Whitepaper
Ransomware Schweiz – Unternehmen im Visier
Ransomware Schweiz – Unternehmen im Visier
Meldungen zu Cyberbedrohungen bleiben auch in diesem Quartal auf einem hohen Stand. Verglichen zum vorgehenden Quartal (8308) haben sich die Meldungen leicht verringert (7253). Die Dunkelziffer dürfte dennoch weiterhin hoch liegen, obwohl das NCSC mehr Visibilität erhält. In diesem Quartal stagnierten die Meldungen pro Woche stärker als noch im letzten. Am wenigsten Meldungen wurden in der KW 17 verzeichnet mit 390 Meldungen, die meisten Meldungen gingen in der KW 22 ein mit 809. Betrug ist auch in diesem Quartal die Kategorie mit den meisten Hinweise (66.4%). Gefolgt von Phishing (11.2%) und Spam (8.2%). Zusammen machen diese drei Kategorien 85.7% aller Meldungen aus. Abbildung 1 zeigt die Meldungseingänge nach Kategorie für die Kalenderwochen 13 bis 24.
Abbildung 1: Meldungseingang KW 13-24 (NCSC, 2022)
Auch der Nachrichtendienst des Bundes (NDB) schreibt in seinem neusten Bericht «Sicherheit Schweiz 2022» der Cybersicherheit einen hohen Stellenwert zu. Weiter verweist der NDB auf die vorgelegten Cyberangriffe auf kritische Infrastrukturen der Ukraine vor dem Angriffskrieges Russlands Anfang Jahr. Abbildung 2 zeigt die Einschätzungen des NDB von Cyberangriffen gegen die Schweiz. Die Wahrscheinlichkeit von Sabotage Angriffen auf Schweizer Unternehmen sieht der NDB allerding als sehr unwahrscheinlich an. Dies widerspiegelt sich auch beim Meldungseingang des NCSC, welcher sich seit Beginn des Krieges nicht signifikant erhöht hat. Als wahrscheinlich sieht der NDB Desinformationskampagnen gegen Schweizer Personen, Institutionen oder ausländische Ziele mit Einfluss auf Schweizer Diskurs. Die wahrscheinlichste Gefahr sieht der NDB bei Cyberspionage gegen die Schweiz.
Abbildung 2: Mögliche Folgen des Kriegs in der Ukraine für die Schweiz im Cyberbereich (NDB, 2022)
Ein deutlicher Anstieg verzeichnete die Kategorie «Diverses» in den Kalenderwochen 22 bis 24. Grund dafür war ein hohes Spoofing Aufkommen. Dabei kam es zu Anrufen von Callcentern mit gefälschten Telefonnummern. Es wurden oftmals Schweizer Mobiltelefonnummern verwendet, welche Empfänger dazu verleiten, das Gespräch anzunehmen oder zurückzurufen. Abbildung 3 zeigt den deutlichen Anstieg von Spoofing Meldungen ab KW 22.
Abbildung 3: Meldungseingang «Diverse» Kalenderwoche 13-24 (NCSC, 2022)
Einige Bürgerinnen und Bürger erhielten so bis zu 50 Rückrufe pro Tag. Dagegen unternehmen können die Geschädigten aber kaum etwas. Bei Spoofing definieren Angreifer mittels Software eine beliebige Telefonnummer, welche auf den Geräten angezeigt wird. Gemäss dem NCSC sind solche Spoofing-Wellen aber in der Regel kurzlebig und klingen nach kurzer Zeit wieder ab. Als Empfehlung schreibt das NCSC, eine Meldung beim Telefonanbieter zu erstatten, wenn die Anrufe nach einigen Tagen nicht aufhören.
In der KW 19 wurden SMS-Nachrichten beobachtet, welche Opfer dazu bringen wollte die Schadsoftware «FluBot» auf dem Smartphone zu installieren. Oftmals geschieht dies mit SMS-Nachrichten von angeblichen Paketlieferungen. Die Webseite hinter dem Link fordert das Opfer dazu auf, eine Software des Paketlieferdienstes auf das Android Smartphone herunterzuladen. Die Schadsoftware FluBot ist in der Schweiz bekannt: Bereits in der KW 12 kam es zu mehreren Vorfällen und auch im Jahr 2021 (KW 41) wurde die Schweiz von einer grossen Welle getroffen.
