen sich die Dinge in die richtige Richtung, um diese Bedrohung in Zukunft zu verhindern. Wir können nicht nur auf die Regierungen warten. Wir können nicht einfach darauf warten, dass Sanktionen wirksam werden, und wir können nicht einfach darauf warten, dass diese Cyber-Banden ihre Richtung ändern. Sie führen also immer noch dieselben Arten von Angriffen durch. Sie verschicken diese Phishing-E-Mails. Sie sondieren Ihre externe Infrastruktur. Sie dringen mit den gestohlenen Anmeldeinformationen in Ihre Umgebung ein, installieren Malware, dringen in Ihre Umgebung ein, um sensible Daten zu exfiltrieren, diese zu sperren und Erpressung zu fordern. Heutzutage sehen wir weniger Erpressungsversuche als vielmehr die Aufrechterhaltung dieser Persistenz für andere Aktivitäten. Interessanterweise wurde viel darüber gesprochen, dass KI die Bedrohungsakteure dabei unterstützt. Mit der Veröffentlichung des Open-Source-Modells von OpenAI und zu Beginn dieses Jahres mit der Veröffentlichung von DeepSeek und deren Modellen sowie den zunehmenden Fähigkeiten von Open-Source-Modellen in Bezug auf große Sprachmodelle findet dies nun seinen Weg zu Ransomware-Gruppen. Ich würde jedoch behaupten, dass wir noch ganz am Anfang stehen, und es wurden bereits viele Artikel und viel Lärm um diese KI-Bedrohung von Ransomware gemacht. Aber ich glaube immer noch nicht, dass wir uns übermäßig Sorgen machen müssen, dass ein KI-Bot oder KI-Agent der Hauptbedrohungsakteur ist, der Sie heutzutage angreift. Denn wenn dies auf Ihren Bildschirmen im Büro passiert, werden Sie eine sehr schlechte Zeit haben. Wie ich bereits sagte, kann vieles davon verhindert werden. Und wir hier bei Ontinue nutzen gemeinsam mit unseren Kunden das Sicherheitsproduktportfolio von Microsoft, und zwar ganz speziell Microsoft Defender XDR und Microsoft Sentinel. Wenn Sie diese Kontrollmechanismen implementieren und sie durch proaktive Überwachung und Automatisierung bei der Unterbrechung von Angriffen unterstützen, können Sie diese Art von Situation in Ihrer Umgebung vermeiden, in der es zu erheblichen Ausfallzeiten kommt, Sie sich im Krisenmodus befinden und Ihr Unternehmen nicht arbeiten kann. Und es gibt drei Möglichkeiten, über die ich heute sprechen möchte, um einen schnellen Erfolg zu erzielen. Wenn Sie zufällig Defender oder Microsoft Defender verwenden, wenn Sie zufällig eine E3- oder E5-Lizenz haben, können Sie viele dieser Funktionen heute nutzen, um zu verhindern, dass Ihnen das passiert. Als erstes möchte ich über die Implementierung des Manipulationsschutzes sprechen. Der Manipulationsschutz und das Microsoft Defender für Endpunkte ist eine Richtlinie, die Sie aktivieren können, um sicherzustellen, dass ein Bedrohungsakteur oder eine böswillige Person, die auf einem Endpunkt landet, Defender nicht einfach deaktivieren kann. Sie können nicht einfach diese Kontrolle deaktivieren und dann ihre bösartige PowerShell oder was auch immer ausführen. Das macht es für Angreifer wirklich schwierig, voranzukommen, wenn sie das Steuerelement, mit dem sie identifiziert werden, nicht deaktivieren können. Und wenn es ihnen dann gelingt, die erste Kontrolle um Defender auf Airpoint zu umgehen, besteht der zweite Teil darin, die Unterbrechung von Angriffen zu ermöglichen. Bei der Angriffsunterbrechung wird z. B. ein Endpunkt in einem bestimmten Szenario automatisch isoliert. Alles, was mit Ransomware zu tun hat, kann das tun. Um dies zu erreichen, müssen Sie einige spezifische Dinge konfiguriert haben. Zunächst einmal sollten Sie Ihre Gerätegruppen in Defender korrekt einrichten. Das heißt, alle Ihre Geräte sind gekennzeichnet, sie sind kategorisiert, und diese Gruppen sind aktiviert und richtig konfiguriert. Und zweitens müssen Sie die vollständige Automatisierung für diese Gerätegruppen aktivieren. Wenn Sie diese beiden Dinge tun und die Angriffsunterbrechung aktivieren, ist das der zweite Teil, der Ihre Umgebung wirklich abriegelt und sicherstellt, dass sich Angreifer nicht bewegen können, weil sie unterbrochen werden. Und der letzte Punkt ist die Nutzung von Defender for Cloud im Zusammenhang mit App Governance. App Governance sorgt dafür, dass Ihre Identitäten besser geschützt sind. Nur die richtigen Anwendungen können in Ihrer Umgebung verwendet werden. Wir beobachten nämlich, dass