{"id":1974,"date":"2025-02-18T14:09:45","date_gmt":"2025-02-18T14:09:45","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1974"},"modified":"2025-02-18T14:09:45","modified_gmt":"2025-02-18T14:09:45","slug":"ransomware-banden-geben-opfern-immer-weniger-zeit","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1974","title":{"rendered":"Ransomware-Banden geben Opfern immer weniger Zeit"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
width=”2494″ height=”1402″ sizes=”(max-width: 2494px) 100vw, 2494px”> Ransomware-Gruppen haben den Zeitraum bis zur L\u00f6segeld\u00fcbergabe immer mehr verk\u00fcrzt. \n

Zephyr_p \u2013 shutterstock.com<\/p>\n<\/div>\n

Laut einer Analyse<\/a> des Managed-Detection-and-Response-Unternehmens Huntress von Ransomware-Vorf\u00e4llen im vergangenen Jahr betr\u00e4gt die durchschnittliche Zeit bis zur L\u00f6segeldforderung (TTR) etwa 17 Stunden. Bei einigen Gruppen sind es sogar nur vier bis sechs Stunden. Dieses Tempo steht in krassem Gegensatz zu der Vorgehensweise gro\u00dfer Ransomware-Gruppen vor dem Aufkommen des doppelten Erpressungstrends vor einigen Jahren. Damals hielten sie sich tagelang oder wochenlang in den Netzwerken der Opfer auf, um sich einen besseren Zugang zu verschaffen und die vollst\u00e4ndige Kontrolle zu erlangen.<\/p>\n

Es besteht auch ein klarer Zusammenhang zwischen der durchschnittlichen TTR einer Ransomware-Gruppe und der Anzahl ihrer Opfer, wie der Report zeigt. Gruppen, die im Jahr 2024 in Bezug auf ihre Aktivit\u00e4ten erheblich gewachsen sind, wie RansomHub<\/a>, Lynx\/Inc, Akira<\/a> und Play, weisen mit unter acht Stunden einige der niedrigsten TTRs auf.<\/p>\n

Einige dieser Gruppen verfolgen auch einen \u201eSmash-and-Grab\u201c-Ansatz. Sie nehmen \u00a0kleine und mittelst\u00e4ndische Unternehmen ins Visier nehmen und bieten ihren Partnern \u2013 den Hackern, die die Einbr\u00fcche und Infektionen durchf\u00fchren \u2013 sehr hohe Prozents\u00e4tze der L\u00f6segeldbetr\u00e4ge an. Dies ist ein Anreiz f\u00fcr die Partner, so viele L\u00f6segeldzahlungen wie m\u00f6glich zu generieren.<\/p>\n

Weniger M\u00f6glichkeiten zur Erkennung<\/strong><\/h2>\n

Dar\u00fcber hinaus belegt die Studie, dass sich einige Ransomware-Gruppen mehr auf Erpressung durch Datendiebstahl als auf traditionelle Datenverschl\u00fcsselungsmethoden konzentrieren \u2013 obwohl die meisten Gruppen beides tun. Zu dieser Verschiebung k\u00f6nnten Verbesserungen bei den Endpoint Detection and Response (EDR)-Tools<\/a> und der Ransomware-Erkennung im Allgemeinen sowie erfolgreiche Strafverfolgungsma\u00dfnahmen<\/a> beigetragen haben.<\/p>\n

\u201eW\u00e4hrend diese Abwehrma\u00dfnahmen erfolgreich waren, haben Data-Loss-Prevention-Dienste (DLP) kaum Fortschritte gemacht und werden oft nur in ausgereiften Unternehmensumgebungen installiert\u201c, schreiben die Huntress-Forscher in ihrem Bericht. \u201cAngreifer werden sich dieser Umst\u00e4nde immer mehr bewusst und entscheiden sich daf\u00fcr, Daten zu stehlen und sie f\u00fcr die Erpressung von L\u00f6segeld zu behalten.\u201c<\/p>\n

Allerdings ist TTR kein perfektes Ma\u00df f\u00fcr die Beurteilung der Geschwindigkeit von Ransomware-Angriffen, da sich die Variablen bei Vorf\u00e4llen oft unterscheiden:<\/p>\n

Der erste Zugangspunkt f\u00fcr die Angreifer und die damit verbundenen Privilegien.<\/p>\n

Wie einfach ist es, andere Netzwerksegmente und -systeme von dem urspr\u00fcnglich kompromittierten Objekt aus zu erreichen.<\/p>\n

Ob der Zugang zur Umgebung von einem Zugangsvermittler an einen Ransomware-Betreiber weiterverkauft wurde.<\/p>\n

Agierten die Angreifer nur au\u00dferhalb der regul\u00e4ren Gesch\u00e4ftszeiten des Opfers?<\/p>\n