FluBot ist eine Malware, welche sich auf den Diebstahl von SMS-Nachrichten auf (Android) Smartphones spezialisiert hat. Ziel der Malware ist das Erlangen von Bankinformationen und Einmal-Passwörtern. Angreifer erhoffen sich so Zugang zum eBanking ihrer Opfer oder stehlen andere sensitive Daten wie Passwörter. Oftmals verteilt sich die Malware automatisch über das Adressbuch des Opfers weiter.
Installieren Sie keine Software aus inoffiziellen App Stores auf Ihren Mobilgeräten, insbesondere wenn sie über einen Link dazu aufgefordert werden. Sollten Sie bereits solche Software installiert haben, lassen Sie das Gerät von einer Fachperson überprüfen.
Am 7. Juni meldete das FedPol, dass die Malware in einer grossangelegten internationalen Aktion mit Schweizer Beteiligung zerschlagen wurde. Die Ermittlungen zur Täterschaft dauern noch an.
Schwachstellen werden von Angreifern immer wieder ausgenutzt, um sich Zutritt zu Systemen zu verschaffen. Besonders gefährdet sind Systeme, welche direkt aus dem Internet erreichbar sind.
Das Internet wird laufend von Angreifern auf Systeme mit solchen Schwachstellen durchsucht. Je länger man wartet, desto wahrscheinlicher wird es, dass ein Angreifer die Schwachstelle ausnutzen kann.
Das NCSC hat dieses Jahr bereits mehrfach Organisationen per Einschreiben informiert, welche Microsoft Exchange Schwachstellen aufwiesen. Doch leider reagieren Unternehmen gemäss Aussagen des NCSC selten auf die Warnungen. Ein vom NCSC gewarntes Unternehmen wurde bereits Opfer einer Ransomware Attacke.
Anfang Juni war die Kollaborationssoftware Confluence von einer Schwachstelle betroffen (CVE-2022-26134). Der Hersteller Atlassian warnte am 2. Juni, dass die Schwachstelle bereits aktiv ausgenutzt wird und stellte einen Tag später einen Patch und Workaround bereit. Am 7. Juni erhielt das NCSC die erste Meldung, dass diese Schachstelle bereits ausgenutzt wurde, um Ransomware beim betroffenen Opfer zu installieren.
Stellen Sie sicher, dass sie kritische Patches so schnell wie möglich installieren. Verschaffen Sie sich einen Überblick / Inventar der im Unternehmen verwendeten Software. Nutzen Sie risikominimierende Massnahmen wie Geofencing, um den Zugriff auf den vom Internet erreichbaren Systemen einzugrenzen.
Als Unterstützung bei der Überwachung der Schwachstellen von Internet publizierten Systemen empfehlen wir unseren Managed Perimeter Scan. Scannen Sie alle Ihre extern erreichbaren Systeme regelmässig auf bekannte Schwachstellen und behalten Sie so den Überblick.
Nach einem Rückgang der Meldungen Ende Q1 2022, welche auch am Anfang des Q2 andauerte, stiegen die Anzahl Meldungen ab KW 17 wieder an. Die letzten 3 Wochen des Quartals wiesen alle über 700 Meldungen auf. Die Verteilung der Meldungen blieb konstant. Einzig die erwähnten Spoofing-Meldungen zeigen sich als deutliche Ausreisser. Gehen weitherhin ähnlich viele Hinweise pro Woche ein, dürfte auch in diesem Jahr ein deutlicher Anstieg der Meldungen bis Ende Jahr stattfinden. Abbildung 4 zeigt in den durchgängigen Linien die effektiven Werte für die Jahre 2020-2022. Mod2 ist eine Vorhersage basierend auf dem Mittelwert der Daten für 2022. Mod1 und Mod2 berücksichtigen jeweils die Standardabweichung vom Durchschnitt der Datenpunkte von 2022.
