In seiner kürzlich veröffentlichten Ransomware Incident Risk Insights Study, die teilweise von der U.S. Cybersecurity and Infrastructure Security Agency (CISA) finanziert wurde, untersuchte das Cyentia Institute über 14.000 aktuelle Sicherheitsvorfälle, um die Trends bei Ransomware-Angriffen besser zu verstehen.
In den letzten vier Jahren hat sich Ransomware zu einem der größten Probleme in der Sicherheitsbranche entwickelt. Wie Cyentia in seinem Bericht feststellt, "haben nur wenige Cyber-Bedrohungen in den letzten Jahren mehr Angst, Unsicherheit und Zweifel ausgelöst als Ransomware". Da Ransomware-Gruppen immer organisierter und raffinierter werden, haben weit verbreitete Angriffe auf das Gesundheitswesen, die Fertigung und das Bildungswesen die Schlagzeilen beherrscht. Ransomware-Kampagnen wie "TellYouthePass", "MOVEit", "Deadbolt" und "ESXiArgs" gehören zu den zahlreichen Angriffen, die in letzter Zeit die Nachrichten beherrschten.
Ransomware hat auch die Aufmerksamkeit von Regierungen auf sich gezogen, die beobachten, dass mit dem Staat verbundene Akteure auf Ransomware zurückgreifen, um staatlich geförderte Ziele zu verwirklichen. So bestätigte das FBI kürzlich in seinem Joint Cybersecurity Advisory on North Korea, dass staatlich geförderte nordkoreanische Bedrohungsakteure Ransomware-Kampagnen gegen US-Gesundheitsorganisationen einsetzen, um ihre Cyberspionageaktivitäten zu finanzieren.
Quelle: Cyentia Institute Studie über Ransomware-Risikovorfälle
Der neue Bericht von Cyentia quantifiziert, was die Schlagzeilen andeuten: Ransomware-Angriffe nehmen zu, sowohl im Volumen als auch als Prozentsatz aller Sicherheitsvorfälle. Von 2019 bis 2023 war Ransomware der zweithäufigste Cyberangriff weltweit und machte 30 % aller öffentlich gemeldeten Vorfälle aus. Bedenken Sie, dass im Jahr 2015 nur 1 % der öffentlich gemeldeten Vorfälle auf Ransomware zurückgeführt wurden.
Was die finanziellen Auswirkungen betrifft, so stellt Cyentia fest, dass keine andere Art von Sicherheitsvorfällen mit dem Ausmaß der durch Ransomware verursachten Verluste mithalten kann. In den letzten fünf Jahren beliefen sich die finanziellen Verluste durch Ransomware-Angriffe auf mehr als 270 Milliarden US-Dollar.
Unternehmen und Behörden haben allen Grund, sich über das steigende Risiko und die Auswirkungen von Ransomware Sorgen zu machen. Die Analyse von Cyentia über die Art und Weise, wie Ransomware-Gruppen den ersten Zugang zu Netzwerken erlangen, gibt Aufschluss darüber, was Organisationen tun können, um proaktiv gegen diese Angriffe vorzugehen.
Exponierte, der Öffentlichkeit zugängliche Anlagen sind die wichtigsten Einstiegspunkte
Cyentia hat herausgefunden, dass ausgenutzte, öffentlich zugängliche Anlagen die Nummer eins für den ersten Zugriff auf Ransomware sind und wesentlich höhere Verluste verursachen als jeder andere erste Zugriffsvektor (35,3 Millionen Dollar typischer Verlust durch Ausnutzung einer öffentlich zugänglichen Anwendung im Vergleich zu 24,7 Millionen Dollar typischer Verlust durch Phishing).
Quelle: Cyentia Institute Studie über das Risiko von Ransomware-Vorfällen
Es ist klar, dass Ransomware-Gruppen anfällige Internet-Assets als niedrig hängende Früchte betrachten und zunehmend auf diese Assets abzielen, um Zugang zu Unternehmensnetzwerken zu erhalten. Anfällige und schlecht verwaltete Internetressourcen sind für böswillige Akteure attraktiv, da sie online leicht gefunden und direkt angegriffen werden können. Darüber hinaus befinden sich viele dieser Anlagen außerhalb des Zuständigkeitsbereichs von Sicherheitsteams - Censys schätzt, dass bis zu 80 % der externen Angriffsflächen von Unternehmen den IT- und Sicherheitsteams unbekannt sind.
Prioritäten setzen: Eine kritische Herausforderung für Sicherheitsteams
Da die Veränderungen in der digitalen Infrastruktur in den letzten Jahren zu einer Zunahme und Diversifizierung der Angriffsflächen geführt haben, sehen sich viele Unternehmen mit einer großen Anzahl von Assets konfrontiert, die gepatcht und priorisiert werden müssen.
