WatchGuard Blog

Angriffe auf die Datenwolke: Ransomcloud

Via Pulse wurden letztes Jahr über 300 Tech-Entscheider zum Thema Ransomware befragt. Die Antworten fielen besorgniserregend aus: Fast 3 von 4 Unternehmen (71 Prozent) haben bereits einen Ransomware-Vorfall in den eigenen Reihen erlebt und bei mindestens 12 Prozent dieser Vorfälle kam es auch zu Zahlungen. Dies zeigt, dass sich Ransomware-Angriffe weiterhin lohnen. Cybersicherheitsmaßnahmen von Unternehmen werden kontinuierlich auf die Probe gestellt. Wie genau sich die jeweilige IT-Infrastruktur auf Unternehmensseite gestaltet, spielt dabei nahezu keine Rolle mehr. Für jedes Konzept gibt es ein passendes Angriffsszenario.

Ein Blick auf die Vorfälle der letzten Jahre zeigt, dass die Verschlüsselung von Geräten mittels Ransomware in Unternehmen, öffentlichen Verwaltungen, Schulen, Krankenhäusern und sogar kritischen Infrastrukturen wie der Colonial Pipeline vor allem vor Ort – also on premise – erfolgte. Doch inzwischen haben es Cyberkriminelle auch immer häufiger auf Daten und Anwendungen abgesehen, die Unternehmen aus der Cloud beziehen oder darin abspeichern. Diese Angriffe werden als „Ransomcloud“ bezeichnet.

Bei Ransomcloud blockieren Cyberkriminelle cloudbasierte Daten oder Anwendungen, auf die Unternehmen erst nach Zahlung des Lösegelds wieder zugreifen können. Hinsichtlich der genutzten Techniken und Angriffsvektoren gestaltet sich das Vorgehen immer fortschrittlicher:

  • Entsprechende Malware ist speziell für den Einsatz in der Cloud entwickelt, der Reifegrad wird immer höher. Letztes Jahr wurde im US-Blog von WatchGuard beschrieben, wie die russische APT-28-Gruppe die Kubernetes-Cloud-Container-Plattform genutzt hat, um in Regierungseinrichtungen und Unternehmensnetzwerke einzudringen. Aber auch Botnets, Scripting-Angriffe und SQL-Code-Injektionen sind beliebte Mittel zum Zweck auf Seiten der Cyberkriminellen.
  • Gleichzeitig kommen mit Blick auf die Cloud auch die traditionellen Angriffstechniken zum Einsatz, die sich bereits bei Attacken auf lokale Systeme bewährt haben. Durch phishingbasiertes Social Engineering lassen sich genauso gut Zugangsdaten für Cloud-Dienste abgreifen. Und auch im Dark Web finden sich nicht nur gestohlene Login-Informationen für On-premise-Ressourcen. Im Idealfall gilt sogar ein Passwort für unterschiedlichste Anwendungen – egal ob lokal oder Cloud. Der Trend zum Homeoffice kommt den Hackern dabei klar zugute: Computer, die sich außerhalb des Büros befinden, sind in der Regel anfälliger und stellen einen leichteren Zugangsweg zur Unternehmens-Cloud dar.

Um Schäden durch solche Vorfälle zu vermeiden, sollten neben den lokal gespeicherten Daten auch die Ressourcen in der Cloud geschützt werden. Hierbei gelten grundsätzlich die gleichen Empfehlungen (beispielsweise vom Institute of Standards and Technology (NIST)) wie für Ransomware im Allgemeinen – eben nur angepasst an die Spezifika von Cloud-Strukturen oder hybriden Architekturen. Es muss berücksichtigt werden, dass Daten nicht mehr vollständig auf den Servern eines Unternehmens gehostet werden. Die Verschlüsselung von Dateien über HTTPS-Verbindungen und ständig aktualisierte Backups zur Wiederherstellung im Falle eines Vorfalls gewinnen daher entscheidend an Bedeutung. Hinsichtlich letzterem: Konkret empfohlen werden zwei Kopien auf unterschiedlichen Speichertypen. Idealerweise befindet sich ein Backup offline und nicht in der Cloud.

All diese Maßnahmen greifen jedoch zu kurz, wenn die grundsätzlichen Weichen nicht gestellt sind. Denn erst, wenn Unternehmen mithilfe der richtigen Technologien in der Lage sind, die bestehende Sicherheitssphäre auch auf Cloud-Strukturen auszudehnen, ist eine effektive Gefahrenabwehr möglich. Vollständige Transparenz und Einblicke in alle Datensätze sind dabei die eine Seite der Medaille. Darüber hinaus geht es aber nicht zuletzt um weitreichende EPDR-Konzepte (Endpoint Protection, Detection and Response), um Malware und verdächtige Aktivitäten netzwerkübergreifend aufzudecken und auch alle Daten, Anwendungen und Dienste aus der Cloud wirksam vor Bedrohungen zu schützen.

Teilen Sie das: