Security : Hacker zielen zunehmend auf Lieferketten ab

Der US-amerikanische Software-Anbieter Ivanti hat im „Ransomware Spotlight Year End Report“ eine weitere Zunahme von Ransomware festgestellt. von Cyber Fusion, SOAR- und Threat Intelligence-Lösungen der nächsten Generation, durchgeführt hat. Der Bericht identifiziert 32 neue Ransomware-Familien im Jahr 2021, womit sich die Gesamtzahl auf 157 erhöht und einen Anstieg von 26 % gegenüber dem Vorjahr darstellt.

Der Bericht zeigt auch, dass diese Ransomware-Gruppen weiterhin auf ungepatchte Schwachstellen abzielen und Zero-Day-Schwachstellen in Rekordzeit als Waffe einsetzen. Gleichzeitig erweitern sie ihre Angriffssphären und finden immer neue Wege, um Unternehmensnetzwerke zu kompromittieren und Angriffe mit großer Wirkung auszulösen.

Dabei sind ungepatchte Sicherheitslücken nach wie vor die wichtigsten Angriffsvektoren, die von Ransomware-Gruppen genutzt werden. Bei der Analyse wurden im vergangenen Jahr 65 neue Schwachstellen im Zusammenhang mit Ransomware aufgedeckt, was einem Anstieg von 29 % im Vergleich zum Vorjahr entspricht und die Gesamtzahl der mit Ransomware verbundenen Schwachstellen auf 288 erhöht.

Alarmierend sei, so Ivanti in dem Bericht, dass über ein Drittel (37 %) dieser neu hinzugekommenen Schwachstellen im Dark Web aktiv waren und wiederholt ausgenutzt wurden. Parallel dazu wurden 56 % der 223 älteren Schwachstellen, die vor 2021 identifiziert wurden, weiterhin aktiv von Ransomware-Gruppen ausgenutzt. Dies beweist, dass Unternehmen die waffenfähigen Schwachstellen, auf die Ransomware-Gruppen abzielen, priorisieren und patchen müssen - unabhängig davon, ob es sich um neu identifizierte Schwachstellen oder ältere Schwachstellen handelt.

Ransomware-Gruppen haben es zunehmend auf Netzwerke in der Lieferkette abgesehen, um großen Schaden anzurichten. Eine einzige Kompromittierung der Lieferkette kann Bedrohungsakteuren mehrere Wege eröffnen, um komplette Systemverteilungen in Hunderten von Opfernetzwerken zu kapern. Im vergangenen Jahr haben Bedrohungsakteure über Anwendungen von Drittanbietern, herstellerspezifische Produkte und Open-Source-Bibliotheken die Netzwerke der Lieferkette kompromittiert. Die REvil-Gruppe hatte es beispielsweise auf CVE-2021-30116 im Kaseya VSA-Fernverwaltungsdienst abgesehen und brachte ein bösartiges Update-Paket auf den Markt, das alle Kunden kompromittierte, die Vor-Ort- und Fernversionen der VSA-Plattform verwendeten.

Ransomware-Gruppen geben ihre Dienste dabei auch zunehmend an andere weiter, ähnlich wie bei legitimen SaaS-Angeboten. Ransomware-as-a-Service ist ein Geschäftsmodell, bei dem Ransomware-Entwickler ihre Dienste, Varianten, Kits oder ihren Code anderen bösartigen Akteuren gegen Bezahlung anbieten. Exploit-as-a-Service-Lösungen ermöglichen es Bedrohungsakteuren, Zero-Day-Exploits von Entwicklern zu mieten.

Mit 157 Ransomware-Familien, die 288 Schwachstellen ausnutzen, werden Ransomware-Gruppen in den kommenden Jahren massenhaft Angriffe durchführen. Nach Angaben von Coveware zahlen Unternehmen nach einem Ransomware-Angriff durchschnittlich 220.298 US-Dollar und haben 23 Tage Ausfallzeit.