Es scheint, als seien Ransomware-Angriffe weltweit auf dem Vormarsch. Von der Colonial Pipeline über JBS bis hin zum irischen Gesundheitsdienst – die Auswirkungen sind aktuell vor allem in den USA zu spüren und brachten dort Treibstoff- und Fleischlieferungen für fast eine Woche zum Erliegen. Die US-Regierung hat jetzt wichtige, noch nie dagewesene Gegenmaßnahmen als Reaktion auf diese Angriffe unternommen.
Beispielsweise wurden die Gruppen, die hinter den Angriffen stecken, sehr schnell benannt und damit bloßgestellt. So wurde REvil/Sodinokibi als Drahtzieher hinter dem Angriff auf JBS identifiziert und Darkside für die Angriffe auf Colonial Pipeline. Außerdem konnten die US-Behörden 2,7 Millionen Dollar des von Colonial Pipeline gezahlten Lösegelds in Höhe von insgesamt 4,4 Millionen Dollar zurückbeschaffen.
Zusätzlich erfolgte eine zeitnahe Freigabe neuer Cybersecurity-Anforderungen für die Pipeline-Industrie und die Generalstaatsanwaltschaften im ganzen Land wurden vom US-Justizministeriums dazu aufgefordert, Ransomware-Angriffe auf der gleichen Ebene wie Terrorismusfälle zu priorisieren. Ferner gab die Regierung bekannt, das Thema auf der geplanten ersten internationalen Reise von Präsident Joe Biden bei jedem Treffen mit Partnern thematisieren zu wollen.
In seinem aktuellen Blogbeitrag erklärt Christopher Budd, Global Senior Threat Communications Manager bei Avast, die Ereignisse des letzten Monats und zeigt auf, warum sich die Ransomware-Industrie aufgrund der Reaktionen der US-Regierung möglicherweise grundlegend ändern wird. So haben die Maßnahmen bereits jetzt Auswirkungen auf Ransomware-Betreiber und können eine positive, neue Phase im Kampf gegen Erpressungssoftware einläuten.
Zu den genauen Auswirkungen zählen unter anderem:
- Sowohl die Darkside- als auch die REvil/Sodinokibi-Ransomware-Gruppe haben beispiellose Erklärungen abgegeben, in denen sie versuchen, sich von den Auswirkungen der Colonial Pipeline- bzw. JBS-Angriffe zu distanzieren.
- Die Darkside-Gruppe hat die Kontrolle über ihre Infrastruktur und Zahlungssysteme verloren, was sie effektiv aus dem Geschäft drängt.
- XSS und Exploit, zwei große Untergrund-Foren die Ransomware-Anzeigen hosten, verbieten diese nun. Dadurch wird es für Ransomware-Hersteller zukünftig schwieriger, ihre bösartigen Waren und Dienstleistungen zu verkaufen.
- Einige der Partner von Darkside haben den Fall sogar zum „Hacker-Gericht“ gebracht, um dort zu versuchen, die verlorenen Gelder von Darkside wiederzuerlangen.
Zwar ist es noch zu früh, um zu sagen, ob die Maßnahmen eine dauerhafte Wirkung haben werden, aber sie sind vielversprechend. In der Zwischenzeit sollten Unternehmen, aber auch Verbraucher weiterhin proaktive Schritte zum Schutz vor Ransomware ergreifen.
Dazu gibt Avast die folgenden Tipps:
- Installieren Sie ein Antivirus-Programm, das Ransomware erkennt und abwehrt.
- Halten Sie alle Programme, Browser und das Betriebssystem immer auf dem neuesten Stand. Neue Updates sind nicht nur wichtig, weil sie neue Funktionen bringen, sondern beheben auch Sicherheitslücken, die von Angreifern leicht ausgenutzt werden können.
- Sichern Sie Ihre Daten regelmäßig. Ein Backup in der Cloud und auf einem externen Speicher ist in vielen Fällen nützlich.
- Wenn Ihr Gerät mit Ransomware infiziert ist, trennen Sie es zunächst vom Netzwerk, um die Ausbreitung der Schadsoftware auf andere Geräte zu verhindern. Wenden Sie sich dann an Ihre IT-Abteilung oder als Verbraucher an ein Unternehmen für technischen Support.
- Bezahlen Sie niemals ein Lösegeld, denn dadurch finanzieren Sie die Ransomware-Betreiber und diese können weitere Schadsoftware entwickeln.