Ransomware-Banden AGIEREN VIEL SCHNELLER ALS FRUHER. DADURCH BLEIBT UNTERNEHMEN WENIGER ZEIT, Ransomware-Attacken Zu Erkennen.
Laut einer analyser des detection gérée-détection-et-réponse-undernehmens Huntress von ransomware-Vorfällen im Vergangenen jahr beträgt die durchschnittliche zeit bis zur lösegelfrorderung (ttr) Etwa 17 sunden. Bei Einigen Gruppen Sind Es Sogar Nur Vier Bis Sechs Stundden. Dieses Tempo Steht dans Krassem Gegensatz Zu der Vorgehensweise Großer ransomware-gruppen vor dem aufkommen des doppelten erpressungnsurnds vor einigen Jahren. Damals Hielten Sie Sich Tagelang Oder Wochenlang dans Den Netzwerken der Opfer Auf, Um Sich Einen Besseren Zugang Zu Verschaffen und Die Vollständige Kontrolle Zu Erlangen.
ES BESTEHT AUCH EIN KLARER ZUSAMMENHANG ZWISCHEN der Durchschnittlichen Ttr Einer Ransomware-Gruppe und der Anzahl ihrer Opfer, Wie der Report Zeigt. Gruppen, die im Jahr 2024 dans bezug auf ihre aktivitäten erheblich gewachsen Sind, wie ransomhub, lynx / inc, akira und play, weisen mit unter acht sunden einige der niedrigsten ttrs auf.
Einige dieser Gruppen Verfolgen auch Einen «smash-and-grab» -ansatz. SIE NEHMEN KLEINE UND MITTELSTändische Unternehmen Ins Visier Nehmen und Bieten Ihren Partnern – Den Hackern, Die Die Einbrüche und Infektionen Durchführen – Sehr Hohe Prozentsätze der lösegeldbeträge an. Dies ist ein anreiz für meure un partenaire, donc Viele Lösegeldzahlungen Wie Möglich Zu Generieren.
Weniger Möglichkeiten Zur Erkennung
Darüber Hinaus Belegt Die Studie, Dass Sich Einige ransomware-gruppen mehr auf erpressung durch datendiebstahl als auf traditionelle datenverschlüsselungsmethoden konzentrieren – obwohl die meisten grruppen beike tun. Zu Dieser Verschiebung Könnten VerBesserungen Bei Den Endpoint Detection and Response (EDR) -Tools und der Ransomware-Erkennung Im Allgemeinen Sowie Erfolgreiche Strotfverfolgungsmaßnahmen Beigetragen Haben.
„Während Diese Abwehrmaßnahmen Erfolgreich Waren, Haben Data-Loss-Prevention-Dienste (DLP) Kaum Fortschritte Gemacht und Werden Oft Nur dans Ausgereiften Unternehmensumgebungen Installelit“, schreiben hurnth-forscher dans ihrerem installer. «Angreifer Werden sich dieser umstände immer mehr bewusst und entscheiden sich dafür, daten zu Stehlen und sie für die erpressung von lösegeld zu behalten.»
Allerdings ist ttr kein perfektes maß für die beurteilung der geschwindigkeit von ransomware-angriffen, da sich die variablen bei vorfällen oft unterscheiden:
- Der erste zugangspunkt für die angreifer und die damit verbundenen privilegien.
- Wie einfach ist es, Andere Netzwerksegmente und-systeme von dem urrsprünglich kompromittierten objekt aus zu erreichen.
- Ob der zugang zur umgebung von einem zugangsvermittler un einen ransomware-betteiber weiterverkauft wurde.
- Agierten die angreifer Nur Außerhalb der Regulären Geschäftszeiten des Opfers?
Ein Weiterer Wichtiger Faktor, Den Huntress Analysierte, War Die Anzahl der Aktionen, Die Angreifer Nach der ersten Komprotierung Innerhalb Einer Umgebung Durchführten. Dazu Gehören Böswillige Aktionen Wie Netzwerkscans Zur Aufklärung, mouvement latéral, vidage von Anmeldeinformationen Zur Privilegieskalation, Das Ausführen von Skripten, terminalbefehle, das herunterladen zusätzlicher charges payantes
Diese Kennzahl Ist Wichtig, Denn Je höher die anzahl der Böswilligen Aktionen Ist, Desto Größer ist Die Wahrscheinlichkeit, Dass Eine Warnung Ausgelöst Wird, Um eindringlinge Frühzeitig während eines angriffs zu entdecken. Laut Huntress lag die durchschnittliche anzahl der böswilligen aktionen bei untersuchten den ransomware-vorfällen bei 18 einige gruppen führten nur sechs aktionen durch, während andere mehr als 30 intiierten.
„Angreifer, die auf Erpressung, Datetendiebstahl und Spionage Aus Sind, Neigen Dazu, Mehr Aktionen Durchzuführen. Zu den Aktivitäten Zählen Pivoting, récolte de données et exfiltration », Schreiben Die Forscher. «Angreifer, die auf lösegeldzahlungen für die entschlüsselung angewiesen Sind, neigen dazu, eine geringere anzahl von aktionen durchzuführen, da sie im grunde genommen nur zerstören und unhlen.»
Wechselnde Taktiken
Ransomware Machte Fast Zehn Prozent Aller Arten Von Bedrohungen Aus, Die Huntress Entdeckte. Dabei Verzeichneten Die Sektoren Gesundheitswesen, Technologie, Bildung, Fertigung und Regierung Die Höchsteten Rateten von ransomware-Vorfällen. EST IST JÉDOCH ERWähnenswert, Dass Einige der Anderen Bedrohungen, Die Société Verfolgt Werden, Wie malware Oder Skripte, Oft als einfallstor für ransomware Dienen.
Zum Beispiel Stellte Huntress Einen Deutlichen Anstieg Beim Misbrauch von Tools Für Die Fernüberwachung und -Verwaltung (RMM) Wie Connectwise Screenconnect, TeamViewer und Logmein Fest, Um Zugang Zu Netzwerken Zu Erhalten und Zu Beheten. Einige Ransomware-Gruppen Haben dans Der Vergangenheit Zero-Day-Schwachstellen dans RMM-TOOLS AUSGEUTZT.
Es gibt auch branchenspezifische veränderungen bezüglich der Taktik. Die Forscher Stellten Fest, Dass Sich Die Lösegeldvorfälle IM Gesundheitswesen von der Traditionalllen Datenverschlüsselung Hin Zum Datetentiebstahl Verlagern.
„Angreifer exfiltrieren daten bis zum zeitpunkt der lösegelforandung an ein opfer. Viele Angreifer Verwenden Rar oder Zip, um die daten zu bündeln und auf ihre c2-server zu transférieren “, so Huntress. «Wir Haben Festgellt, Dass Die Angreifer Immer Raffinierter Werden und Verschlüsselte P2P-Dienste Wie Cloudflare-Tunneling Nutzen, Um Nicht Nur Daten Zu Exfiltrieren, Sondern Auch Tools und Maliware Zu Liefern.» (JM)
