Die Sophos X-Ops: Counter Threat Unit (CTU) untersucht, wie Ransomware-Akteure ihre Ziele auswählen. Die Security-Spezialisten betonen darin, dass die Cyberkriminellen gerne den Weg des geringsten Widerstands gehen: Die überwiegende Mehrheit der untersuchten Ransomware-Angriffe erfolgte demnach opportunistisch und nicht gezielt. Laut Analyse nutzen Angreifer in den meisten Fällen ihre vorhandenen Zugriffsrechte aus, anstatt Opfer nach Branche, Standort oder strategischer Bedeutung auszuwählen.
Obwohl einige Gruppen gezielt versuchen, über den Zugang zu umsatzstarken Unternehmen höhere Lösegeldforderungen durchzusetzen, zeigen die Untersuchungsergebnisse, dass die Mehrheit der Ransomware-Angriffe kleine Unternehmen trifft. Als Gründe dafür verweist Sophos darauf, dass in diesem Bereich begrenzte Budgets und fehlende eigene Ressourcen für Cybersicherheit die Verwundbarkeit erhöhen. Sie werden von Angreifern als besonders leicht erreichbare Ziele wahrgenommen.
Opportunismus anstelle von gezielter Auswahl
Ausgangspunkt der Untersuchung war die wiederkehrende Frage an die Sophos-Forscher, ob bestimmte Ransomware-Gruppen gezielt einzelne Branchen oder Regionen ins Visier nehmen. Wie der Security-Spezialist mitteilt, greift eine rein gruppen- oder täterbezogene Abwehr zu kurz. Entscheidend sei vielmehr, zu verstehen, dass die meisten Ransomware-Angriffe opportunistisch erfolgen.
Sophos rät Organisationen dazu, ihren Fokus weniger auf einzelne zu Akteure richten, sondern darauf, wie sie sich grundsätzlich und wirksam gegen Ransomware- und Datendiebstahlangriffe wappnen können, und zwar unabhängig davon, wer dahintersteht. Zuverlässige Sicherheitsupdates, phishing-resistente Multi-Faktor-Authentifizierung (MFA), Endpoint Detection and Response (EDR) sowie unveränderliche Backups machen Ransomware-Angriffe weiterhin gut vermeidbar. In der Praxis zeigt sich jedoch, dass viele betroffene Unternehmen diese Maßnahmen nicht konsequent umsetzen. In der industriellen Bildverarbeitung stellen PC-basierte Systeme oft eine technische Hürde dar. Die Trennung von Bildaufnahme und Datenverarbeitung führt häufig zu Latenzen, erhöhtem Platzbedarf und einem komplexen Wartungsaufwand. Besonders in schnellen Produktionslinien erschwert die Synchronisation zwischen Sensor und externem Rechner eine stabile Prozesskontrolle. ‣ weiterlesen
Präzise 2D-Inspektion mit nativer Edge-Intelligenz
Regulierte Branchen sind schwierigere Ziele
Als Beispiel für den opportunistischen Charakter von Ransomware-Angriffen verweist Sophos auf den Bankensektor. Banken sind umsatzstarke Unternehmen und eine durch Ransomware verursachte Betriebsstörung könnte grundsätzlich einen starken Anreiz zur Lösegeldzahlung darstellen. Dennoch beobachten die CTU-Forscher nur sehr wenige Finanzinstitute, die tatsächlich Opfer solcher Angriffe werden.
Als Grund dafür vermutet der Cybersicherheits-Spezialist vor allem den hohen Regulierungsgrad der Branche. Verbindliche Cybersicherheitsstandards sorgen dafür, dass Investitionen in Sicherheitsmaßnahmen wettbewerbsneutral erfolgen. Entsprechend sind Kontrollrahmen etabliert, Perimeter gut geschützt und Netzwerke so gestaltet, dass Angriffsflächen minimiert werden.
Organisationen in unregulierten Sektoren sind anfälliger für opportunistische Angriffe, da der Einsatz robuster Cybersicherheitspraktiken nicht in gleicher Weise gefördert wird. So erhöht die Verbesserung der Sicherheitsmaßnahmen im Fertigungssektor etwa die Kostenbasis eines Unternehmens und macht die Produkte der Konkurrenz somit vergleichsweise günstiger.
Gezielte Angriffe auf bestimmte Branchen sind eher die Ausnahme
Den Grund für Angriffe von bestimmten Gruppen auf Organisationen eines bestimmten Sektors vermutet Sophos darin, dass diese Gruppe eine Schwachstelle in einem in diesem Sektor weit verbreiteten Dienst ausnutzt. Organisationen desselben Sektors weisen tendenziell ähnliche Sicherheitskonzepte auf. Es gibt jedoch Ausnahmen. Manche Gruppen greifen Organisationen in Sektoren an, von denen sie annehmen, dass diese eher bereit sind, Lösegeld zu zahlen.
