< Zurück
Blog

Ransomware verstehen: Ein tiefer Einblick in die Bedrohungen und Trends  

Ein Vergrößerungsglas überlagert einen Bildschirm mit Binärcode, der das Wort 'RANSOMWARE' in Orange vor grünem Hintergrund hervorhebt.

Ransomware ist nach wie vor eine der am weitesten verbreiteten und zerstörerischsten Cyber-Bedrohungen und stellt den häufigsten Modus Operandi für Bedrohungsakteure dar. Angesichts neuer Angriffsmethoden und immer raffinierterer Ransomware-Gruppen ist es wichtig, über die Funktionsweise dieser Bedrohungen und die am meisten gefährdeten Branchen informiert zu bleiben. Unser Advanced Threat Operations-Team hat die ersten Zugriffsmethoden von Ransomware-Bedrohungsakteuren untersucht, die aktivsten Ransomware-Gruppen im Jahr 2023 hervorgehoben und die Branchen identifiziert, die am häufigsten betroffen sind. 

Erstzugriffsmethoden 

Ransomware-Angriffe beginnen oft damit, dass man sich zunächst Zugang zum Netzwerk des Opfers verschafft. Hier sind die wichtigsten Methoden, die von Bedrohungsakteuren verwendet werden: 

Phishing-E-Mails 

Eine der häufigsten Methoden ist Phishing. Bedrohungsakteure setzen in der Regel Phishing-E-Mails ein, in die Remote-Access-Trojaner (RATs) eingebettet sind, um sich zunächst auf Benutzerendgeräten festzusetzen. Von dieser Basis aus können sie sich quer durch die IT-Umgebung bewegen und ihren Zugang erweitern. Darüber hinaus verwenden sie häufig Credential Harvester, um Benutzerkonten zu kompromittieren und diese Anmeldedaten für den ersten Netzwerkzugriff zu nutzen. 

Ausnutzung von RDP-Schwachstellen 

Schwachstellen im Remote-Desktop-Protokoll (RDP) sind ein weiteres wichtiges Einfallstor. RDP ermöglicht den Fernzugriff auf Systeme, und Bedrohungsakteure nutzen Schwachstellen in diesem Protokoll aus, um unbefugten Zugriff auf Netzwerke zu erhalten. Indem sie diese Schwachstellen identifizieren und ausnutzen, können sie ein System infiltrieren, ohne dass der Benutzer eingreifen muss. Ontinue hat eine erhebliche Zunahme von Bedrohungsakteuren beobachtet, die Benutzer durch Social Engineering dazu bringen, Remote-Desktop-Sitzungen auf ihren Endgeräten mit legitimer Software wie AnyDesk und TeamViewer einzurichten. Dabei geben sich die Bedrohungsakteure in der Regel als Helpdesk-Mitarbeiter aus und kontaktieren die Benutzer per Telefonanruf wegen eines fiktiven Problems mit ihrem Gerät. 

Ausnutzung von Softwareschwachstellen 

Software-Schwachstellen stellen eine weitere Möglichkeit für Bedrohungsakteure dar. Sicherheitslücken in weit verbreiteter Software, wie z. B. die Citrix Bleed- oder WinRAR-Schwachstellen, bieten einen Weg für unbefugten Zugriff. Um diese Risiken zu minimieren, ist es wichtig, die Software auf dem neuesten Stand zu halten. 

Sozialtechnik 

Social Engineering ist nach wie vor ein mächtiges Werkzeug im Arsenal von Cyberkriminellen. Techniken wie Identitätswechsel und Manipulation verleiten Personen dazu, sensible Informationen oder Systemzugriff zu gewähren. Diese Methoden beruhen eher auf der menschlichen Psychologie als auf technischen Schwachstellen und sind daher besonders schwer abzuwehren. 

Die wichtigsten Zielbranchen 

Die Ransomware-Bedrohungslandschaft zeigte eine klare Präferenz für bestimmte Branchen: 

Informationstechnologie 

Der Informationstechnologiesektor ist aufgrund seiner großen Angriffsfläche und der kritischen Natur seiner Operationen ein Hauptziel. Fast die Hälfte der Ransomware-Angriffe im Jahr 2023 zielten auf diesen Sektor ab, um dessen finanzielle Ressourcen und operative Bedeutung auszunutzen. 

Bauwesen 

Auch in der Baubranche gab es eine hohe Zahl von Ransomware-Angriffen. Ähnlich wie in der IT-Branche verfügen Bauunternehmen oft über große Netzwerke und wertvolle Daten, was sie zu attraktiven Zielen für Ransomware-Gruppen macht. Die finanziellen Auswirkungen und die durch diese Angriffe verursachten Betriebsunterbrechungen können verheerend sein. 

Ransomware bleibt auch im Jahr 2024 eine erhebliche Bedrohung, wobei fortschrittliche Techniken und hartnäckige Bedrohungsakteure wie LockBit und 8Base weiterhin erfolgreiche Angriffe durchführen. Branchen wie die Informationstechnologie und das Bauwesen sind aufgrund ihrer großen Angriffsflächen und wertvollen Daten besonders gefährdet. Um sich vor Ransomware zu schützen, ist es wichtig, die Methoden zu verstehen, die für den Erstzugriff verwendet werden, und vor diesen Bedrohungen auf der Hut zu sein. 

Unternehmen und Einzelpersonen können sich besser gegen die sich ständig weiterentwickelnde Ransomware-Bedrohungslandschaft schützen, wenn sie informiert bleiben und proaktiv handeln. 

Lesen Sie unseren vollständigen Bericht zum Jahresende 2023 Bericht zur Bedrohungsanalyse von unserem Advanced Threat Operations Team.  

 
Unser Threat Intelligence Report 1H 2024 wird in Kürze erscheinen!  

Teilen

Artikel von

William Bailey

Leitender SOC-Analyst

Will ist ein leitender SOC-Analyst bei Ontinue.

Schlüsselwörter

Verwandte Artikel

Ein digitaler Hintergrund mit abstrakten Schaltkreismustern in Violett- und Blautönen, auf dem der Titel 'Ontinue 2023 Threat Intelligence Report' deutlich sichtbar ist.
E-Book
Bericht zur Bedrohungslage 2023

Weiterlesen >
Eine Person hält ein Smartphone in der Hand, während sie auf einem Bildschirm im Hintergrund Programmiercode sieht. Der Code enthält Fehlermeldungen und Programmiersyntax und schafft eine technisch orientierte Atmosphäre, die für digitale Sicherheit und Fehlerbehebung relevant ist, einschließlich PlugX Utilising Steam.
Blog
Neue PlugX-Kampagnen, die Steam nutzen

Weiterlesen >
Ein Smartphone mit einem gelben QR-Code auf dem Bildschirm vor einem grünen Hintergrund mit binären Codemustern. Das Bild suggeriert die Themen Technologie und Sicherheit und bezieht sich auf die Botschaft 'QR-Phishing ist auf dem Vormarsch'.'
Blog
Das Aufkommen von QR-Phishing

Weiterlesen >