Big Game Hunting durch Cyberangreifer

November 2, 2022

Was ist Big Game Hunting durch Cyberangreifer?

Beim Big Game Hunting durch Cyberangreifer wird in der Regel Ransomware auf große, lukrative Unternehmen oder hochkarätige Ziele losgelassen.

Im Allgemeinen wird bei der Wahl der Opfer darauf geachtet, dass sie in der Lage und Willens sein werden, ein Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen und öffentliche Kritik zu vermeiden. Häufige Ziele sind:

  • Große Unternehmen
  • Banken und andere Finanzinstitute
  • Versorgungsunternehmen
  • Krankenhäuser und andere Gesundheitseinrichtungen
  • Behörden
  • Vermögende Privatpersonen wie Stars und prominente Unternehmer
  • Alle Unternehmen mit vertraulichen Daten wie geistigem Eigentum, Geschäftsgeheimnissen oder Krankenakten

Der aktuelle Stand beim Big Game Hunting

Laut einem Joint Cybersecurity Advisory der Cybersecurity and Infrastructure Security Agency (CISA), des FBI und anderer Sicherheitsgruppen vom Februar 2022 gibt es Anzeichen für einen Rückgang beim Big Game Hunting im zweiten Halbjahr 2021. Scheinbar wenden sich die Angreifer eher anderen Taktiken zu, seitdem Strafverfolgungsbehörden intensiver ermitteln und die Gewinne nach dem Cyberangriff auf Colonial Pipeline Co. im Mai 2021 sinken. Bei diesem Angriff, der große Schlagzeilen gemacht hatte, konnte das FBI das gezahlte Lösegeld teilweise wiederbeschaffen.

Dennoch zeigen aktuelle Analysen von CrowdStrike, dass Big Game Hunting für große Unternehmen – unabhängig von Standort und Sektor – nach wie vor ein erhebliches Sicherheitsproblem darstellt. Der CrowdStrike eCrime Index (ECX) ist ein proprietäres Tool, das eine kombinierte Bewertung erstellt und die Beobachtung von Veränderungen in der Bedrohungslandschaft ermöglicht. Dieses Tool bestätigt, dass Big Game Hunter im Mai 2021 ihr Tempo reduziert bzw. ihre Aktivitäten eingestellt hatten. Seit September 2021 erreichen die Big Game Hunting-Aktivitäten aber fast wieder Spitzenniveau. Dieser Trend ist also wieder auf dem Vormarsch.

Die jüngste Ausgabe des jährlichen Global Threat Report von CrowdStrike bestätigt diese Analyse. Dem Bericht zufolge „wirkten sich die Zunahme und die Folgen von Big Game Hunting im Jahr 2021 spürbar auf alle Branchen und fast alle Länder der Welt aus“. Obwohl manche Angreifer und Ransomware-Familien ihre Aktivitäten 2021 eingestellt haben, ist die Gesamtzahl der aktiven Ransomware-Varianten gestiegen. Das CrowdStrike Intelligence-Team beobachtete 2021 einen 82%igen Anstieg bei Ransomware-bezogenen Datenlecks.

2022 CrowdStrike Global Threat Report

Laden Sie den Global Threat Report 2022 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.

Jetzt herunterladen

Wer sind die Big Game Hunter?

Big Game Hunter sind raffinierte Akteure und oft Teil einer organisierten kriminellen Gruppe, die lukrative Ziele ins Visier nimmt. Diese Gruppen agieren häufig als stark strukturierte und organisierte Netzwerke, praktisch wie ein Unternehmen. Sie werden oft staatlich unterstützt und haben mutmaßlich Verbindungen zu Regierungsbehörden oder prominenten Persönlichkeiten.

Im Adversary Universe von CrowdStrike wird das Verhalten besonders aktiver Angreifergruppen aus aller Welt beleuchtet und verfolgt. Das Adversary Universe bietet Kunden einen Überblick über die typischen Bedrohungen – entweder basierend auf der angegriffenen Branche oder den Angreiferprofilen.

Wie greifen Big Game Hunter an?