Die Sicherheitsteams wiederum stehen vor der Herausforderung, diese Schwachstellen schnell zu beheben, bevor Angreifer aktiv werden. Nach Bekanntwerden einer Schwachstelle bleibt den Teams in der Regel nur ein kleines Zeitfenster, um die betroffenen Anlagen zu patchen, bevor sie von einem Angriff betroffen sind. Und ohne einen vollständigen und genauen Einblick in die Angriffsoberfläche laufen die Teams auch Gefahr, gefährdete Anlagen ganz zu übersehen oder die kritischsten Schwachstellen nicht zu priorisieren.
Diese unzureichende Priorisierung macht Unternehmen ungeschützt, weshalb sich eine wirksame Ransomware-Abwehrstrategie darauf konzentrieren muss, sofortige Maßnahmen zu ergreifen, um die Schwachstellen zu beseitigen, die Ransomware-Gruppen ausnutzen werden.
Abwehr von Ransomware mit Censys Attack Surface Management
Censys Attack Surface Management hilft Unternehmen, sofortige Maßnahmen zu ergreifen, indem es einen umfassenden, genauen und aktuellen Einblick in ihre Angriffsflächen bietet. Das bedeutet, dass Sicherheitsteams schnell die Anlagen auf ihrer Angriffsfläche identifizieren können, die von Schwachstellen betroffen sind, auf die es Angreifer abgesehen haben.
Im Gegensatz zu anderen ASM-Lösungen stützt sich Censys auf firmeneigene Internet-Intelligenz, die in Bezug auf Tiefe, Breite und Genauigkeit unübertroffen ist. Keine andere ASM-Lösung bietet den gleichen Überblick über die globale Internet-Infrastruktur. Dank dieses Überblicks kann Censys 65 % mehr Angriffsflächen für Unternehmen aufdecken als die Konkurrenz.
Censys ASM unterstützt Sicherheitsteams speziell bei der Abwehr von Ransomware:
Kontinuierliche Bestandsermittlung
Der Schutz vor Ransomware beginnt mit der kontinuierlichen Erkennung von Ressourcen. Censys ASM beginnt mit Seeds, die als Input für die automatische Erkennung und Zuordnung von öffentlich zugänglichen Assets auf der Angriffsfläche eines Unternehmens dienen, darunter Hosts, Services, Websites, Zertifikate und Domains. Im Gegensatz zu anderen ASM-Lösungen auf dem Markt findet Censys ASM neue Knoten im Internet in weniger als einer Stunde und bietet den Anwendern die aktuellste Angriffsflächenerkennung im Internet.
Censys lässt sich auch mit Cloud-Service-Anbietern integrieren und nimmt bis zu 6 Mal pro Tag neue Daten auf, um die Transparenz von Cloud-Assets zu verbessern. CensysDie Lösung zur kontinuierlichen Erkennung von Seeds sucht täglich nach neuen Seeds und benachrichtigt die Sicherheitsteams, wenn eine neue Niederlassung erworben wird, oft bevor sie vom Unternehmen informiert werden. Darüber hinaus indexiert Censys mehr als 11B+ x.509-Zertifikate für ein umfassendes Pivoting zu und durch Zertifikate, so dass Benutzer Namen und IP-Adressen entdecken können, die in zugehörigen DNS-A-Datensätzen aufgeführt sind.
Umfassende Bestandsaufnahme der Vermögenswerte
Censys erstellt ein umfassendes Inventar aller öffentlich zugänglichen Ressourcen eines Unternehmens und hilft Sicherheitsteams dabei, nicht verwaltete Ressourcen zu entdecken, die oft durch Cloud-Bereitstellungen und Shadow IT eingeführt werden. Censys Benutzer haben die Kontrolle über ihr Inventar und sind in der Lage, das Inventar in mehr als 2000 Feldern zu durchsuchen, darunter 65.000 Ports und 5,1 Mrd. Dienste. Censys erkennt auch Dienste auf nicht standardmäßigen Ports mithilfe der automatischen Protokollerkennung, um Teams dabei zu helfen, von Ransomware bereitgestellte Dienste zu finden, die möglicherweise absichtlich versteckt sind. Teams können ihre Angriffsfläche auch proaktiv verwalten, indem sie Suchabfragen im Inventar und Warnmeldungen nutzen, um nicht verwaltete Ressourcen aufzudecken, bevor es Ransomware-Gruppen tun.
