Im Gegensatz zu herkömmlichen On-Premises-Infrastrukturen ist die Angriffsfläche von Hyperscale- und Multi-Cloud-Umgebungen deutlich größer. Dadurch wird die Sicherung von Cloud-Infrastrukturen zu einer besonderen Herausforderung. Um sich erfolgreich vor Angriffen zu schützen, müssen Unternehmen einen proaktiveren Ansatz verfolgen. Die folgenden Szenarien verdeutlichen dies:
Social Engineering
Viele Ransomware-Attacken beginnen mit einem sogenannten Social-Engineering-Angriff, indem Cyberkriminelle das Vertrauen von Endanwendern ausnutzen und sie dazu verleiten, eine Aktion auszuführen, z. B. auf einen Link zu klicken, der einen entsprechenden Prozess in Gang setzt.
Diese Methode ist gerade in Zeiten der Unsicherheit sehr beliebt. Ein Bericht von INTERPOL aus dem Jahr 2020 stellte fest, dass Cyberkriminelle die Angst der Menschen vor COVID-19 als Teil ihrer Angriffe nutzten. Aufgrund fehlender Informationen zu COVID-19 waren viele Menschen besonders anfällig für Social-Engineering-Angriffe. Dies ist jedoch nicht die einzige Art und Weise, wie Social Engineering funktioniert – Cyberkriminelle geben sich bspw. als Ihr Chef aus, der Ihnen einen Geschenkgutschein für Mitarbeiter schickt, oder als Bauunternehmer, der versucht, Ihr Klimaanlagensystem reparieren.
Und auch dann, wenn Mitarbeiter in Sachen Mal- und Ransomware geschult sind, kann es trotzdem vorkommen, dass ihr Vertrauen und ihre Gutgläubigkeit durch Social-Engineering-Attacken ausgenutzt werden oder sie eine mögliche Bedrohung nicht melden, auch wenn sie es besser wissen sollten.
Executable Ransomware
Bei Executable Ransomware, zu Deutsch „ausführbarer“ Ransomware, löst der Endanwender, der auf einen Link oder ein Dokument klickt, einen Schadcode aus, der eine Datei auf die Festplatte überträgt. Das ist das, was man normalerweise unter einem sogenannten Trojaner versteht. Ein typisches Beispiel für diese Art von Ransomware ist auch der "Fake Anti-Virus"-Trojaner. In diesem Fall werden die Endanwender benachrichtigt, dass auf ihrem Computer eine Bedrohung erkannt wurde, und aufgefordert, im Internet nach "Antivirus" zu suchen, um die Bedrohung zu beheben. Daraufhin finden sie ggf. "kostenlose" Software online, laden sie herunter und installieren diese.
Bedauerlicherweise laden sie dann aber Ransomware herunter, die sich nach der Installation automatisch aktiviert. Anschließend wird der Trojaner auf ihren Computer geladen, und zwar in der Regel an einem versteckten Ort. Von dort aus kann es ein paar Minuten oder ein paar Monate dauern, bis sich die Ransomware in ihrem Netzwerk verbreitet. Auf das Signal des Angreifers hin, wird die Ransomware ausgeführt.
Fileless Attacks
Fileless, also „dateilose“ Ransomware installiert sich in normalerweise nativen, sicheren Systemtools. Wenn der Anwender auf einen Link oder ein Dokument klickt, lädt er einen Ransomware-Code herunter. Im Gegensatz zum Trojaner ist es jedoch nicht erforderlich, die Ransomware zu installieren, damit sie sich auf das Gerät auswirken kann. Bei einem Fileless-Angriff verwendet der Schadcode eine systemeigene Skriptsprache, z. B. Makros, oder schreibt sich in den Speicher des Geräts. So kann eine fremde Tabellenkalkulation, die ein Makro verwendet, um eine Reihe von Aktionen zu replizieren, oder eine PDF-Datei, die Formatierungscode enthält, schnell gefährlich werden.
Da bei Fileless-Angriffen keine Daten auf eine Festplatte geschrieben werden müssen, sind sie in Hyperscale-Infrastrukturen immer häufiger anzutreffen. Sie verstecken sich in völlig legitimen Anwendungen wie Microsoft Word, sodass praktisch jede webbasierte Anwendung, jeder Speicherort und jede Datenbank angegriffen werden kann. Unerkannt bettet die Fileless-Malware ihren Code in eine zentrale Quelle ein, z. B. in ein Betriebssystem, auf dem ein Server läuft. Von dort aus kann sie unerkannt bleiben, bis sie einen Großteil der Daten Ihres Unternehmens verschlüsselt und exportiert.
Besonders beunruhigend ist, dass Fileless-Ransomware kaum forensische Beweise hinterlässt, da sie nichts auf einem Gerät speichert. Daher haben es Security-Analysten während des Untersuchungs- und Wiederherstellungsprozesses schwer, sie zu finden und zu entfernen.