Die weltweite VMWare-Attacke zeigt, dass Cyberkriminelle immer professioneller vorgehen und immer komplexere Methoden anwenden. Gleichzeitig wird es für Unternehmen zunehmend schwieriger, sich zu schützen. Bei der Ransomware-Welle, die nach Aussagen des BSI auch eine mittlere dreistellige Anzahl deutscher Unternehmen betrifft, zielen die Angreifer auf sogenannte ESXi-Server.
Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro.
Angriffe zielen auf Herzstück der IT-Landschaft
Bei der weltweiten Ransomware-Welle, die nach Aussagen des BSI auch eine mittlere dreistellige Anzahl deutscher Unternehmen betrifft, zielen die Angreifer auf Server-Farmen – sogenannte ESXi-Server – und damit das Herzstück einer jeden IT-Landschaft. Das macht die betroffenen Unternehmen extrem verwundbar. Wir sehen immer wieder, dass Unternehmen auf derartige Third-Party-Probleme nicht vorbereitet sind.
Zwar gibt es einen geregelten Patch-Prozess für Microsoft, nicht aber für Dritthersteller, wie in diesem Fall VMware. Denn die Anzahl der Patches rechtfertigt es nicht, einen eigenen Prozess dafür ins Leben zu rufen. Darüber hinaus stellen Unternehmen ihre Server-Farm nicht einfach ab, um einen einzelnen Patch zu installieren. Angreifer wissen um diese Schwierigkeit ihrer Opfer und nutzen deshalb häufig Schwachstellen aus, die nicht auf Microsoft-Technologie beruhen.
Tatsächlich sind nur ca. 30 Prozent der von Angreifern verwendeten Lücken auf Software des Technologieriesen angewiesen. Die Existenz ungepatchter Software-Schwachstellen, die von Hackern aktiv ausgenutzt werden, ist dabei keine Seltenheit. Etwa 86 Prozent aller Unternehmen weltweit haben, laut Untersuchungen von Trend Micro, solche Lücken.
Trend Micros Zero Day Initiative hat die Schwachstelle, die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als "hoch" bewertet wird, bereits im Oktober 2020 an VMware gemeldet, um dann im Februar 2021 gemeinsam ein responsible Disclosure durchzuführen.
Großangelegtes Angriffsmuster
Meist sind Cyberkriminelle monetär motiviert und arbeiten strategisch. Wochen und Monate verbringen sie häufig damit, das Netzwerk des Opfers auszuspionieren und zu infiltrieren, bevor sie die tatsächliche Ransomware ausführen. In diesem speziellen Fall wurden nicht auf die Schnelle ein oder zwei Unternehmen angegriffen.
Es handelt sich vielmehr um eine großangelegte Kampagne organisierter Kriminalität, die wir in dem Ausmaß nicht kennen. Jedes Unternehmen wird einzeln für sich angegriffen, was für die Cyberkriminellen einen deutlich größeren Aufwand darstellt. Das ist vor allem ein Zeichen dafür, dass hier viel „Hirnschmalz“ investiert wurde.
Was wollen die Cyberkriminellen erreichen?
Die Angriffe gehen nach von APT-Gruppen (Advanced Persistent Threat) bereits perfektionierten Ansätzen vor. Am wahrscheinlichsten ist es, dass das Hauptaugenmerk darauf liegt, Daten zu stehlen und wichtige Systeme zu verschlüsseln.
Häufig wenden die Cyberkriminellen auch mehrfache Erpressung an, indem sie zum Beispiel damit drohen, exfiltrierte Daten zu veröffentlichen. So wollen sie ihre Opfer einschüchtern und deren Zahlungsbereitschaft erhöhen.
So können sich Unternehmen vor der Ransomware-Welle schützen
Es ist davon auszugehen, dass Ransomware-Angriffe über Third-Party-Schwachstellen weiter zunehmen werden. Denn das Geschäftsmodell lohnt sich für Cyberkriminelle. Es gibt jedoch effektive Maßnahmen, wie sich Unternehmen schützen können. Dazu zählt zum Beispiel Virtual Patching, eine Technologie, mit der man Schwachstellen schließen kann, ohne dass man tatsächlich Patches auf den Server-Farmen installieren muss.
Indem man das Netzwerk zudem in verschiedene Sicherheitszonen aufteilt und dort Kontrollen einführt, kann man die Ausbreitung von Attacken verhindern. Um Alt-Systeme abzusichern, gibt es spezialisierte Security-Lösungen, die nur wenig Speicher und Rechenleistung brauchen oder gar keine Software-Installation erfordern.
Eine übergreifende Plattform zur Bedrohungserkennung ist zudem in der Lage, Cyberangriffe in der gesamten vernetzten Umgebung über alle Angriffsvektoren hinweg frühzeitig aufzudecken. So lassen sich Ransomware-Attacken stoppen, bevor es zur Verschlüsselung kommt.