Anatomie eines Ransomware Angriffes
Die Gefahrenlage, die von Ransomware, einer besonders perfiden Unterart von Schadcode (Malware) ausgeht, ist nach wie vor sehr hoch und gehört zu den größten Cybergefahren eines Unternehmens. Daher empfehlen wir jedem sich durch geeignete Maßnahmen vor diesem Angriff zu schützen und sich auf den möglichen Befall vorzubereiten. Bei einem Ransomware-Angriff werden geschäftskritische Dienste und Dateien durch Verschlüsselung unbrauchbar, und nach Zahlung eines Lösegeldes wieder zugänglich gemacht. Firmen stehen in der Situation oft unter Druck, da das Wiederanfahren der IT-Landschaft mit erheblichen Ressourcenaufwand (Zeit, Geld, Personal und evtl. Neubeschaffung von Hardware) verbunden ist. Neben dem Reputationsverlust und erheblichen Ausfällen, die mit so einem Vorfall einher gehen, stehen auch juristische Themen wie das Melden eines DSGVO-Verstoßes oder die Frage ob die Lösegeldforderung gezahlt werden soll, im Raum. Der Artikel zeigt auf, warum die klassischen Ansätze wie Anti-Viren-Systeme (sogenannte Endpoint-Security Lösungen) und deren moderneren Varianten mit EDR (Endpoint Detection and Response) sowie XDR (eXtended Detection and Response) heute nicht mehr ausreichend sind und was Sie als Unternehmen dagegen tun können.
Was ist Ransomware?
Bei Ransomware handelt es sich um bösartige Software (Malware), die Ihre wertvollsten Daten verschlüsselt und für dessen Freigabe anschließend Lösegeld verlangt. Opfer können Einzelpersonen und Verbraucher sowie Privatunternehmen oder öffentliche Einrichtungen und Organisationen aus dem Finanz- und Gesundheitssektor sein. Betroffene können oft nicht mehr auf wichtige persönliche Daten oder essentielle Geschäftsdokumente oder Unternehmensdienste zugreifen. Mit der Zeit sind Ransomware-Angriffe immer raffinierter und perfider geworden und auch die Methoden entwickeln sich stetig weiter.
Damit Sie sich gegen diese neuartigen Angriffe schützen können, bedarf es ebenfalls einer nach dem Stand der Technik angemessenen Verteidigungsstrategie. Wie Berichten von Sicherheitsforschern und Sicherheitsbehörden entnommen werden können, breiten sich Ransomware-Angriffe immer weiter aus. Sie gehören zu den Haupt-Bedrohungsszenarien für Regierungen, Organisationen (egal welcher Größe) und Einzelpersonen auf der ganzen Welt. Hinzu kommt, dass die Erkennung von Ransomware-Angriffen durch den Einsatz von dateilosem Schadcode und Skripten (LoLBins) deutlich komplexer geworden ist. Kriminelle nutzen Anonymisierungstechniken und organisieren sich im Darknet, um Opfer gezielt anzugreifen, Daten – also Informationen – über sie zu sammeln und untereinander auszutauschen.
Der beste Weg einen Ransomware-Angriff zu blocken, besteht darin, zu verhindern, dass der Schadcode überhaupt auf Ihre IT-Systemen gelangen und ausgeführt werden kann. Die aktuelle Situation einzuschätzen, hilft Ihnen die Notwendigkeit nach einem Zero-Trust-Ansatz zu verstehen.
Warum ist ein vielschichtiger Ansatz erforderlich, zu denen nach wie vor Mechanismen wie E-Mail-Schutz, MFA, EDR und XDR und einige weitere Härtungsmaßnahmen gehören? Diese Frage möchten wir gerne aufklären und Ihnen im weiteren Verlauf einige Gruppierungen und Backgroundinformationen zur Verfügung stellen, warum eine konsequente Umsetzung eines Zero-Trust-Ansatzes immer wichtiger wird.