Abbildung 4: Entwicklung der Meldungen beim NCSC 2020-2022
Ransomware ist und bleibt eine existenzbedrohende Gefahr für Schweizer Unternehmen. Im Q2 wurden im Schnitt 2.7 Meldungen pro Woche zu Ransomware erstattet. Im Q1 waren es 3.6. Lediglich in der KW 14 wurde keine Meldung zu Ransomware beim NCSC erstattet.
Abbildung 5 zeigt die Entwicklung der Ransomware Meldungen beim NCSC für die Jahre 2020 bis 2022. Als Vorhersage wurde der bisherige Mittelwert (Mod2) für 2022 verwendet. Mod1 und Mod2 berücksichtigen jeweils die Standardabweichung vom Durchschnitt für die Datenpunkte für 2022. Gehen im Schnitt genauso viele Meldungen zu Ransomware ein wie bisher, dürften Ende Jahr etwa gleich viele Meldungen zu Ransomware eingehen als 2021 (+5.17).
Abbildung 5: Entwicklung Ransomware Meldungen 2020-2022
Das NCSC und die Cybersecurity Industrie warnen schon seit Jahren nachdrücklich vor der Gefahr durch Ransomware. Jedoch ist die Sicherheitsmaturität in vielen Schweizer Betrieben noch nicht auf dem Niveau, um Ransomware auf Augenhöhe zu begegnen.
Ransomware stellt Unternehmen nämlich nicht nur vor technologische Herausforderungen, wie das sichere Konfigurieren von Firewalls, Endpoint Protection Lösungen etc., sondern auch vor organisatorische. Ausgebildetes Personal, Prozesse und das regelmässige Trainieren möglicher Szenarien fehlen heute in vielen Unternehmen komplett. Immer wieder fällt der Begriff „mangelnde Visibilität“. Oft sind die Probleme und Unsicherheiten bei einzelnen Stakeholdern bekannt, laufen aber in den wenigsten Fällen zentral zusammen. Dies erschwert das effiziente Angehen der eigenen Schwächen.
Mit unseren Ransomware Readiness Checks helfen wir Unternehmen, diese Visibilität zu erhalten: In Interviews durch zwei Security Experten, durchleuchten wir jede Phase eines Angriffs und sprechen mit allen involvierten Stakeholdern. Dabei werden sowohl technische wie organisatorische Aspekte analysiert. Die Ergebnisse werden übersichtlich dargestellt mit konkreten Handlungsempfehlungen, um Organisationen schnellstmöglich auf die Gefahr Ransomware vorzubereiten.
Mehr Informationen zu Ransomware finden Sie auch in unserem Whitepaper.
Obwohl am Anfang des Quartals das Meldevolumen rückläufig war, stieg die Anzahl deutlich an. Das NCSC erhält mehr Visibilität und auch dadurch mehr Meldungen erhält. Dennoch dürfte die Dunkelziffer nach wie vor hoch liegen. Unternehmen müssen sich auf die Gefahren aus dem Cyberraum vorbereiten. Denn aktuell haben viele Unternehmen noch erheblichen Aufholbedarf, um ihr Unternehmen vor Cyberkriminellen zu schützen. Doch oftmals fehlen Ressourcen, welche auch aufgrund des aktuellen Fachkräftemangels nicht einfach geschlossen werden können. Eine Möglichkeit, dieses Problem zu minimieren, ist das Einbinden von externen Experten und nutzen von Managed Services.
Wichtig ist aber, dass sich das Top-Management der Risiken für ihr Unternehmen bewusst werden. Cybersecurity ist ein komplexes Problem mit vielen involvierten Stakeholdern, Prozessen und Technologien. Um das Management in den strategischen Entscheiden zu unterstützen, bietet Asecus unter anderem den Ransomware Readiness Check an, welcher das Sicherheitslevel eines Unternehmens sichtbar und verständlich macht. Mit den konkreten Handlungsempfehlungen erleichtern wir die nachhaltige Verbesserung des Securitylevels. Falls Sie Fragen haben oder Unterstützung benötigen, um die IT-Sicherheit in Ihrem Unternehmen zu verbessern, kontaktieren Sie uns! Unser Team von Security Experten berät Sie gerne.
Haben Sie Fragen zu IT Security, oder wie Sie Ihr Unternehmen noch sicherer machen? Nehmen Sie mit uns Kontakt auf, wir beraten Sie gerne!