Big Game Hunter setzen für ihre Angriffe verschiedene Techniken ein. Meistens fällt die Wahl auf Ransomware – eine Form von Malware, die die Daten von Opfern verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigibt.

Cybercrime-Gruppen setzen immer mehr auch auf Ransomware-as-a-Service (RaaS). Wie der Name es vermuten lässt, handelt es sich hierbei um ein Geschäftsmodell, bei dem Ransomware-Varianten geleast werden (vergleichbar mit dem Leasing legitimer SaaS-Produkte).

In der nachfolgenden Tabelle finden Sie bekannte Beispiele für RaaS und die zugehörigen Big Game Hunter:

RaaSTechnikBig Game Hunter
DarkSideDie DarkSide-Betreiber konzentrierten sich in der Vergangenheit vor allem auf Windows-Systeme. In letzter Zeit wurden die Aktivitäten auch auf Linux ausgeweitet und Unternehmensumgebungen angegriffen, die ungepatchte VMware ESXi-Hypervisoren ausführen. In anderen Fällen werden vCenter-Anmeldedaten gestohlen. DarkSide RaaS ist vermutlich auch der Angriffsvektor hinter dem medienwirksamen Angriff auf Colonial Pipeline.CARBON SPIDER
REvil (auch bekannt als Sodinokibi)REvil ist eine RaaS, die am häufigsten von PINCHY SPIDER verwendet wird. Bei diesen Angriffen wird Opfern in der Regel bei Nichtzahlung eines Lösegelds mit einer Datenveröffentlichung gedroht.
REvil ist die Ransomware, die hinter der bislang höchsten bekannten Lösegeldforderung steckt: 10 Millionen US-Dollar.
PINCHY SPIDER
DharmaDharma-Ransomware-Angriffe stehen vor allem mit RDP-Angriffen (Remote Desktop Protocol) in Verbindung. Die verschiedenen Dharma-Varianten stammen aus unterschiedlichen Quellen und sind von ihrer Art her praktisch identisch. Daher lässt sich nur schwer bestimmen, wer hinter einem Angriff steckt.Mit einer iranischen Gruppe mit finanziellen Interessen verbunden
Nicht zentral kontrolliert
LockBitLockBit wird seit 2019 entwickelt. Bei diesen Angriffen wird Lösegeld gefordert, um die Veröffentlichung eines gestohlenen Datensatzes zu vermeiden. Diese RaaS war nachweislich an mindestens neun Angriffen beteiligt.Russischsprachigen Benutzern oder englischsprachigen Benutzern mit russischsprachigem Verantwortlichen zugeordnet

Neben Ransomware und RaaS nutzen Big Game Hunter auch verschiedene Sicherheitslücken, um bei ihren Angriffen voranzukommen. Beispiele:

  • Ausnutzung von Cloud-Schwachstellen: Aus dem Global Threat Report 2022 von CrowdStrike geht hervor, dass böswillige Akteure bekannte RCE-Sicherheitslücken (Remote Code Execution, Remote-Codeausführung) in Server-Software häufig opportunistisch ausnutzen. Dazu führen sie in der Regel Scans durch, um anfällige Server zu ermitteln. Nach dem Erstzugang setzen sie dann unterschiedlichste Tools ein, um den Angriff voranzutreiben. Verschiedene Angreifer (insbesondere Big Game Hunter) nutzen solche Sicherheitslücken, um sich Erstzugang zum System zu verschaffen.
  • Zero-Day-Angriff: Bedrohungsakteure veröffentlichen Malware, um Sicherheitslücken in Software auszunutzen, bevor Software-Entwickler sie patchen können. Der Begriff „Zero-Day“ wird verwendet, weil der Software-Anbieter nichts von der Software-Schwachstelle wusste und „0“ Tage (engl. „zero days“) Zeit hatte, um an einem Sicherheits-Patch oder Update zum Beheben des Problems zu arbeiten. Angriffe dieser Art sind außerordentlich schwer zu erkennen und stellen daher ein großes Sicherheitsrisiko dar.

Welche Kosten entstehen durch Big Game Hunting?