Ein weiterer wichtiger Faktor, den Huntress analysierte, war die Anzahl der Aktionen, die Angreifer nach der ersten Kompromittierung innerhalb einer Umgebung durchf\u00fchrten. Dazu geh\u00f6ren b\u00f6swillige Aktionen wie Netzwerkscans zur Aufkl\u00e4rung, lateral Movement, Dumping von Anmeldeinformationen zur Privilegieneskalation, das Ausf\u00fchren von Skripten, Terminalbefehle, das Herunterladen zus\u00e4tzlicher Payloads und das Exfiltrieren von Dateien.<\/p>\n

Diese Kennzahl ist wichtig, denn je h\u00f6her die Anzahl der b\u00f6swilligen Aktionen ist, desto gr\u00f6\u00dfer ist die Wahrscheinlichkeit, dass eine Warnung ausgel\u00f6st wird, um Eindringlinge fr\u00fchzeitig w\u00e4hrend eines Angriffs zu entdecken. Laut Huntress lag die durchschnittliche Anzahl der b\u00f6swilligen Aktionen bei untersuchten den Ransomware-Vorf\u00e4llen bei 18 Einige Gruppen f\u00fchrten nur sechs Aktionen durch, w\u00e4hrend andere mehr als 30 initiierten.<\/p>\n

\u201eAngreifer, die auf Erpressung, Datendiebstahl und Spionage aus sind, neigen dazu, mehr Aktionen durchzuf\u00fchren. Zu den Aktivit\u00e4ten z\u00e4hlen Pivoting, Data Harvesting und Exfiltration\u201c, schreiben die Forscher. \u201cAngreifer, die auf L\u00f6segeldzahlungen f\u00fcr die Entschl\u00fcsselung angewiesen sind, neigen dazu, eine geringere Anzahl von Aktionen durchzuf\u00fchren, da sie im Grunde genommen nur zerst\u00f6ren und stehlen.\u201c<\/p>\n

Wechselnde Taktiken<\/strong><\/h2>\n

Ransomware machte fast zehn Prozent aller Arten von Bedrohungen aus, die Huntress entdeckte. Dabei verzeichneten die Sektoren Gesundheitswesen, Technologie, Bildung, Fertigung und Regierung die h\u00f6chsten Raten von Ransomware-Vorf\u00e4llen. Es ist jedoch erw\u00e4hnenswert, dass einige der anderen Bedrohungen, die separat verfolgt werden, wie Malware oder Skripte, oft als Einfallstor f\u00fcr Ransomware dienen.<\/p>\n

Zum Beispiel stellte Huntress einen deutlichen Anstieg beim Missbrauch von Tools f\u00fcr die Fern\u00fcberwachung und -verwaltung (RMM)<\/a> wie ConnectWise ScreenConnect, TeamViewer und LogMeIn fest, um Zugang zu Netzwerken zu erhalten und zu behalten. Einige Ransomware-Gruppen haben in der Vergangenheit Zero-Day-Schwachstellen in RMM-Tools ausgenutzt.<\/p>\n

Es gibt auch branchenspezifische Ver\u00e4nderungen bez\u00fcglich der Taktik. Die Forscher stellten fest, dass sich die L\u00f6segeldvorf\u00e4lle im Gesundheitswesen von der traditionellen Datenverschl\u00fcsselung hin zum Datendiebstahl verlagern.<\/p>\n

\u201eAngreifer exfiltrieren Daten bis zum Zeitpunkt der L\u00f6segeldforderung an ein Opfer. Viele Angreifer verwenden RAR oder ZIP, um die Daten zu b\u00fcndeln und auf ihre C2-Server zu transferieren\u201c, so Huntress. \u201cWir haben festgestellt, dass die Angreifer immer raffinierter werden und verschl\u00fcsselte P2P-Dienste wie Cloudflare-Tunneling nutzen, um nicht nur Daten zu exfiltrieren, sondern auch Tools und Malware zu liefern.\u201c (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

width=”2494″ height=”1402″ sizes=”(max-width: 2494px) 100vw, 2494px”> Ransomware-Gruppen haben den Zeitraum bis zur L\u00f6segeld\u00fcbergabe immer mehr verk\u00fcrzt. Zephyr_p \u2013 shutterstock.com Laut einer Analyse des Managed-Detection-and-Response-Unternehmens Huntress von Ransomware-Vorf\u00e4llen im vergangenen Jahr betr\u00e4gt die durchschnittliche Zeit bis zur L\u00f6segeldforderung (TTR) etwa 17 Stunden. Bei einigen Gruppen sind es sogar nur vier bis sechs Stunden. Dieses Tempo steht […]<\/p>\n","protected":false},"author":0,"featured_media":1975,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1974","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1974"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1974"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1974\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1975"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}