Wichtigste Ransomware-Kartelle
Die Hürde, um Zugang zu Angriffstechnologien und dem nötigen Know-How zu erlangen, ist durch as-a-Service-Lösungen (kurz „aaS“) in Untergrundforen sehr gering geworden. Kosten und Zeitaufwand bewegen sich in einem – selbst für Privatpersonen – realisierbaren Rahmen. Die folgenden fünf Beispiele der erfolgreichsten Gruppierungen, die für die weltweite Durchführung von Ransomware-Angriffen verantwortlich sind, geben einen Einblick über die wichtigsten Ransomware-Ableger:
Im Jahr 2022 war es eine der am häufigsten eingesetzten Ransomware-Varianten weltweit, und wurde in der Öffentlichkeit vor allem durch den Angriff auf das französische CHSF-Krankenhaus bekannt. Die LockBit-Gruppe bietet einen “Ransomware as a Service” (RaaS), so dass Angreifer ohne eigene Ressourcen Angriffe mit den LockBit-Malware-Tools durchführen können. Lockbit betreibt die Server-Infrastruktur, entwickelt Exploits und übernimmt die Kommunikation mit dem Opfer, so dass Kriminelle von den Vorgehensweisen der Partner profitieren und die bei den Angriffen verwendeten spezifischen Taktiken, Techniken und Prozessen (TTPs) stark variieren. Stets um im Verborgenen und unerkannt zu agieren.
Die ALPHV-Ransomware-Gruppe, auch BlackCat genannt, ist ein Akteur, dessen Aktivitäten seit November 2021 beobachtet werden. Sie haben sich auf Sektoren wie dem Gesundheitswesen, der Finanzbranche, den Fertigungsunternehmen und Regierungsorganisationen spezialisiert. Sie verwendet fortschrittliche Verschlüsselungsalgorithmen, um Dateien zu verschlüsseln, und fordern Lösegeld für deren Freigabe. Zu ihren Taktiken gehören Phishing-Kampagnen, Exploit-Kits und die Ausnutzung anfälliger Remote-Desktop-Dienste, um sich unbefugten Zugang zu Systemen zu verschaffen.
Die CL0P-Gruppe ist seit etwa Februar 2019 aktiv. Sie ist bekannt für ihre ausgefeilten Techniken, darunter eine doppelte Erpressungsstrategie. Sie zielt auf Organisationen in Bereichen wie Gesundheitswesen, Bildung, Finanzen und Einzelhandel ab. Zusätzlich zur Verschlüsselung von Dateien, veröffentlichen sie besonders sensible Daten, um den Druck auf die Opfer zu erhöhen. Ihre Verbreitungsmethoden umfassen häufig Phishing-E-Mails und gezielte Angriffe auf einzelne Ziele.
Die PYSA-Gruppe, auch bekannt als Mespinoza, ist seit Anfang 2020 aktiv. Sie zielt ebenso auf Sektoren wie Gesundheitswesen, Bildung, Regierung und Fertigung ab, verwendet starke Verschlüsselungsmethoden, und lässt oft sensible Daten vor der Verschlüsselung durchsickern. Diese doppelte Erpressungsmethode erhöht die Notwendigkeit der Lösegeldzahlung. Die Gruppe nutzt häufig Taktiken wie Phishing-Kampagnen und die Ausnutzung von Schwachstellen, um sich unbefugten Zugang zu verschaffen und ihre Angriffe auszuführen.
Die BianLian-Gruppe, die der Bedrohungsgruppe WIZARD SPIDER zugerechnet wird, ist seit Juni 2022 aktiv. Sie zielt auf Organisationen in Bereichen wie Gesundheitswesen, Energie, Finanzen und Technologie ab. Sie setzt verschiedene Taktiken ein, darunter Phishing-Kampagnen und die Ausnutzung von Schwachstellen, um sich unbefugten Zugang zu verschaffen, um ihre Opfer zu infiltrieren. Die Angriffe führen zu erheblichen finanziellen Verlusten und Produktions-Unterbrechungen bei den betroffenen Unternehmen.
Ablauf eines Angriffs – Angriffsphasen – die Cyber-Kill-Chain
Ein Cyber-Angriff wird klassischerweise in sieben Phasen unterteilt. Diese Phasen muss ein Angreifer für einen erfolgreichen Angriff vollständig durchlaufen. Im Kontext von Ransomware kommt noch eine achte Phase hinzu. Diese Phasen reichen vom Sammeln von Informationen bis zur erfolgreichen Kompromittierung (Übernahme) der IT-Systeme ihrer Opfer und der Ausführung ihres Angriffs bis zur Monetarisierung der in Geiselhaft genommenen Daten und der Wiederherstellung der befallenen Systeme.
