Stammt alle Ransomware von russischen Cyberkriminellen?

Bei Datarecovery.com arbeiten wir häufig mit Unternehmen, Gesundheitsorganisationen und anderen Unternehmen zusammen, die Opfer von Ransomware geworden sind. Viele dieser Fälle sind wiederherstellbar – während viele der bekanntesten Ransomware-Varianten gut konzipiert sind, weisen einige Schwachstellen im Design auf, die ausgenutzt werden können, um Daten in ihren ursprünglichen Zustand zurückzusetzen, ohne ein Lösegeld zu zahlen.

Die jüngste Welle von Ransomware-Varianten, die Schlagzeilen machen, ist jedoch außergewöhnlich robust. In vielen Fällen bleibt den Opfern nichts anderes übrig, als das Lösegeld zu zahlen. Das Knacken der Verschlüsselung kann Monate – oder in einigen Fällen Hunderte von Jahren – dauern, und per Definition können unternehmenskritische Systeme nicht für längere Zeit offline bleiben.

Zeitungen zitieren oft die russischen Ursprünge großer Ransomware-Angriffe, was zu dem Missverständnis geführt hat, dass alle Ransomware von in Russland ansässigen cyberkriminellen Gruppen stammt. Dies ist nicht der Fall; Ransomware kann (und kommt) von überall her, aber die erfolgreichsten Angreifer kommen oft aus russischsprachigen Ländern.

Beweise für russischsprachige Ursprünge bei jüngsten Cyberangriffen

Im Februar 2017 schätzte das Sicherheitsunternehmen Kaspersky, dass 75 Prozent der Ransomware aus russischsprachigen Quellen stammen. Das bedeutet jedoch nicht unbedingt, dass alle Angreifer Russisch sprechen: Die Angreifer, die die Ransomware erstellen, sind oft getrennt von den Personen, die den Angriff ausführen. Diese zweite Gruppe agiert als „Affiliates“, verteilt Ransomware und sammelt das Lösegeld. Es gibt nicht genug harte Daten, um zu dem Schluss zu kommen, dass die tatsächlichen Programmierer eher russischsprachig sind als beispielsweise chinesischsprachig.

Abgesehen davon wurden viele der bedeutendsten Ransomware-Angriffe auf russischsprachige Personen zurückgeführt (wir werden hier darauf hinweisen, dass wir den Begriff „russischsprachige“ und nicht „Russland“ verwenden, da die Bestimmung der Sprache viel einfacher ist als die Bestätigung der Nationalität – und Es gibt derzeit keine Beweise dafür, dass die Regierung irgendeines Landes aktiv an der Verbreitung von Ransomware beteiligt ist, mit der bemerkenswerten Ausnahme der militärischen Hackergruppen Nordkoreas ).

Einige aktuelle Beispiele für Ransomware-Angriffe mit russischsprachigem Ursprung:

• Am 7. Juli 2021 identifizierte ein Bericht von Trustwave SpiderLabs einen Ransomware-Angriff des russischsprachigen Hackers REvil, der geschrieben wurde, um aktiv Systeme mit Standardspracheinstellungen aus der ehemaligen UdSSR-Region zu vermeiden.
• DarkSide, die russischsprachige Gruppe, die im Mai die Colonial Pipeline angriff, verwendete Ransomware, die geschrieben wurde, um Computer in Russland und ehemaligen sowjetischen Satellitenländern zu umgehen.
• Am 14. Mai 2021 erlitt das irische Gesundheitswesen einen erheblichen Ransomware-Angriff, der Wizard Spider zugeschrieben wird, einer cyberkriminellen Gruppe, von der angenommen wird, dass sie ihren Sitz in St. Petersburg, Russland, hat.

Die meisten Cyberangriffe machen keine Schlagzeilen – jeder der oben aufgeführten Ransomware-Angriffe fällt in die Kategorie „Big Game Hunter“. Diese Angriffe können bemerkenswert raffiniert sein. In einigen Fällen sitzt die Malware monatelang auf einem Server, um zu verhindern, dass sich das Ziel von verwendbaren Backups erholt. Kleinere Ransomware-Angriffe verwenden eher eine Brute-Force-Methode, die auf Hunderte potenzieller Opfer abzielt. Diese Arten von Angriffen sind mit größerer Wahrscheinlichkeit wiederherstellbar.

Verhindern einer Ransomware-Infektion (und Wiederherstellen von Ransomware)

Wir können nicht darüber spekulieren, warum viele größere Angriffe aus russischsprachigen Ländern kommen, aber einige Nachrichtenagenturen glauben, dass Russlands laxe Durchsetzung der Cybercrime-Gesetze die Praxis quasi legal gemacht hat. Es ist auch möglich, dass einige Malware-Gruppen bekannte russische Gruppen imitieren, um ihre Identität effektiver zu verbergen.

Unabhängig vom Ursprung kann ein Ransomware-Angriff für ein Unternehmen lähmend sein. Während jedes Unternehmen ein robustes Programm zur Verhinderung von Infektionen einführen sollte, hier einige schnelle Tipps zur Begrenzung von Schwachstellen:

• Beschränken Sie den Peripheriezugriff auf alle Sicherungssysteme. Dazu gehören optische Medien (CDs/DVDs), externe Festplatten und Flash-Laufwerke. Erwägen Sie die Installation von USB-Sperren, um den unbefugten Zugriff auf Peripheriegeräte zu verhindern.
• Bewahren Sie ein Air-Gap-Backup wichtiger Daten auf. Alle geschäftskritischen Daten sollten dupliziert und außerhalb des Netzwerks gespeichert werden. Bewahren Sie geschäftskritische Backups nach Möglichkeit extern auf.
• Mitarbeiter schulen. Viele Ransomware-Angriffe erfolgen über E-Mail. Richten Sie strenge Protokolle ein, um zu verhindern, dass Mitarbeiter kompromittierte E-Mails (und Anhänge) öffnen.
• Isolieren Sie Systeme wo immer möglich. Die Beschränkung des Zugriffs auf wichtige IT-Infrastruktur ist eine der effektivsten Möglichkeiten, einen erfolgreichen Angriff zu verhindern.
• Backups regelmäßig prüfen. Haben Sie einen Disaster-Recovery-Plan – führen Sie Simulationsszenarien durch und bestimmen Sie, ob Ihre aktuellen Praktiken robust genug für eine echte Infektion sind.

Schließlich, wenn ein Cyberangriff auftritt, geraten Sie nicht in Panik. Schalten Sie alle betroffenen Systeme sofort ab. Versuchen Sie nicht, aus Backups wiederherzustellen, wenn die Möglichkeit besteht, dass die Backups dabei infiziert werden könnten.

Am sichersten ist es, sich an eine erfahrene Ransomware-Wiederherstellungsfirma zu wenden. Für eine kostenlose Beratung rufen Sie Datarecovery.com unter 1-800-237-4200 an und fragen Sie nach einem Gespräch mit einem Malware-Experten.