Angreifer in dieser Umgebung landen. Sie registrieren eine bösartige Anwendung in Azure. Sie verbreiten diese oder nutzen sie, um Anmeldedaten zu stehlen, und verwenden dann unbemerkt die mit der Anwendung verbundenen Berechtigungen, um sich in Ihrer Umgebung zu bewegen. Und das ist ein ziemlich blinder Fleck, den wir sehen, wo nicht jeder die richtige Überwachung und die richtige Sichtbarkeit aktiviert, um zu erkennen, wenn das passiert. Und wie gesagt, das sind nur drei Kernempfehlungen, die Sie heute umsetzen können, die Sie relativ einfach und ohne große Auswirkungen einschalten können und die Ihnen einen viel sichereren Zustand verschaffen. Und schließlich, wenn Sie die Dinge auf eine ganz andere Ebene heben wollen, empfehle ich Ihnen die Zusammenarbeit mit einem Anbieter für verwaltete Sicherheit, so wie wir es sind, um diese Abdeckung rund um die Uhr zu erhalten. Hier bei Ontinue setzen wir eine Menge KI und Automatisierung ein, um die Erkennung und Reaktion zu beschleunigen. Wir heben die Fähigkeiten von Defender auf ein noch höheres Niveau, um eine umfassende Prävention und Abdeckung zu gewährleisten. Und dann arbeiten wir mit unseren Kunden zusammen, um sicherzustellen, dass diese Kontrollen von Anfang an aktiviert sind. Wenn Sie also eine Investition in Microsoft-Sicherheit tätigen, die E5-Lizenz, helfen wir Ihnen dabei, dass sich diese Investition lohnt. Wir arbeiten also mit Ihnen zusammen und stellen Ihnen einen Cyber-Berater zur Seite, der sicherstellt, dass Sie die richtigen Kontrollen implementieren, um diese Arten von Cyber-Angriffen zu verhindern. Und schließlich arbeiten wir mit Ihnen zusammen, um sicherzustellen, dass ein Szenario wie das, dass alle Ihre Bildschirme gesperrt sind, in Ihrem Unternehmen niemals eintritt. Damit wäre das Thema für heute erledigt. Ich möchte nur noch einmal auf ein paar wichtige Punkte hinweisen, die bei der Nutzung Ihrer Defender-Umgebung zu beachten sind, nämlich die Aktivierung des Manipulationsschutzes, die Einrichtung Ihrer Gerätegruppe für eine vollständige Automatisierung und die Aktivierung der App-Governance, um zu erkennen, ob bösartige Apps installiert sind und auf diese Weise Identitäten gestohlen werden. Schauen wir jetzt in den Chat und sehen wir, ob es Fragen gibt, die nicht beantwortet wurden. Hey Drew, vielen Dank dafür. Es gibt noch keine Fragen aus dem Chat, aber eine Sache, die ich erwähnen möchte, ich glaube, Sie haben das schon ein wenig erwähnt, aber ich denke, es ist es wert, bei Ontinue wiederholt zu werden, unser verwalteter XDR-Service. Wir bieten auch einen zusätzlichen Service für Phishing an. Sie sollten sich einfach bewusst machen, dass der Phishing-Angriffsvektor einer der häufigsten Wege ist, den Ransomware-Angreifer beschreiten, und sicherstellen, dass Sie jede Gelegenheit nutzen, um Ihre Microsoft m sixty five-Lizenzen so zu konfigurieren, dass alle Arten von Phishing-Angriffen vollständig berücksichtigt werden, denn das ist eine großartige Möglichkeit, sich gegen Ransomware-Angriffe zu schützen. Ja, dem stimme ich zu, vor allem, wenn Sie Ihre Sicherheits-Grundkonfigurationen in Office 3.65 haben, die ein guter Anfang sind, aber es gibt noch viel mehr zu konfigurieren, um zu verhindern, dass Phishing-E-Mails überhaupt ankommen. Aber es geht auch um andere, präventivere Aspekte der Dinge. Es geht z. B. um Kleinigkeiten wie die Sicherstellung, dass externe E-Mails mit einem Banner versehen sind, das Ihre Benutzer daran erinnert, dass es sich um eine externe E-Mail handelt. Oder wenn eine E-Mail von jemandem eintrifft, dem Sie nicht oft E-Mails schicken, und der Sie direkt in Ihrem Kunden erwärmt. Es gibt also immer Möglichkeiten, diese kleinen zusätzlichen Kontrollen hinzuzufügen, um das Risiko zu senken und die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern. Und ja, das ist genau das, was wir tagtäglich tun, denn ja, Spear-Phishing und Phishing-E-Mails sind einer der Hauptangriffsvektoren, die Ransomware-Betreiber oder Datenbroker und Erstzugriffs-Broker nutzen, um in Umgebungen einzudringen, in denen noch Anmeldedaten vorhanden sind. Hey, Drew, eine Frage an Sie. Gibt es Ransomware-Angreifer, die sich auf bestimmte Branchen oder auf eine andere Art von Dimension spezialisiert haben, wenn es darum geht, auf wen sie es abgesehen haben, wer