Im November 2021 kündigte das US-Finanzministerium eine Partnerschaft mit Israel zur Bekämpfung von Ransomware an. Da Ransomware-Angreifer zunehmend kooperative globale Organisationen aufbauen, ist es ermutigend zu sehen, dass auch die Verteidiger grenzüberschreitend zusammenarbeiten. Der Umfang der Ransomware-Angriffe, insbesondere auf kritische Infrastrukturen, hat die Aufmerksamkeit der Regierungen und die Aufsicht der Industrie erhöht. Auch wenn koordinierte Strafverfolgungsmaßnahmen Ransomware-Banden kurzfristig im Keim erstickt haben, gibt es keinen Grund zu der Annahme, dass Ransomware in absehbarer Zeit verschwinden wird.
Ransomware hat sich in den letzten Jahren zu einer der größten Bedrohungen für die Cybersicherheit entwickelt. Nach Angaben der Ransomware Task Force gab es im Jahr 2020 mindestens 2.400 Ransomware-Angriffe, und die Ransomware-Opfer zahlten 350 Millionen US-Dollar - ein Anstieg um 311 % gegenüber dem Vorjahr. Es wird interessant sein zu beobachten, wie sich diese Statistiken im Jahr 2021 verändern werden, wenn man bedenkt, wie viele aufsehenerregende Ransomware-Angriffe im vergangenen Jahr stattgefunden haben.
So war der Ransomware-Angriff auf Colonial Pipeline wohl der aufsehenerregendste Ransomware-Angriff des vergangenen Jahres, da er eine einwöchige Unterbrechung der Dienste des Energieunternehmens zur Folge hatte und zudem ein Lösegeld von fast 5 Millionen US-Dollar forderte. Der Angriff wurde von DarkSide durchgeführt, einer Ransomware-Bande, die behauptete: "Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik, Sie brauchen uns nicht mit einer bestimmten Regierung in Verbindung zu bringen und nach unseren Motiven zu suchen."
Ransomware-Banden wie DarkSide haben sich in den letzten Jahren weiterentwickelt und sind bei ihren Operationen organisierter und bei ihren Angriffen gezielter vorgegangen (so genannte "Großwildjagd" für größere finanzielle Zahlungen). Im dunklen Netz gibt es einen florierenden kriminellen Untergrund mit lose verbundenen Partnern, die jeweils ihre eigenen Rollen und Verantwortlichkeiten haben.
Erstzugriffs-Broker sind darauf spezialisiert, Zugangsdaten zu stehlen, die sie an andere Kriminelle verkaufen. Sobald ein Opfer kompromittiert ist, bieten viele Ransomware-Banden einen Support an, der das Lösegeld aushandelt oder Anweisungen für die Zahlung gibt. Ransomware-as-a-Service (RaaS) hat Ransomware-Angriffe für Kriminelle, denen es an technischem Fachwissen mangelt, zu einer Massenware gemacht - ein dunkler Spiegel der Cybersicherheitslösungen, die diese Angriffe verhindern sollen. Der Punkt ist, dass Ransomware-Angreifer als internationale Organisationen agieren, die mit Kriminellen auf der ganzen Welt zusammenarbeiten.
Eine internationale Antwort
Nach dem Angriff auf die Colonial Pipeline erließ die Biden-Administration eine Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation, in der der private Sektor aufgefordert wurde, mit der Bundesregierung zusammenzuarbeiten, um eine bessere Cybersicherheit zu fördern. Einen Monat später, im Juni 2021, forderte das Justizministerium 2,3 Millionen Dollar von DarkSide zurück, indem es dessen Zahlungen verfolgte. DarkSide brach unter dem Druck zusammen und kündigte an, den Betrieb einzustellen, was viele Sicherheitsforscher zu der Annahme veranlasste, dass es eine koordinierte Zerschlagung seiner Infrastruktur gegeben hatte.
