Eine neue Studie zeigt, dass Ransomware-Angriffe, die ungepatchte Software-Schwachstellen ausnutzen, gravierendere Folgen haben als solche, die auf gestohlenen Zugangsdaten basieren.

In der Untersuchung wurden IT-Fachleute aus kleinen und mittelständischen Unternehmen befragt, die im letzten Jahr von Ransomware-Angriffen betroffen waren. Es stellte sich heraus, dass durch ausgenutzte Schwachstellen verursachte Angriffe zu schwerwiegenderen Schäden mit höheren Kosten führten, während kompromittierte Zugangsdaten oft weniger schädliche Infektionen zur Folge hatten. Zudem wurden die am stärksten betroffenen Branchen identifiziert.

Ransomware-Angriffe durch ungepatchte Schwachstellen

Fast ein Drittel aller Ransomware-Angriffe nutzt ungepatchte Schwachstellen aus, wobei der Prozentsatz je nach Branche variiert. Besonders hart trifft es die Energie-, Öl- und Gasindustrie (49% der Angriffe), vermutlich wegen der Abhängigkeit von älteren, anfälligeren Technologien mit begrenzten Patch-Möglichkeiten.

Selbst wenn Patches verfügbar sind, betrafen über die Hälfte (55%) der jüngsten Angriffe bekannte Schwachstellen wie ProxyShell und Log4Shell. Das Risiko von Angriffen steigt zudem mit der Größe der Organisation, da komplexe IT-Umgebungen mit einer größeren Angriffsfläche schwerer effektiv zu verwalten und zu patchen sind.

Die Analyse von Sophos zeigt, dass Ransomware-Angriffe, die Schwachstellen ausnutzen, schädlicher sind als jene, die gestohlene Zugangsdaten verwenden.

Die Methode, Schwachstellen auszunutzen, führte in allen drei Aspekten – Kompromittierung von Backups, Verschlüsselung von Daten und Erhalt von Lösegeldzahlungen – zu schlechteren Ergebnissen. Angreifer zielen bei beiden Methoden gleichermaßen auf Backups ab, haben jedoch beim Ausnutzen von Schwachstellen öfter Erfolg (75% vs. 54%), was entweder auf eine höhere Fähigkeit der Angreifer oder auf schwächere Backup-Schutzmaßnahmen hinweist.

Die Verschlüsselung von Daten steigt signifikant (67% vs. 43%) bei der Ausnutzung von Schwachstellen, möglicherweise aufgrund der Fähigkeiten der Angreifer oder generell schwächerer Verteidigungen. Organisationen mit verschlüsselten Daten zahlen wahrscheinlicher das Lösegeld (71% vs. 45%), wenn Backups kompromittiert sind, was den Druck erhöht, kritische Daten wiederherzustellen.

Es wurde festgestellt, dass Ransomware-Angriffe, die ungepatchte Schwachstellen ausnutzen, signifikant teurer und störender sind als solche, die gestohlene Zugangsdaten verwenden.

Obwohl die Lösegeldsummen ähnlich waren, mussten Organisationen viel seltener das volle Lösegeld selbst zahlen, wenn kompromittierte Zugangsdaten der Einstiegspunkt waren.

Die vollständige Wiederherstellung dauerte signifikant länger (über einen Monat für 45% der Opfer) und kostete viermal mehr (3 Millionen USD vs. 750.000 USD), wenn Schwachstellen ausgenutzt wurden, vermutlich weil das Patchen von Schwachstellen und das Wiederherstellen beschädigter Systeme komplexer ist als das Zurücksetzen kompromittierter Zugangsdaten.