Big Game Hunting-Kampagnen entwickeln sich schnell weiter. Daher steht immer mehr auf dem Spiel und die von Opfern geforderten Summen steigen.

Nachfolgend werden einige aktuelle Ransomware-Statistiken aus der jährlichen CrowdStrike Global Security Attitude Survey und dem Global Threat Report genannt:

  • Die durchschnittliche Lösegeldzahlung ist auf 1,79 Millionen US-Dollar gestiegen, während es 2021 noch 1,10 Millionen US-Dollar waren. Das entspricht einer Steigerung von 63 %.
  • Im Durchschnitt fordern Angreifer Lösegelder in Höhe von 6 Millionen US-Dollar.
  • Im Vergleich zu 2020 haben die Ransomware-bezogenen Datenlecks 2021 um 82 % zugenommen.
  • 96 % derjenigen, die das erste Lösegeld gezahlt haben, mussten auch weitere Erpressungsgelder zahlen.
  • 66 % der befragten Unternehmen verzeichneten in diesem Jahr mindestens einen Ransomware-Angriff.
  • 57 % der von Ransomware betroffenen Unternehmen besaßen keine umfassende Strategie zur Koordinierung ihrer Reaktionsmaßnahmen.

Wie können Sie sich vor Big Game Hunting schützen?

Wie im Global Threat Report 2022 von CrowdStrike erläutert, wird Big Game Hunting auch 2022 die Cybercrime-Landschaft dominieren. Der Access-Broker-Markt wird Ransomware-Betreibern weiter Zugang zu Opfern bieten – sodass die Angreifer keinen Erstzugang benötigen und noch schneller Malware verbreiten können.

Um Big Game Hunting-Angriffe schneller zu identifizieren und die Risiken zu reduzieren, sollten Unternehmen eine robuste Cybersicherheitsstrategie entwickeln, mit der sie sich auf verschiedenen Ebenen schützen können. Dies sind hilfreiche Empfehlungen für die Implementierung einer umfassenden Cybersicherheitsstrategie:

  1. Schulen Sie alle Mitarbeiter in den Best Practices der Cybersicherheit. Bei der Sicherheit stehen Ihre Mitarbeiter an vorderster Front. Stellen Sie sicher, dass sie gute Hygienepraktiken befolgen, indem sie z. B. starke Kennwörter verwenden, sich nur mit sicheren WLANs verbinden und in unerwarteten E-Mails nicht auf Links klicken.
  2. Halten Sie Ihr Betriebssystem und andere Software mit Patches und Updates immer auf dem aktuellen Stand. Cyberkriminelle suchen ständig nach Lücken und Hintertüren, die sich ausnutzen lassen. Wenn Sie Ihre Systeme stets aktuell halten, minimieren Sie Ihre Anfälligkeit für bekannte Schwachstellen.
  3. Implementieren und optimieren Sie E-Mail-Sicherheitsmaßnahmen. CrowdStrike empfiehlt die Implementierung einer E-Mail-Sicherheitslösung, die URLs filtert und Anhänge per Sandbox analysiert. Diese Maßnahmen können mit einer automatischen Funktion optimiert werden, die bereits zugestellte E-Mails unter Quarantäne stellt – noch bevor der Benutzer mit ihnen interagiert.
  4. Überwachen Sie Ihre Umgebung kontinuierlich auf böswillige Aktivitäten und Angriffsindikatoren (IOAs). Die endpunktbasierte Detektion und Reaktion (EDR) fungiert als Überwachungskamera für alle Endgeräte. Sie erfasst Rohdaten zu Ereignissen, damit automatisch böswillige Aktivitäten erkannt werden können, die den Präventionsmaßnahmen entgangen sind. Außerdem bietet sie den erforderlichen Überblick für die proaktive Bedrohungssuche.
  5. Integrieren Sie Bedrohungsdaten in Ihre Sicherheitsstrategie. Überwachen Sie Ihre Systeme in Echtzeit und bleiben Sie bei Bedrohungsdaten auf dem neuesten Stand. Auf diese Weise können Sie Angriffe schnell erkennen, optimale Reaktionsmöglichkeiten bestimmen und die weitere Ausbreitung verhindern.
  6. Entwickeln Sie Ransomware-sichere Offline-Backups. Die wichtigste Überlegung bei der Entwicklung einer Ransomware-sicheren Backup-Infrastruktur besteht darin, dass Bedrohungsakteure zuerst Online-Backups angreifen und dann Ransomware in der eigentlichen Umgebung aktivieren. Deshalb können Sie Daten bei einem Ransomware-Angriff nur dann retten, wenn die Backups Ransomware-sicher sind. Das können zum Beispiel Offline-Backups Ihrer Daten sein, die sich im Notfall schnell wiederherstellen lassen.
  7. Implementieren Sie ein robustes Identitätsschutzprogramm. Unternehmen können ihre Sicherheit verbessern, indem sie ein robustes Identitätsschutzprogramm für die lokalen und cloudbasierten Identitätsspeicher (z. B. Active Directory, Azure AD) implementieren. Identifizieren Sie Lücken, analysieren Sie Verhaltensweisen und suchen Sie nach Abweichungen bei allen Mitarbeiterkonten (menschliche Benutzer, privilegierte Konten, Service Accounts). Suchen Sie auch nach lateralen Bewegungen und implementieren Sie risikobasierte adaptive Zugriffe, um Ransomware-Angriffe zu erkennen und zu stoppen.

