-
Ransomware 2.0: Attivo Networks warnt vor schnellen Fortschritten
Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher, warnen die Sicherheitsexperten von Attivo Networks.
Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschrittliche Methoden eingesetzt oder die Aktivitäten von einem menschlichen Kontrolleur gelenkt. Bei diesen Attacken verbringen die Angreifer deutlich mehr Zeit mit der Erkundung, um geschäftskritische Ressourcen für die Verschlüsselung zu identifizieren. Da diese Ressourcen – etwa das Active Directory – für die Business Continuity und den täglichen Betrieb unerlässlich sind, sind Unternehmen eher bereit, für deren Wiederherstellung zu zahlen als bei Endpunktsystemen, die relativ einfach wiederherzustellen sind.
„Angreifer, die die gesamte Active Directory-Serverinfrastruktur verschlüsseln, können ein viel höheres Lösegeld verlangen, und das Unternehmen muss zahlen oder es verliert Geld, Zeit und Ressourcen bei dem Versuch, den Betrieb wiederherzustellen“ kommentiert Jens Wollstädter, Regional Manager DACH von Attivo Networks. „Darüber hinaus exfiltrieren diese Angreifer oft Daten und drohen mit deren Veröffentlichung – oft in Kombination mit einer zweiten Lösegeldforderung, um diese Veröffentlichung zu verhindern.“
Ransomware 2.0 kommt in vielen Varianten, sechs davon haben sich im Laufe der vergangenen Monate besonders hervorgetan:
– Conti
– Hive
– DarkSide
– Lockbit 2.0
– BlackMatter
– IcedIDConti ist eine von Menschen betriebene Ransomware-as-a-Service (RaaS), die bei Angreifern sehr beliebt ist. Bis zum dritten Quartal dieses Jahres lag Conti beim Marktanteil an erster Stelle. Im Herbst wurde die Bedrohung so groß, dass in den USA das FBI, die NSA und die CISA eine gemeinsame Ransomware-Beratung veröffentlichten, um Unternehmen dabei zu helfen, ihr Risiko einer Kompromittierung zu verringern. Conti arbeitet mit einer doppelten Erpressungstechnik, bei der sich der Schädling seitlich im Netzwerk ausbreitet, bis er die Anmeldedaten von Domain-Administratoren erlangen kann.
Hive ist ein weiteres Beispiel für eine von Menschen betriebene Ransomware mit doppelter Erpressung. Sie ist relativ neu auf der Bildfläche und wurde erstmals im Juni 2021 entdeckt. Aber sie hat sich schnell entwickelt: Nur zwei Monate später, im August, wurden 30 Opfer gemeldet. Die rasche Verbreitung dieser Ransomware führte zu einer weiteren FBI-Warnung.
DarkSide, die Gruppe hinter dem diesjährigen Colonial-Pipeline-Angriff, ist eine osteuropäische Hackergruppe, die hauptsächlich mit Ransomware und Erpressung arbeitet. Der Angriff auf die Colonial Pipeline war für viele kritische Infrastrukturen ein Alarmsignal. Er zwang das Unternehmen, den Betrieb für mehrere Tage einzustellen, und führte zum Verlust von mehr als 100 GB an Unternehmensdaten. DarkSide nutzt häufig den Diebstahl von Anmeldeinformationen, den Zugriff auf Active Directory (AD) und die Ausweitung von Berechtigungen, um seine Ziele zu erreichen.
LockBit 2.0 ist ein weiteres Beispiel für RaaS mit doppelter Erpressung und nutzt Active Directory-Gruppenrichtlinien, um die Netzwerkverschlüsselung zu automatisieren. Die extrem schnelle und effiziente Verschlüsselung ist eines der Markenzeichen von LockBit 2.0, das derzeit auf Platz vier der Marktanteile rangiert. Der bekannteste LockBit 2.0-Angriff war der Accenture-Hack, bei dem rund 2.500 Computer betroffen waren. Die Täter forderten 50 Millionen Dollar für die Rückgabe der gestohlenen Informationen.
BlackMatter ist eine weitere RaaS-Variante und vereint Elemente von DarkSide, REvil und LockBit zu einer leistungsfähigen Kreation. BlackMatter hat es im Allgemeinen auf kritische Infrastrukturen abgesehen, geht aber über den Transport- und Energiesektor hinaus und greift auch den Lebensmittel- und Landwirtschaftssektor an. Zu seinen Taktiken gehören das Ausspähen von Anmeldeinformationen und das Angreifen von Active Directory.