Präsident Bidens Durchführungsverordnung hat den Weg für eine Reihe von Ankündigungen zur Cybersicherheit im Jahr 2021 geebnet, darunter ein nationales Sicherheitsmemorandum zur Verbesserung der Cybersicherheit für Kontrollsysteme kritischer Infrastrukturen sowie die Entwicklung eines Zero Trust Maturity Model. Die Regierung drängt auf eine stärkere Zusammenarbeit, aber einem hochrangigen Beamten des Weißen Hauses zufolge"ist der Punkt, auf den wir hinauswollen: Die Bundesregierung kann dies nicht allein tun.Die Sicherung unserer kritischen Infrastrukturen erfordert eine gesamtstaatliche Anstrengung, und die Industrie muss ihren Teil dazu beitragen."
Neben öffentlich-privaten Partnerschaften arbeitet die Regierung auch mit ihren verbündeten Ländern zusammen. Die kürzlich angekündigte Partnerschaft des US-Finanzministeriums mit Israel zur Bekämpfung von Ransomware wird beiden Ländern zugutekommen, da Ransomware und Cyberangriffe ohne Grenzen operieren.
Einige der fortschrittlichsten Cybersicherheitslösungen der internationalen Gemeinschaft sind sowohl in Israel als auch in den Vereinigten Staaten zu finden. Ein Grund dafür, dass Israel so viele Cybersicherheitslösungen hervorbringt, ist die Wehrpflicht für alle Bürger des Landes. Die offensiven und defensiven Cybersicherheitsmethoden der israelischen Verteidigungskräfte haben zur Entwicklung vieler innovativer Technologien geführt. Daher sollte diese neue Partnerschaft einen bilateralen Austausch von bewährten Verfahren und Spitzentechnologien ermöglichen.
Darüber hinaus hat das israelische Nationale Cyber-Direktorat vor kurzem eine überarbeitete Cyber-Defense-Doktrin eingeführt. Diese Doktrin basiert auf einem gemeinsamen Sicherheitsrahmen (CSF) des US-amerikanischen National Institute of Standards and Technology (NIST). Das bedeutet, dass der Zeitpunkt der Partnerschaft zwischen den Vereinigten Staaten und Israel ideal ist, um einen Informationsaustausch auf der Grundlage der aktualisierten israelischen Cybersicherheitskontrollen zu ermöglichen, die spezielle Empfehlungen zur Bekämpfung von Ransomware enthalten.
Da Ransomware-Angriffe immer häufiger werden und inzwischen auch kritische Infrastrukturen ins Visier nehmen, hat diese gemeinsame Task Force die Aufgabe, Ransomware-Angriffe zu verhindern, bevor ein Schaden entsteht, der nicht mehr rückgängig gemacht werden kann. Nachdem es vor kurzem gelungen ist, REvil, BlackMatter und DarkSide zumindest vorübergehend außer Gefecht zu setzen, ist zu erwarten, dass diese Gruppen mit neuer Wucht zurückkehren und neue Gruppen auftauchen werden, um ihre Lücke zu füllen, darunter auch mächtige, von Nationalstaaten unterstützte Bedrohungsakteure.
In Anbetracht des nationalstaatlichen Aspekts von Ransomware-Angriffen hat diese gemeinsame Task Force auch das Potenzial, die Finanzierung internationaler terroristischer Organisationen und anderer feindlicher Organisationen zu unterbrechen. Es gibt bereits viele etablierte internationale Programme zum Austausch von Geheimdienstinformationen. Diese neue Task Force bietet den Verteidigern daher die Möglichkeit, einen "Linksruck" zu vollziehen, indem sie Ransomware als Finanzierungsquelle für Terrorismus und andere unterdrückerische Regime ausschalten.
Im Bereich der Cybersicherheit gibt es kein Patentrezept für den Schutz von Organisationen, weshalb die Zusammenarbeit so wichtig ist. Die Förderung der Zusammenarbeit zwischen Industrie und Regierung auf der ganzen Welt ermöglicht größere Synergien, damit diese Organisationen über die besten Gegenmaßnahmen zum Schutz ihrer Operationen verfügen. Da Ransomware-Angreifer ihre Operationen immer weiter vorantreiben, ist es unerlässlich, dass auch kritische Branchen ihren Schutz verbessern. Da Ransomware-Angreifer ihre Operationen immer weiter vorantreiben, müssen auch kritische Industrien ihren Schutz verbessern.
