Rasanter Ransomware-Anstieg im US-Bildungssektor im 3. Quartal durch Beginn des neuen Schuljahres
Die Anzahl der erfolgreichen Ransomware-Angriffe im US-amerikanischen Bildungssektor ist zwischen dem zweiten und dritten Quartal diesen Jahres um 388 Prozent angestiegen. Ein derartiger Zuwachs war auch schon 2019 zu beobachten und ist daher höchstwahrscheinlich kein Zufall.
In diesem Bericht gehen wir den Gründen für diesen Trend nach. Außerdem zeigen wir eine Möglichkeit auf, wie Schulbezirke Ransomware erkennen und entfernen können, bevor Daten verschlüsselt werden.
Angriffe auf US-Bildungssektor im 3. Quartal stark angestiegen
Der Bildungssektor ist ein beliebtes Ziel für Ransomware, was aufgrund häufig veralteter IT-Ausrüstung und mangelnder Sicherheitsressourcen auch leicht nachvollziehbar ist. Gleichzeitig sorgt die starke Vernetzung von Schul- und Universitätseinrichtungen für eine große Angriffsoberfläche und erhöht das Ausbreitungsrisiko von Malware. Betroffene Schulen sind häufig einem enormen Druck ausgesetzt, die Lösegelder zu bezahlen, um Unterbrechungen des Unterrichts zu minimieren und die Veröffentlichung der gestohlenen personenbezogenen Daten zu vermeiden.
Die Anzahl erfolgreicher Ransomware-Angriffe im Bildungssektor schwankt von Quartal zu Quartal erheblich. In den USA waren im zweiten Quartal 2020 acht Universitäten, Colleges und Schulbezirke von Ransomware betroffen, während es im dritten Quartal bereits 31 Vorfälle gab. Das ist ein Anstieg um 388 Prozent. Bei neun der 31 Angriffe kam es auch zu Datenexfiltration.
Ein derartiger Anstieg gilt in der Regel als Ausreißer, eine Anomalie, auf die sich niemand hätte vorbereiten können. Sehen wir uns jedoch die Zahlen des Vorjahres an, war diese Zunahme an Angriffen jedoch durchaus vorhersehbar und damit verhinderbar. Im Jahr 2019 stieg die Anzahl der Angriffe auf den US-Bildungssektor von fünf Vorfällen im zweiten Quartal auf 51 im dritten Quartal an. Das ist sogar ein Anstieg um 1020 Prozent.
Post-Compromise-Angriffe für Anstieg verantwortlich
Ransomware-Gruppen setzen zunehmend auf sogenannte Post-Compromise-Angriffe, bei denen sie die Daten auf dem kompromittierten System nicht sofort verschlüsseln. Stattdessen bereiten sie die anvisierte Umgebung zunächst vor, indem sie Zugangsdaten sammeln, Daten stehlen, Backups zerstören und Sicherheitsprozesse deaktivieren, um schließlich die Ransomware zum Verschlüsseln bereitzustellen. Die Angreifer sind dabei durchschnittlich 56 Tage in dem kompromittierten Netzwerk aktiv, bevor sie die Ransomware ausliefern.
Dieser saisonale Ransomware-Zuwachs im US-Bildungssektor ist also eher kein Anzeichen für zunehmende Aktivitäten in der Ransomware-Szene oder ein plötzliches Versagen der Schulnetzwerke im dritten Quartal. Es ist viel wahrscheinlicher, dass die Kriminellen, die möglicherweise schon seit Wochen Zugriff auf das Netzwerk hatten, nur auf den richtigen Moment gewartet haben, um mit der Bereitstellung der Ransomware die Wirkung ihres Angriffs zu maximieren.
Im Bildungssektor ist der „richtige Moment“ der Beginn des neuen Schuljahres. Indem sie mit dem Ausliefern ihrer Ransomware warten, bis die Schüler im dritten Quartal wieder den Unterricht aufnehmen, erzielen sie das größte Chaos und setzen die Bezirke am meisten unter Druck. Um schnellstmöglich wieder Zugriff auf die Systeme zu erlangen und den Schulbetrieb fortzusetzen, die Opfer eher bereit, das Lösegeld zu bezahlen. Diese Strategie hat sich in diesem Jahr als besonders wirkungsvoll erwiesen, da aufgrund der Pandemie zahlreiche Bezirke für den Fernunterricht auf die Computersysteme angewiesen waren.
Hätten die Angreifer im Gegenzug dazu ihre Ransomware bereits im zweiten Quartal verteilt, wäre den Schulen über die Sommerpause genug Zeit geblieben, um ihre Daten wiederherzustellen. Folglich wäre auch die Bereitwilligkeit zu einer Zahlung des Lösegelds geringer gewesen.
Besserer Informationsaustausch erforderlich
Falls unsere Theorie richtig ist und Angreifer mit der Bereitstellung in der Tat warten, bietet sich den Opfern damit eine Möglichkeit, Bedrohungen schon in einer frühen Phase des Angriffs und damit noch vor Verschlüsselung der Daten zu erkennen und zu beseitigen.
Dazu müssen die Schulbezirke jedoch in der Lage sein, Hinweise auf bösartige Aktivitäten zu erkennen, die auch als IoC (Indicators of Compromise) bezeichnet werden. Zur Identifizierung dieser IoC müssen Einzelheiten über bereits erfolgte Angriffe gesammelt und zwischen den Bezirken ausgetauscht werden.
Derzeit sind öffentliche Einrichtungen in den USA nicht gesetzlich dazu verpflichtet, Ransomware-Vorfälle zu melden oder offenzulegen. Aus Angst vor Blamage, Stigmatisierung und möglichen Rechtsstreitigkeiten tritt nur eine Minderheit von ihnen freiwillig an die Öffentlichkeit. Dementsprechend gibt es nur wenig Informationen bezüglich der Angriffsvektoren, der involvierten Ransomware-Familien, der Lösegeldbeträge und der finanziellen Auswirkungen der Vorfälle. Diese sind jedoch unerlässlich, um Organisationen zu helfen, ein besseres Verständnis für die Bedrohungslandschaft zu entwickeln und mögliche Sicherheitsrisiken zu beheben.
Jetzt sind Bemühungen gefragt, um diese Informationslücke zu schließen. Ohne eine transparentere Berichterstattung und einen besseren Informationsaustausch sind die Schulbezirke letztendlich dazu verdammt, dieselben Fehler wie vorherige Opfer zu begehen. Dies führt nicht nur zu einer anhaltenden Störung des Bildungssektors, sondern auch zu weiteren Gewinnen für die Ransomware-Gruppen.
- Statistikbericht zu Ransomware (1. Quartal 2020)
- Statistikbericht zu Ransomware (2. Quartal 2020)
- Statistikbericht zu Ransomware (3. Quartal 2020)
- The State of Ransomware in the US: Report and Statistics for Q1 2020 (auf Englisch)
- State of Ransomware in the US: Report and Statistics for Q1 and Q2 2020 (auf Englisch)
- Bericht: Die länderspezifischen Kosten für Ransomware 2020
Übersetzung: Doreen Schäfer