IcedID ist ein modularer Banking-Trojaner, der es auf die Finanzdaten der Benutzer abgesehen hat und gleichzeitig als Mittel zum Herunterladen anderer bösartiger Programme dient, darunter beliebte Hacker-Tools wie CobaltStrike. Zudem ist IcedID in mehreren aktuellen Ransomware-Angriffen aufgetaucht. IcedID wird allgemein als geistiger Nachfolger von Emotet angesehen, einem anderen weit verbreiteten Trojaner, der über Spam-E-Mails verbreitet wird.
Ransomware 2.0-Angriffe können laut Attivo Networks recht gut analysiert werden, indem man ihre Techniken auf dem MITRE ATT&CK Framework abbildet, um zu verstehen, wie sie funktionieren. Anschließend findet man in MITRE Shield dann die entsprechenden Abwehrtechniken, um sie zu bekämpfen.
MITRE ATT&CK ist ein Framework für die Beschreibung von Aktionen eines Angreifers und beschreibt deren Taktiken, Techniken und Prozeduren (TTPs). Als Ergänzung zu ATT&CK ist MITRE Shield eine kostenlose, öffentlich zugängliche Wissensdatenbank, die Daten aus aktiven Verteidigungsmaßnahmen erfasst und organisiert.
Verantwortlicher für diese Pressemitteilung:
Herr Attivo Networks
Fremont Boulevard 46601
94538 Fremont
USAfon ..: +49 89 800 77-0
web ..: https://attivonetworks.com
email : attivo@prolog-pr.comAttivo Networks ist ein führender Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen erkennen Angriffe, die auf lateralen Bewegungen basieren. Um unautorisierte Aktivitäten zu verhindern und aufzudecken, die von Insidern und externen Bedrohungen ausgehen, bieten sie eine aktive Verteidigung. Die langjährig kundenerprobte Attivo ThreatDefend-Plattform ist eine skalierbare Lösung, die Angreifer abfängt und zur Reduzierung der Angriffsfläche innerhalb von Anwendernetzwerken, in Rechenzentren, Clouds, an Remote-Arbeitsplätzen und speziellen Angriffsvektoren beiträgt. Mit innovativer Technologie zur Unterbindung und Fehlleitung lateraler Angriffsaktivitäten arbeitet die Lösung am Endpunkt, im Active Directory und im gesamten Netzwerk. Forensik, automatisierte Angriffsanalysen und eine native Integration von Drittanbieter-Lösungen optimieren die Reaktion auf Vorfälle.
Attivo Networks hat bisher über 130 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten.
Pressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 Münchenfon ..: +49 89 800 77-0
web ..: https://www.prolog-pr.com
email : achim.heinze@prolog-pr.comDisclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.
Konzert- und Kunst-Versteigerung bei NDR 1 Radio MV und „Nordmagazin“ zugunsten von Kindern in Corona-Zeiten Clever Tanken bietet über Kooperation mit LOGPAY ab sofort Bezahlung an der Zapfsäule per App an
Ransomware 2.0: Attivo Networks warnt vor schnellen Fortschritten
auf Wo Was suchen
Wo Was – neu veröffentlicht
- Etruscus bringt sein Porphyr-Ziel Zappa voran und entwickelt ein kilometergroßes REE-Prospektionsgebiet bei Rock & Roll, British Columbia
- Endeavour Silver Corp. kündigt 73 Millionen US$ Bought-Deal Finanzierung an
- O3 Mining beginnt mit Bohrungen auf Globexs Royalty-Claims Florence und Cameron
- Bolt Metals will sich angesichts der erneuten Konzentration auf einheimische Ressourcen als führendes Unternehmen in der Mineralexploration in den USA positionieren
- BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025
- Condor kündigt eine 10-Millionen-Dollar hohe Finanzierung an, an der sich Großaktionär Eurasia Resource Value S.E. und andere strategische Investoren beteiligen
- Sichtbarkeit, Ranking und Zugriffe in Handwerksbetrieben abhängig von Internetpräsenz
- PVC-Planen im Garten: Schutz, Ordnung und Vielseitigkeit
- American Aires präsentiert beim „Next Frontier of UFC Training and Performance“ Symposium des UFC Performance Instituts seine fortschrittliche Technologie
- Suchmaschinenoptimierter Content ist wichtig für Akquisition von Handwerksunternehmen
Content veröffentlichen auf WO WAS
Dieser Content wurde veröffentlicht von Connektar
Wo Was – Archiv
Wo Was – Informationen und News
Comments are currently closed.