Um einen Angriff zu verhindern, müssen Sie lediglich die Kette an einer beliebigen Stelle unterbrechen. Ihr Vorteil: Es gibt für jede Phase spezifische Maßnahmen, um einen Angriff abzuwehren. Die Angriffsphasen werden wie folgt unterschieden:
Der Angreifer sammelt Informationen über das Zielsystem oder -unternehmen. Mögliche Quellen und Schwachstellen sind ungepatchte IT-Systeme, Social-Media, Phishing-Kampagnen, Mitarbeiterbefragungen, öffentlich verfügbare Daten oder Informationen aus dem Dark Web. Diese Phase dient den Akteuren dazu, lohnenswerte Ziele zu identifizieren, die Infrastruktur und die Schwachstellen ihres Ziels zu verstehen, so dass geeignete Methoden und Taktiken für ihre Angriffe vorbereitet werden können.
In der zweiten Phase werden die Waffen für den Angriff vorbereitet. Dies kann auf unterschiedliche Weise geschehen, wie z. B. durch das Ausnutzen einer Schwachstelle, die Verwendung gestohlener Zugangs- und Anmeldedaten oder sogar durch einen erfolgreichen Phishing-Angriff auf Mitarbeiter. Ziel ist es, sich Zugang durch die Einrichtung einer Backdoor zu verschaffen, damit auch nach dem Schließen der Lücke weiterhin auf die befallenen Systeme zugegriffen werden kann.
Zur erfolgreichen Übernahme eines ersten Systems müssen mehrere Schritte ineinandergreifen. Bis Phase 5 geht es darum Persistenz und damit Kontrolle über eines Ihrer IT-Systeme zu erlangen. Dazu wird Schadcode aus dem Internet nachgeladen, z.B. wird durch Remote-Code Ausführung ein Root-Kit.
Der nächste Schritt besteht darin, eine Schwachstelle auszunutzen, um erhöhte Rechte zu erlangen, um das heruntergeladene Root-Kit zu installieren.
In der Installationsphase wird die Softwarekomponente installiert, über die die Angreifer aus der Ferne auf ihre Systeme zugreifen. Gelingt dieser Schritt wurde der Schritt der Persistenz erreicht und der Angreifer kann ebenso Ihr IT-System kontrollieren. Nun können die Angreifer das Netzwerk und die Geräte, die mit dem Einstiegspunkt verbunden sind, auf weitere Schwachstellen scannen. Dazu gehört das Erlangen von Domänen-Anmeldeinformationen (genauer Domänen-Administrator-Rechte), die sie verwenden können, um Zugang zu weiteren Systemen und Ressourcen zu erhalten. Anschließend können die Angreifer tiefer im Netzwerk eines Unternehmens Fuß fassen, ihre Präsenz vertiefen und ihre Kontroll- und Zugriffsmöglichkeiten erweitern. Durch diesen Prozess erhalten Ransomware-Gruppen Zugang zu den Daten, die sie letztlich stehlen und unbrauchbar machen wollen. Bei den Daten kann es sich um personenspezifische Daten, vertrauliche Informationen, geistiges Eigentum, Finanzdaten oder persönliche Aufzeichnungen handeln. Entscheidend ist, dass der Angreifer einen möglichst großen Schaden erzielt und das Unternehmen zur Bereitschaft zur Zahlung des Lösegeldes motiviert wird. Die gesammelten Daten werden in der Regel über geschützte Kanäle an externe Server weitergeleitet. Auf diese Weise können Kopien der Daten gegen Lösegeld gelöscht und/oder für den Verkauf gespeichert werden.
Die Steuerung der Systeme wird über sogenannte Command & Control-Server erreicht, um die eigene Quell-IP-Adresse zu verschleiern und entweder automatisiert oder manuell Befehle an die Systeme der Opfer, auch „Bots“ genannt, zu übertragen. In dieser Phase nutzen die Angreifer den Zugriff, um z.B. Schutzmechanismen zu überwinden und unbrauchbar zu machen, Daten aus dem Unternehmen auszuleiten und den eigentlichen Verschlüsselungsprozess vorzubereiten. Sie deaktivieren oder manipulieren Backup-Systeme, Intrusion-Detection-Systeme, Firewalls oder andere Sicherheitsmaßnahmen, die ihre Aktivitäten behindern oder detektierbar machen. Das Ziel ist den Schaden zu maximieren und so die Zahlungswahrscheinlichkeit zu erhöhen.