ihre Ziele sind oder wie sie ihre Operationen durchführen. Werden sie immer raffinierter oder zielgerichteter, entweder nach Branche oder nach einer anderen Dimension der Zielsetzung? Ich denke, es hängt von der jeweiligen Gruppe ab, über die wir hier sprechen. Einige haben in bestimmten Branchen großen Erfolg und setzen darauf auf. Was wir sehen, sind immer noch eine ganze Reihe von opportunistischen Angriffen. Andere Gruppen wie Scattered Spider führen ausgeklügelte Social-Engineering-Angriffe durch, um über Helpdesk-Systeme und externe Berater in Unternehmen einzudringen. Darauf aufbauend nutzen sie dann Social Engineering, um sich in der Umgebung zu bewegen. Ein Beispiel dafür sind die jüngsten Nachrichten über Jaguar, das von derselben Bedrohungsgruppe kompromittiert wurde, die vor kurzem hier in Großbritannien M und S angegriffen hat. Auch hier ist es sehr wahrscheinlich, dass es sich um einen ausgeklügelten Social-Engineering-Angriff handelt, aber auch hier sind sie einfach sehr opportunistisch, auch wenn in letzter Zeit viele ihrer Angriffe auf Unternehmen im Einzelhandel abzielen. Wir stellen jedoch fest, dass bestimmte Branchen bestimmte Tools zusammenfassen und bestimmte Dienstleister haben, die auf die gleiche Art und Weise angreifbar sind. Zusammenfassend lässt sich also sagen, dass die meisten Gruppen nach wie vor recht opportunistisch vorgehen, aber es kommt wirklich darauf an, auf wen sie es abgesehen haben und worauf sie es abgesehen haben. Vielen Dank. Und noch eine Frage, und zwar zu der Frage, ob man zahlen soll oder nicht. Ich glaube, eines der Probleme bei Ransomware ist diese Idee der doppelten Erpressung. Es kann also sein, dass der Ransomware-Angreifer nach der Zahlung Ihre Anmeldedaten an den nächsthöheren Bieter verkauft, und dann werden Sie sofort wieder angegriffen. Was raten Sie also, wenn Sie den roten Bildschirm mit dem Totenkopf erhalten haben? Wie trifft man die Entscheidung, ob man zahlen soll oder nicht? Und wie verteidigt man sich gegen eine solche Situation der doppelten Erpressung? Ja. Ich denke, mein Rat lautet immer: Nicht zahlen. Ja, ich weiß, die Feinheiten sind viel differenzierter als die Realität, dass wir jetzt jeden Tag Millionen verlieren. Was können wir tun, um das zurückzubekommen? Ich glaube, viele Organisationen sind besser auf diese Art von Szenario vorbereitet. Ich denke, dass immer mehr Unternehmen über eine bessere Ausfallsicherheit, Ausfallsicherheitsplanung und bessere Reaktionspläne für Zwischenfälle verfügen. Und die Art der modernen Cloud-Dienste bedeutet, dass man die Dinge wesentlich schneller wiederherstellen kann, um das Tempo zu erhöhen. Ich glaube also, dass immer mehr Unternehmen nicht zahlen, oder ich sehe das bei anderen Einsätzen zur Reaktion auf Vorfälle, von denen ich weiß. Und das alles hängt mit der Wiederherstellung der Infrastruktur zusammen. Wenn Sie also die Möglichkeit haben, die Infrastruktur wiederherzustellen, dann tun Sie es und zahlen Sie nicht. Aber wenn Sie es müssen, dann ist es sehr wahrscheinlich, dass Sie doppelt erpresst werden. Aber ich glaube, dass sogar das Risiko dafür abnimmt, weil die Art von Daten, die aus Datenbanken gestohlen werden, Firmenunterlagen, Firmeninformationen, persönliche Informationen, wenn sie einmal da sind, sind sie da. Und ich denke, man kann im Nachhinein nicht mehr viel dagegen tun. Es geht also nur um den Wiederaufbau. Hoffentlich bedeutet das, was Sie sehen oder kommentieren, dass die Zahlungen an Ransomware-Gruppen mit der Zeit zurückgehen und die Hartnäckigkeit dieser Bedrohung abnimmt. Drew, ich danke Ihnen vielmals für diese Präsentation. Ich denke, damit sind wir für heute fertig. Ich danke Ihnen allen für Ihre Teilnahme. Und wenn Sie Unterstützung bei der Verwaltung Ihrer Instanz von Microsoft Defender suchen, wenn Sie mehr aus Ihren Microsoft-Sicherheitsinvestitionen herausholen wollen, wenn Sie einen Partner suchen, der Ihnen dabei helfen kann, Ihre Sicherheitslage zu verbessern, Ihre Prävention zu verbessern und Ihnen Zeit zu sparen, und Ihre Fähigkeit, aus Ihren bestehenden Investitionen Nutzen zu ziehen, dann wenden Sie sich bitte an uns unter ontenu dot com. Und ich denke, damit können wir heute alle ein paar Minuten früher gehen lassen, und ich danke Ihnen allen nochmals für Ihr Kommen.

