Ransomware: Hacker attackieren verstärkt Lieferketten

Zudem stellen Ransomware-Gruppen ihre Angriffsmethoden immer häufiger Dritten als Service zur Verfügung.  

Hackerangriffe auf kritische Infrastrukturen haben 2021 deutlich zugenommen. (Foto: Nmedia / Fotolia)
Hackerangriffe auf kritische Infrastrukturen haben 2021 deutlich zugenommen. (Foto: Nmedia / Fotolia)
Therese Meitinger

Der US-amerikanische Software-Anbieter Ivanti hat am 8. Februar die Ergebnisse seines „Ransomware Spotlight Year End Report“ vorgestellt, der gemeinsam mit Cyber Security Works, einer CNA (Certify Numbering Authority), und Cyware durchgeführt wurde. Der Bericht identifiziert 32 neue Ransomware-Familien im Jahr 2021. Damit steigt deren Gesamtzahl auf 157, ein Anstieg um insgesamt 26 Prozent im Vergleich zum Vorjahr. Der Report zeige, dass diese Ransomware-Gruppen verstärkt auf ungepatchte Schwachstellen abzielten, heißt es in einer Pressemitteilung. Zudem setzten sie sogenannte Zero-Day-Schwachstellen extrem schnell als Waffe ein, um schwerwiegende Angriffe zu starten. Parallel erweitern sie Ivanti zufolge ihre Angriffsvektoren und finden immer neue Wege, um Unternehmensnetzwerke zu kompromittieren und Angriffe mit großer Tragweite auszulösen.

Ransomware-Gruppen nehmen Ivanti zufolge zunehmend die Lieferketten ins Visier. Eine einzige Kompromittierung innerhalb einer Lieferkette könne Bedrohungsakteuren mehrere Wege eröffnen, um die komplette System-Distribution in Hunderten von Opfernetzwerken zu kapern, heißt es vonseiten des Anbieters. Im vergangenen Jahr hätten Bedrohungsakteure dies „erfolgreich“ über Schwachstellen in Anwendungen von Drittanbietern, herstellerspezifischen Produkten und Open-Source-Bibliotheken gezeigt. Die „REvil“-Gruppe hatte es beispielsweise auf die Sicherheitslücke „CVE-2021-30116“ im „Kaseya VSA“-Remote-Management-Service abgesehen. Dazu nutzte sie laut dem US-Unternehmen ein bösartiges Update-Paket, das alle Unternehmen kompromittierte, die On-premise- und Cloudversionen der VSA-Plattform verwendeten.

Sicherheitslücken werden im Dark Web verbreitet

Ungepatchte Sicherheitslücken sind Ivanti zufolge nach wie vor die wichtigsten Angriffsvektoren von Ransomware-Gruppen. Bei der Analyse wurden im vergangenen Jahr 65 neue mit Ransomware assoziierte Schwachstellen aufgedeckt. Das entspricht einem Anstieg von 29 Prozent im Vergleich zum Vorjahr. Damit steigt der Erhebung zufolge die Gesamtzahl, der mit Ransomware in Verbindung stehenden Schwachstellen auf 288. Alarmierend sei, dass über ein Drittel (37 Prozent) dieser neu hinzugekommenen Schwachstellen Trendthemen im Dark Web gewesen seien und wiederholt ausgenutzt worden seien, so der Software-Anbieter. Parallel dazu wurden 56 Prozent der 223 älteren Schwachstellen, die vor 2021 identifiziert wurden, weiterhin aktiv ausgenutzt. Dies zeige, dass Unternehmen die Schwachstellen, auf die Ransomware-Gruppen abzielen, priorisieren und patchen müssten – unabhängig davon, ob es sich um neu identifizierte oder ältere Schwachstellen handele, heißt es vonseiten Ivanti.

Ransomware-Gruppen finden und nutzen Schwachstellen dem Report zufolge bereits aus, noch bevor diese zur „National Vulnerability Database“ (NVD) des Referenziersystems Common Vulnerabilities and Exposures (CVE) hinzugefügt und Patches bereit stehen. Die Schwachstellen von „QNAP“ (CVE-2021-28799), „Sonic Wall“ (CVE-2021-20016), „Kaseya“ (CVE-2021-30116) und zuletzt „Apache Log4j“ (CVE-2021-44228) wurden für Angriffe eingesetzt, noch bevor sie in die National Vulnerability Database (NVD) aufgenommen wurden. Dieser gefährliche Trend unterstreiche, dass die Hersteller bei der Offenlegung von Schwachstellen und der Veröffentlichung von Patches schnell reagieren müssten, sagt Ivanti. Es zeige auch, dass Unternehmen sich nicht allein auf die NVD verlassen könnten. Wenn sie die zu patchenden Schwachstellen nach Priorität ordneten, sollten sie daher auch ein Auge auf Schwachstellentrends, Beispiele für ausgenutzte Schwachstellen, Herstellerhinweise und Warnungen von Sicherheitsbehörden werfen.

Ransomware-Gruppen stellen ihre Angriffsmethoden laut dem Report zunehmend als Service zur Verfügung. Ransomware-as-a-Service ist demnach ein Geschäftsmodell, bei dem Ransomware-Entwickler ihre Dienste, Varianten, Kits oder ihren Code anderen Hackern gegen Bezahlung anbieten. Exploit-as-a-Service-Lösungen ermöglichen es Bedrohungsakteuren, Zero-Day-Exploits von Entwicklern zu mieten. Darüber hinaus ermöglichen Dropper-as-a-Service Anfängern, Malware über Programme zu verbreiten. Und Trojaner-as-a-Service, auch Malware-as-a-Service genannt, ermöglicht es jedem, der über eine Internetverbindung verfügt, maßgeschneiderte Malware zu beziehen und in der Cloud zu verteilen, ohne dass eine Installation erforderlich ist.