Das FBI warnt vor einem besorgniserregenden Ransomware-Trend und rät Organisationen, Empfehlungen zur Risikominimierung umzusetzen.
Im Juli 2023 beobachtete das FBI zwei bemerkenswerte Ransomware-Trends:
- Mehrfachangriffe auf denselben Betroffenen in kurzen Abständen.
- Neue Datenzerstörungsmethoden.
Angreifer attackierten gezielte Unternehmen mit zwei unterschiedlichen Ransomware-Varianten, darunter AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum und Royal. Die Kombination dieser Varianten führte zu Datenverschlüsselung, Datenexfiltration und finanziellen Verlusten. Besonders alarmierend ist der wachsende Trend zu wiederholten Ransomware-Angriffen, bei denen Angreifer immer raffiniertere Methoden anwenden.
Bereits 2022 intensivierten Ransomware-Gruppen den Einsatz spezialisierter Datenklau- und Löschtools. Zudem entwickelten Hacker verbesserte Datendiebstahl-Tools, um unentdeckt zu bleiben, und setzten schlafende Malware ein, die Daten zu geplanten Zeiten beschädigte.
Identität & Zugriffsmanagement Das FBI hebt hervor:
- Einführung von NIST-Passwortstandards für alle Konten.
- Einsatz von phishing-resistentem 2FA, insbesondere bei Webmail, VPNs und kritischen Systemen.
- Überwachung von ungewöhnlichen Konten auf verschiedenen Systemen.
- Beschränkter und zeitbasierter Admin-Zugriff.
- Das FBI fordert dazu auf, verdächtige Aktivitäten umgehend zu melden und detaillierte Informationen wie Datum, Zeit, Ort und Art der Aktivität bereitzustellen.
Die U.S. Joint Ransomware Task Force (JRTF), unter der Leitung von CISA und FBI, bekämpft die steigenden Ransomware-Bedrohungen, die durch bedeutende Angriffe auf die kritische Infrastruktur der USA ausgelöst werden.
Mögliche Abwehrmaßnahmen Empfohlene Schritte zur Risikominderung umfassen:
- Offline-Backups und Verschlüsselung dieser Daten.
- Sicherheitsbewertung von Drittanbieter-Links.
- Überwachung externer Verbindungen und Implementierung eines Wiederherstellungsplans.
- Netzwerksegmentierung und -überwachung.
- Aktualisierung und Aktivierung von Antivirenprogrammen.
- Überwachung und Sicherung des RDP-Einsatzes.
- Aktualisierung aller Systeme und Deaktivierung nicht genutzter Ports.
- Einschränkung von E-Mail-Links und Befehlszeilenaktivitäten.
- Sicherstellen einer korrekten Konfiguration der Geräte und Deaktivierung ungenutzter Ports und Protokolle.
- Einschränkung des SMB-Protokolls nur auf notwendige Server.
Die Organisationen werden dringend aufgefordert, diese Schritte zu beachten, um sich gegen die wachsenden Bedrohungen durch Ransomware zu schützen.