Schutz Ihres Unternehmen vor Big Game Huntern und Ransomware mit CrowdStrike

Für Cybersicherheitsteams, die Probleme mit der Reaktion auf Cybersicherheitswarnungen und nicht genügend Zeit oder Know-how zum Bewältigen zukünftiger Bedrohungen haben, liefert CrowdStrike Falcon Intelligence™ die notwendigen Informationen, die sie für ihre Arbeit benötigen. Gleichzeitig entfallen die ressourcenintensiven und komplexen Untersuchungen von Zwischenfällen. Falcon Intelligence ist die einzige Lösung, bei der Bedrohungsanalysen wirklich in den Endgeräteschutz integriert sind und die automatisch Untersuchungen durchführt. Auf diese Weise wird die Reaktion beschleunigt und Sicherheitsteams können vom reaktiven in den vorausschauenden proaktiven Modus wechseln.

Wichtige Vorteile:

  • Automatisiert Untersuchungen für alle Bedrohungen, die Ihre Endgeräte erreichen
  • Liefert individuelle Kompromittierungsindikatoren, um proaktiven Schutz vor getarnten Bedrohungen zu bieten
  • Liefert umfassende Informationen zu Angriffen, damit Sie schnellere und bessere Entscheidungen treffen können
  • Unterstützt Ihr Team mit Analysen des CrowdStrike Intelligence-Teams
  • Vereinfacht den Betrieb durch die nahtlose Integration in die CrowdStrike Falcon®-Plattform

Weitere Informationen finden Sie auf unserer Falcon Intelligence-Produktseite oder im Falcon Intelligence-Datenblatt, das zum Download bereitsteht.

Schutz, Erkennung, Reaktion und Wiederherstellung mit EY und CrowdStrike

Die NGSOAR-Services und -Lösungen (Next Generation Security Operations and Response) von EY bieten in Kombination mit der CrowdStrike Falcon-Plattform branchenführende Schutz- und Erkennungsfunktionen mit Cyber-Bedrohungsanalysen und Bedrohungssuche rund um die Uhr. Damit verschaffen Sie sich einen erheblichen Vorteil gegenüber Ransomware-Bedrohungen. Mit der Lösung erhalten unsere gemeinsamen Kunden Echtzeiteinblicke in die Umgebung ihres Unternehmens. Potenzielle Kompromittierungen werden identifiziert und beseitigt und stummes Versagen wird verhindert. Diese starke Kombination ermöglicht die Eindämmung aktiver Bedrohungen und ihre schnelle Beseitigung aus Ihrem Netzwerk, sodass Ransomware-Angriffe unmittelbar und effizient gestoppt werden.

Weitere Informationen zur EY-Lösung Next Generation Security Operations and Response Ransomware Readiness and Resilience finden Sie in diesem Datenblatt.