In dieser Phase findet der eigentliche Ransomware-Angriff statt. In diesem Schritt erfolgt die Auslieferung der Ransomware und dessen Ausführung um Ihre Daten durch Verschlüsselung zu blockieren, firmenkritische Dienste und Prozesse zu stoppen und durch das Löschen von Logs Spuren zu verwischen. Abschließend platzieren die Angreifer eine Lösegeldforderung, um Kapital aus dem erfolgreichen Angriff zu schlagen.
Im Kontext mit Ransomware wird noch eine achte Phase betrachtet: die Monetarisierung. In dieser Phase versucht der Cyberkriminelle seinen erfolgreichen Angriff zu monetarisieren, indem er primär vom Opfer Lösegeld erpresst. Dafür bietet er bei Zahlung mit Glück seine Unterstützung bei der Entschlüsselung der Daten für einen begrenzten Zeitraum an. Falls Sie nicht auf seine Forderung eingehen sollten, droht er durch Veröffentlichung abgegriffener Daten einen hohen Reputationsschaden zu erwirken und durch den Verkauf der sensiblen Informationen im Dark Web noch eine Teilkompensation zu erreichen. Möglicherweise wird er Sie gezielt nach etwas Zeit erneut attackieren.
Nach einer Lösegeldzahlung ist nicht sicher, ob eine vollständige Entschlüsselung der zerstörten Daten erfolgen wird, in jedem Fall werden Sie sich mit der Wiederinbetriebnahme Ihrer IT-Systeme beschäftigen und auf einen funktionierenden Datenbestand zurückgreifen müssen. Beides ist mit einem gewissen Risiko verbunden und geht mit der Möglichkeit einher Systeme nicht retten zu können.
Fazit
Durch das professionelle Agieren von Untergrundorganisationen und dem einfachen Zugang zu Ransomware besteht in der heutigen Cyberwelt ebenso die Notwendigkeit Schutzvorkehrungen gegen Cyber-Gefahren zu treffen, wie in der realen Welt auch.
Daher haben wir ein Sicherheitskonzept erarbeitet, das über die Technologien wie MFA, EDR, XDR bei weitem hinaus geht und den Zero-Trust Gedanken konsequent umsetzt.
Wir unterbinden effektiv das Starten eines Prozesses, welcher Schadcode herunterladen könnte, noch bevor es zum Verbindungsaufbau kommt. So erlauben wir Ihrer Software nur noch genau das zu tun, wofür diese auch vorgesehen ist, wir Verbieten also, was nicht explizit erlaubt ist. Dieser Ansatz nennt sich „deny by default“.
Viele Angriffe beginnen heute mit der Ausführung von schadcodefreier Software. Versucht eine Ihrer Anwendungen wie z.B. Microsoft Office, Teams, Ihr Webbrowser oder Ihr ERP- bzw. CRM-System ein Skript oder auf ungewöhnliche Ressourcen zuzugreifen, können wir diesen Vorgang blockieren.
Im Unterschied zu den üblichen Antiviren-Systemen, die nur anhand von Pattern Schadcode erkennen können, ermöglicht unser Zero-Trust Ansatz bereits das Blockieren von zweifelhaften Vorgängen, damit der Schadcode nicht auf Ihr System gelangen kann.
Die Kombination aus diesen Technologien stärkt die Resilienz Ihrer IT-Landschaft und schützt Sie vor Ausfällen. Erhöhen Sie die Sichtbarkeit von Anomalien, indem Sie auf Echtzeit-Verhaltensanalysen, Prozesslogs und Gefährdungsdaten setzen. Nutzen Sie diese Technologien über mehrere Endpunkte können Sie die Daten besser miteinander korrelieren und ausgeklügelte Angriffsmuster unterbinden.
Wir stellen Ihnen gerne unseren Zero-Trust-Ansatz vor und unterstützen Sie beim Etablieren dieser und weiterer Härtungsmaßnahmen. Seien Sie den Angreifern stets einen Schritt voraus!
Stay secured!