Derzeit sind die Statistiken über die Auswirkungen von Ransomware auf Cloud-Dienste spärlich. Glücklicherweise sind sich jedoch die meisten Unternehmen der Bedrohung durch Ransomware bewusst. Viele bemühen sich, zuverlässige Methoden zur Verhinderung, Entfernung und auch zur Sanierung nach einer Infektion zu finden. Das Problem: Es gibt keine narrensichere Methoden, die solche Angriffe verhindern könnten. Wir müssen uns vielmehr auf eine Kombination von Tools, Maßnahmen und Mitarbeiter-Trainings verlassen, um die Integrität unserer Systeme und Daten zu gewährleisten.
Die COVID-19-Beschränkungen in den letzten Jahren zwangen eine große Zahl von Mitarbeitern dazu, von zu Hause aus zu arbeiten. Diese Verlagerung hat viele Unternehmen veranlasst, verstärkt Cloud-basierte Dienste zu nutzen, vor allem wegen ihrer leicht zugänglichen Speicher- und Kollaborationsfunktionen. Wie nicht anders zu erwarten, haben Cyberkriminelle diese Entwicklung ausgenutzt. Sie entwickelten raffinierte Ransomware, die speziell auf Cloud-Dienste abzielt. Angreifer setzen z.B. Techniken ein, die ihre Opfer dazu verleiten, bösartige OAuth-Apps und Chrome-Erweiterungen zu installieren. Diese fordern den Zugriff auf ihr Cloud-Konto an, unabhängig davon, ob es sich um ein Google Workspace- oder Microsoft 365-Konto handelt. Sobald Angreifer Zugriff auf das Konto haben, installieren sie Ransomware-Anwendungen die damit beginnen, die Cloud-Daten zu verschlüsseln. Erschwerend kommt hinzu: Viele aktuelle Ransomware-Varianten richten doppelten Schaden an. Zunächst stehlen die Angreifer sensible Daten, dann verschlüsseln sie die Dateien und drohen damit, die Daten freizugeben, wenn das Opfer sich weigert Lösegeld zu zahlen.
Arten von Cloud-Ransomware-Angriffen
Es gibt viele verschiedene Arten von Ransomware, jedoch verwenden Angreifer drei Haupttechniken, um Ransomware in einer Cloud-Umgebung auszuführen: mit Ransomware infizierte File-Sharing-Dienste, RansomCloud-Angriffe und Ransomware, die auf Cloud-Anbieter abzielt.
Mit Ransomware infizierte Filesharing-Dienste
In diesem Fall infiziert das Ransomware-Programm einen Dateifreigabedienst, der mit einer Cloud-Plattform verknüpft ist. Das Programm verschlüsselt zunächst die Dateien, die auf dem lokalen Rechner des Opfers gespeichert sind. Die Infektion breitet sich dann auf den Cloud-Speicher aus und verschlüsselt die Daten weiter.
RansomCloud-Angriffe
Ein RansomCloud-Angriff ist eine relativ neue Art von Ransomware, die auf Cloud-basierte E-Mail-Dienste wie Office 365 abzielt. Die Angreifer nutzen Phishing-Techniken, um sich Zugang zu E-Mail-Konten zu verschaffen, verschlüsseln die E-Mails und fordern dann ein Lösegeld. Die Angreifer versuchen auch, sich als Kontobesitzer auszugeben, um die Kontakte des Opfers dazu zu bringen, die Ransomware-Anwendung zu installieren und zu verbreiten.
Ransomware, die auf Cloud-Anbieter abzielt
Im Gegensatz zu Unternehmen, die Cloud-Service-Anbieter nutzen, versuchen Bedrohungsakteure oft, die Cloud-Service-Anbieter selbst ins Visier zu nehmen. Aus ihrer Sicht ist dies sehr sinnvoll: Ein erfolgreicher Angriff auf das Konto eines Mitarbeiters ermöglicht es ihnen, Daten in der gesamten Cloud-Infrastruktur zu verschlüsseln und so eine weitreichende Störung zu verursachen. In diesem Szenario ist davon auszugehen, dass zumindest eines der Unternehmen, die den Dienst nutzen, das Lösegeld zahlen wird.