In den letzten Jahren hat sich Ransomware zu einer der größten Bedrohungen für Einzelpersonen und Unternehmen entwickelt. Da Cyber-Banden und Bedrohungsakteure ihre Taktiken weiterentwickeln, war der Schutz sensibler Daten noch nie so wichtig wie heute. Angesichts der rasanten Fortschritte in der digitalen Bedrohungslandschaft ist die Implementierung wirksamer Verteidigungsmechanismen unabdingbar. Im Folgenden erhalten Sie einen umfassenden Überblick über die neuesten Ransomware-Bedrohungen und darüber, wie Dienste wie Microsoft Defender und ein verwalteter XDR-Dienst (MXDR) Ihr Unternehmen schützen können.

Die Entwicklung von Ransomware

Ransomware hat sich seit den Anfängen von CryptoLocker im Jahr 2013 stark gewandelt. Ursprünglich waren die Angriffe opportunistisch und zielten auf einzelne Geräte oder kleine Unternehmen ab. Zu den Opferszenarien gehörten gesperrte Geräte, die Bitcoin-Zahlungen verlangten, um den Zugriff auf wertvolle Dateien wiederzuerlangen.

Heute sind Ransomware-Angriffe organisierter und raffinierter geworden. Cyber-Banden operieren jetzt als strukturierte Teams, die Daten ausbeuten, Zugang über Makler verkaufen und Malware einsetzen, um sich zunächst Zugang zu Systemen zu verschaffen. Seit etwa 2019 ist eine deutliche Verlagerung hin zu groß angelegten Operationen zu beobachten, die auf Unternehmen abzielen und Schwachstellen ausnutzen.

Die sich verändernde Bedrohungslandschaft

Wenn wir auf die letzten Jahre zurückblicken, sehen wir eine Landschaft, in der Cyber-Kriegsführung mit geopolitischen Spannungen verwoben ist. Da zwischen den Weltmächten Anschuldigungen wegen Cyberangriffen im Umlauf sind, wird ein entschlossenes Handeln oft durch die Komplexität der internationalen Diplomatie behindert. Die anhaltende Verweigerung von Seiten der beteiligten Parteien erschwert die Lösung von Cyber-Bedrohungen durch Sanktionen oder staatliches Eingreifen zusätzlich.