Priorisierung von Risiken
Censys ASM nutzt umfangreiche Inventar- und Scandaten, um Fingerabdrücke von über 500 verschiedenen Risikotypen zu erstellen, von Datenbankschwachstellen über Software-Schwachstellen bis hin zu Fehlkonfigurationen von TLS/SSL-Zertifikaten und Webanwendungs-Headern. Censys hilft außerdem dabei, mehr als 11.000 einzigartige Produkte von 1.000 Anbietern auf der Angriffsfläche eines Unternehmens zu identifizieren, um nicht verwaltete Webanwendungen und Software zu entdecken, bevor Angreifer dies tun. Das Forschungsteam von Censys ergänzt diese Fingerprint-Liste kontinuierlich und verfolgt aktiv neue Bedrohungen, um Sicherheitsteams dabei zu helfen, ihre Reaktionszeiten bei der Entdeckung und Behebung von Anlagen mit Zero-Days und bekannten ausgenutzten Schwachstellen zu verkürzen. Censys risks kann außerdem verwendet werden, um die TTPs von Ransomware-Gruppen spezifischen Schwachstellen zuzuordnen, so dass Sicherheitsteams gefährdete Anlagen beheben können, bevor Ransomware-Gruppen sie angreifen.
Rapid Response
Das Censys Rapid Response-Programm ermöglicht es Censys ASM-Benutzern, sofort auf neue Sicherheitslücken zu reagieren. Innerhalb von etwa 24-72 Stunden nach der Veröffentlichung einer Zero-Day-Schwachstelle mit einem CVSS-Score von 9 oder 10 und einer RCE- oder Privilegienerweiterung - also Schwachstellen, die typischerweise für Ransomware genutzt werden - erstellt Censys Fingerabdrücke der spezifischen, betroffenen Softwareversionen, um den Umfang der Schwachstelle rechtzeitig zu erfassen. Die Bemühungen zur schnellen Reaktion auf Ransomware konzentrieren sich auf die Analyse von Schwachstellen in Edge-Geräten und Software, die bekannte Ziele von Ransomware sind. Im Anschluss an die Analyse von Censyswerden Censys ASM-Benutzer direkt in ihren ASM-Arbeitsbereichen oder per E-Mail benachrichtigt, ob Anlagen auf ihrer Angriffsfläche von der Zero-Day-Schwachstelle betroffen sind, so dass sie mit der raschen Behebung beginnen können. Das Censys Research Team veröffentlicht außerdem ausführliche Rapid Response-Artikel, die die Art der Zero-Day-Schwachstelle, ihre Bedeutung für Unternehmen und die beobachteten Auswirkungen näher beschreiben. Beispiele für Rapid Response-Berichte des Teams über Schwachstellen, die von Ransomware-Gruppen ausgenutzt wurden, sind TellYouthePass, MOVEit, Deadbolt und ESXiArgs.
Censys Attack Surface Management ermöglicht es Unternehmen, den Blick nach links zu verlagern und die Schwachstellen zu identifizieren, zu priorisieren und zu patchen, die Ransomware-Gruppen ausnutzen werden. Censys ASM ersetzt veraltete, punktuelle Bestandsaufnahmen durch kontinuierliche Erkennung und ein umfassendes Bestandsverzeichnis, das Sicherheitsteams kontrollieren können. Mit Censys ASM profitieren Sicherheitsteams von täglich aktualisierten Angriffsflächen sowie von der Möglichkeit, Rescans zur objektiven Validierung von Abhilfemaßnahmen bei Bedarf zu nutzen. Die führende Internet-Intelligenz, auf der Censys ASM basiert, gibt den Sicherheitsteams die Gewissheit, dass sie die genaueste und aktuellste Übersicht über alles haben, was sie besitzen.
Proaktive Verteidigung beginnt mit Censys ASM
Der Bericht des Cynetia Institute über Ransomware-Taktiken zeigt eine wichtige Möglichkeit für Unternehmen aller Größen und Branchen auf, ihr Ransomware-Risiko zu verringern. Durch die effektive Priorisierung und das Patchen von Schwachstellen mit Censys ASM können Sicherheitsteams sinnvolle, messbare Maßnahmen ergreifen, um ihre gefährdeten, öffentlich zugänglichen Anlagen zu verwalten. Im Gegenzug können sie die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs einschränken - und ihrem Unternehmen helfen, aus den Schlagzeilen zu kommen.
Censys ASM
Möchten Sie mehr darüber erfahren, wie Censysden unübertroffenen Überblick über die globale Internet-Infrastruktur zur Abwehr von Ransomware genutzt hat? Dieselbe Internet-Intelligenz, die Censys ASM-Kunden dabei hilft, Schwachstellen auf ihrer Angriffsfläche zu identifizieren, ermöglicht es auch dem Censys Forschungsteam, Ransomware-Kampagnen zu beobachten und zu untersuchen, während sie sich weltweit ausbreiten. Die ausführlichen Berichte unseres Teams über die ESXiArgs- und Deadbolt-Ransomware-Kampagnen sind nur einige der vielen Forschungsartikel, die die Leistungsfähigkeit von Censys Internet Intelligence veranschaulichen.