Wie Sie sich vor Cloud-Ransomware-Angriffen schützen können
Eine Reihe bewährter Cloud-Sicherheitsmaßnahmen kann die Wahrscheinlichkeit eines Cloud-Ransomware-Angriffs effektiv minimieren:
Informieren Sie Ihre Mitarbeiter: Führen Sie (mindestens einmal jährlich) Trainings zum Sicherheitsbewusstsein durch. Alle Mitarbeiter sollen in der Lage sein, verdächtige E-Mails, Anhänge, Links, Drittanwendungen und Erweiterungen zu erkennen. Die Mitarbeiter sollten außerdem darfür sensibilisiert werden, ihr Gerät vom Netzwerk zu trennen, sobald sie feststellen (oder auch nur vermuten), dass sie Opfer eines Ransomware-Angriffs geworden sind.
Sichern Sie Ihre Daten: Erstellen Sie regelmäßig Backups Ihrer Daten und bewahren Sie diese an einem getrennten und sicheren Ort auf. Ziehen Sie die Nutzung eines Cloud-to-Cloud-Backup-Anbieters in Erwägung. Überlegen Sie, ob Sie die Daten nicht sogar lokal sichern.
Verwenden Sie Anti-Phishing-Tools: Setzen Sie eine Cloud-basierte Anti-Phishing-Lösung ein, die prädiktive KI zur Abwehr hoch entwickelter Phishing-Angriffe nutzt.
Führen Sie eine Echtzeit-Audit-Lösung ein: Überwachen Sie Ihre Cloud-Umgebung kontinuierlich, entweder mit den Tools, die in die von Ihnen gewählte Cloud-Plattform integriert sind, oder mit einer speziellen Auditing-Lösung eines Drittanbieters, die verdächtige Datei- und Ordneraktivitäten in Echtzeit erkennen und darauf reagieren kann. Eine Technik, die als "Schwellenwert-Alarmierung" (threshold alerting) bekannt ist, kann verwendet werden, um Ereignisse zu erkennen und darauf zu reagieren, die einer vordefinierten Schwellenwert-Bedingung entsprechen, z. B. wenn mehrere Dateien innerhalb eines bestimmten Zeitraums verschlüsselt worden sind. Dann kann automatisch ein Skript ausgeführt werden, das ein Benutzerkonto deaktiviert, einen bestimmten Prozess stoppt oder - je nachdem, wie viel Kontrolle Sie über Ihre Infrastruktur haben - den betroffenen Server herunterfährt oder deaktiviert.
Blockieren Sie bösartige Websites und Apps: Es ist unerlässlich, alle von Ihren Mitarbeitern installierten Anwendungen von Drittanbietern, einschließlich mobiler Apps und Browsererweiterungen, zu überprüfen. Verwenden Sie nach Möglichkeit Webfilter und Blacklisting/Whitelisting von Anwendungen. So können Sie sicherstellen, dass Ihre Mitarbeiter keine bösartigen Websites besuchen oder Apps installieren, die bekanntermaßen bösartige Nutzdaten enthalten.
Installieren Sie Updates/Patches: Stellen Sie sicher, dass für alle Software in Ihrem Netzwerk (einschließlich persönlicher Geräte) die neuesten Updates/Patches installiert sind. Auch wenn die meisten Ransomware-Angriffe über Phishing-Versuche erfolgen, versuchen Angreifer dennoch, bekannte Software-Schwachstellen auszunutzen, um den Angriff auszuführen und auf andere Systeme zu übertragen.
Nutzen Sie mehr als einen Cloud-Anbieter: Erwägen Sie, mehr als einen Cloud-Anbieter zu nutzen. Auf diese Weise können Sie im Katastrophenfall einige (oder alle) Geschäftsabläufe weiterführen, während Sie das Problem beheben. Vergessen Sie nicht, dass Transparenz der Schlüssel ist. Wenn Sie eine Multi-Cloud-Infrastruktur einrichten, sollten Sie sicherstellen, dass Ihre Auditing-Lösung in der Lage ist, Ereignisdaten von mehreren Plattformen zusammenzufassen und eine Zusammenfassung der Ereignisse über eine einzige Konsole anzuzeigen.