Trotz der verstärkten Bemühungen, gegen Cyberkriminalität vorzugehen, haben Ransomware-Betreiber weiterhin Erfolg und profitieren von lukrativen Erpressungsmethoden. Zwischen 2020 und heute sind die jährlichen Einnahmen aus diesen bösartigen Aktivitäten von $350 Mio. auf $850 Mio. in die Höhe geschnellt, was die anhaltende Rentabilität von Ransomware verdeutlicht.

Übliche Angriffsvektoren

Ransomware-Banden wenden verschiedene Taktiken an, um sich Zugang zu Systemen zu verschaffen. Gestohlene Anmeldedaten, Phishing-E-Mails und das Sondieren exponierter Infrastrukturen gehören zu den am häufigsten verwendeten Methoden. Während Unternehmen ihre Abwehrmaßnahmen verstärken, passen sich die bösartigen Akteure an und verlegen sich oft darauf, in Umgebungen Fuß zu fassen, um weiterhin bösartige Aktivitäten durchzuführen.

KI hat auch in den Bereich der Ransomware Einzug gehalten. Zwar wird viel über die potenziellen Auswirkungen von KI diskutiert, doch muss man sich darüber im Klaren sein, dass die Entwicklung noch in den Kinderschuhen steckt und KI-gesteuerte Bedrohungen noch kein Hauptproblem darstellen. Nichtsdestotrotz sind Wachsamkeit und proaktive Maßnahmen weiterhin unerlässlich.

Wichtigste Verteidigungsmaßnahmen

Die Nutzung der Leistungsfähigkeit von Microsoft Defender und MXDR kann Ihren Schutz vor Ransomware erheblich verstärken:

Manipulationsschutz: Diese Funktion in Microsoft Defender for Endpoint verhindert die unbefugte Deaktivierung von Sicherheitskontrollen und vereitelt so böswillige Versuche, Schutzmaßnahmen zu deaktivieren.
Angriffsunterbrechung: Durch die Konfiguration von Gerätegruppen und die Aktivierung der vollständigen Automatisierung kann Defender angegriffene Endpunkte isolieren, seitliche Bewegungen verhindern und Bedrohungen eindämmen.
App Governance: Überwachen und begrenzen Sie die Anwendungsberechtigungen, um die Bereitstellung schädlicher Anwendungen zu verhindern, die Anmeldedaten gefährden könnten.

Beobachtungen der Industrie und strategische Antworten

Während einige Ransomware-Gruppen branchenunabhängig zu sein scheinen, konzentrieren sich andere auf die Schwachstellen der Branche. Opportunistische Angriffe sind weiterhin weit verbreitet, wobei Social-Engineering-Taktiken immer häufiger werden.

Wenn Unternehmen mit Ransomware konfrontiert werden, stehen sie vor der Entscheidung zu zahlen oder nicht zu zahlen. Die ethischen und strategischen Leitlinien raten in der Regel von einer Zahlung ab und betonen Widerstandsfähigkeitsstrategien, robuste Reaktionspläne auf Vorfälle und die Nutzung von Cloud-Diensten für eine schnelle Wiederherstellung.

Künftige Bedrohungen bewältigen

Die Bekämpfung von Ransomware ist ein ständiger Kampf, der ständige Wachsamkeit und die Anpassung an neue Bedrohungsmodelle erfordert. Durch den Einsatz bewährter Sicherheitstechnologien und die Zusammenarbeit mit Anbietern von verwalteten Sicherheitslösungen können Unternehmen ihre Verteidigungsposition verbessern und Ausfallzeiten minimieren.

Letztlich kommt es darauf an, informiert und proaktiv zu sein. Investitionen in Sicherheitstools und -dienste wie Microsoft Defender und MXDR können, wenn sie effektiv eingesetzt werden, die kritischen Ressourcen Ihres Unternehmens gegen die sich ständig weiterentwickelnde Bedrohung durch Ransomware schützen.

Diejenigen, die Unterstützung bei der Verwaltung von Microsoft Defender oder der Verbesserung ihrer Sicherheitsstrategien suchen, können durch die Zusammenarbeit mit einem sachkundigen Anbieter ihre Sicherheit und ihren Seelenfrieden verbessern.