Die Verteidigung gegen sogenannte Ransomware und Krypto-Trojaner zählt heutzutage mit zu den schwierigsten und wichtigsten Aufgaben der IT-Sicherheit. Doch auch 2020 ist sich noch nicht jeder der stetig drohenden Gefahr bewusst. Ebenso wenig der daraus resultierenden Folgen, die ein Befall mit Ransomware mit sich bringen kann. Gastbeitrag von Sebastian Evers
Foto: pixabay
Ransomware zielt mittlerweile auf größere Ziele
Noch bis vor einiger Zeit waren die meisten Ransomware-Attacken noch recht unspektakulärer Natur und betrafen vorwiegend Privatanwender oder Selbstständige sowie deren Computer. Die Lösegeldforderungen lagen meistens bei einigen hundert Euro pro Gerät. Diese Vorgehensweise ermöglicht den Tätern ein lukratives Geschäftsmodell – insbesondere – wenn sie davon ausgehen können; leichtes Spiel mit Endnutzern zu haben.
Mittlerweile sind Cyber-Angriffe mit Ransomware vermehrt auf größere Ziele ausgelegt, deren Budget oder dahinter stehende Cyber-Versicherungen weitaus höhere Lösegeldforderungen zulässt. Große Firmen und Konzerne verfügen auf ihrer Hardware über äußerst wichtige und brisante Daten, deren Verlust ein Erliegen des Tagesgeschäfts zur Folge haben kann. Wie die letzten Jahre gezeigt haben, gibt der Erfolg den Cyber-Kriminellen Recht: Viele Unternehmen sind schnell bereit ein tiefes Loch in den Haushalt zu reißen, um Computersysteme und Dateien wieder frei zu bekommen.
Selbstständige, kleine Unternehmer und Privatanwender fielen meist Ransomware-Derivaten zum Opfer, welche in großer Zahl in Umlauf gebracht worden sind. Phishing-Mails, schädliche Internetseiten und sogenannte Drive-by-Downloads sind nur einige der möglichen Infektionsherde. Inzwischen verzichten die Angreifer auf die massenhafte Verbreitung der Schadprogramme, um möglichst viele kleine Opfer zu erreichen. Stattdessen suchen sich die Ransomware-Erpresser gezielt zahlungskräftige Opfer aus, deren Betrieb ohne funktionierende IT-Infrastruktur zum Erliegen kommt. Daraus lässt sich ableiten, dass diese mehr als nur bereit sind horrende Lösegeldsummen für die Auslöse der Daten, Computersysteme und Server bereitzustellen.
Dieses Vorgehen ist sehr professionell organisiert und auf Gewinnmaximierung ausgerichtet. Angegriffene Organisationen müssen davon ausgehen, dass sie mit empfindlich hohen Lösegeldforderungen konfrontiert werden. Die Erpresser haben sich die Festlegung der geforderten Geldbeträge gut überlegt. Sie wissen genau – oder zumindest können sie es sich ausrechnen – wie viel der Betroffene zu zahlen bereit sein wird, um wieder Zugriff auf seine Systeme zu haben.
Vom Grundprinzip her unterscheiden sich massenhafte Angriffe mit Ransomware und gezielte Angriffe mit Ransomware nicht großartig voneinander. Allerdings gibt es technische Unterschiede. Die massenhafte Verbreitung von Ransomware sowie der Vorgang der Erpressung des Lösegelds läuft vorwiegend automatisiert ab. So vergehen in manchen Fällen, von der Sperrung und Verschlüsselung des Systems, bis hin zur eigentlichen Lösegelderpressung, nur wenige Minuten. Bei manchen Derivaten läuft die Prüfung der Bezahlung und die anschließende Freischaltung per Kommunikation mit dem verantwortlichen Server vollkommen autark – ohne menschliches Zutun.
Koordinierte und gezielte Cyber-Angriffe gleichen APTs (Advanced Persitent Threats); also sich unautorisierte Zugriffe auf fremde Netzwerke verschaffen und über lange Zeiträume unbemerkt bleiben. Diese werden in der Regel von einer oder mehreren Personen betreut und gesteuert und nicht von einem automatischen System. Aus diesem Grund gehen diese Angriffe auch wesentlich langsamer vonstatten.
Die dabei zum Einsatz kommenden Werkzeuge unterscheiden sich ebenfalls. Während massenhafte Ransomware-Attacken sich Anwendungen bedienen, welche spezifisch für eine spezielle Art von Angriffsmuster entwickelt wurden, setzen gezielte Cyber-Angriffe mit Erpressungsabsicht auf modularen Schadcode. In der Aufklärung (Reconnaissance-Phase) bedient man sich zwar oftmals noch klassischer Tools. Doch für den eigentlichen Angriff mit Ransomware sowie die Verschlüsselung durch Krypto-Trojaner, wird auf maßgeschneiderte Programmierungen gesetzt. Im Bedarfsfall kann sogar weiterer Schadcode nachgeladen werden, um effektiv auf jegliche Vorkommnisse reagieren zu können.
Schritt eins: Vorbereitung
Aktuelle Updates und Patches. Da bekanntermaßen die Ausnutzung von Sicherheitslücken die Infektion mit Malware begünstigt, ist der erste Schritt zur Prävention von Ransomware-Angriffen eine aggressive Patch- und Update-Strategie zur Absicherung der potenziellen Zielsysteme.
Vermeidung von Hardware über die man zu wenig Kontrolle hat. Unauthentifizierte Angreifer können beispielsweise Citrix ADC und Netscaler Gateway-Systeme über einen Exploit der gravierenden Sicherheitslücke CVE-2019-19781 ausnutzen und aus großer Entfernung ihre Angriffe durchführen. Dadurch lässt sich mit recht geringem Aufwand eigener Code platzieren und ausführen. Bereits im Dezember 2019 ist die Schwachstelle bekannt geworden, welche aber bisher nur einen provisorischen Fix erhalten hatte. Durch diese verhältnismäßig einfach ausnutzbare Schwachstelle steigt das Risiko von Malware-Infektion und Ransomware-Angriffen für Organisationen, welche Citrix im Einsatz haben, erheblich an. #shitrix ist entstanden.
Geschützte Sicherheitskopien. Sicherheitskopien und deren Schutz sind ebenfalls von sehr großer Bedeutung. Das hohe Risiko von Ransomware bei groß angelegten Cyber-Angriffen auf Firmen resultiert daraus, dass die Angreifer Backup-Dateien und Datensicherungssysteme zerstören und die tagtäglich genutzten Dateien und Systeme verschlüsselt werden. Im Hinblick auf diese Gefahr sollten entsprechende Dokumente, Datenbankensysteme etc. in eng getakteter Abfolge an Orte kopiert werden, die für die Eindringlinge schwer bis gar nicht zu erreichen sind (z.B. Tapes oder Offline-Storage-Backups). Dabei sollte auch überprüft und getestet werden, ob sich die Daten ohne großen Aufwand aus den Backups wiederherstellen lassen. Permanent verbundene Netzwerklaufwerke (NAS) und auch Cloud-Speicher sind nicht komplett sicher, denn das Risiko, dass verschlüsselte Dateien automatisch dorthin gesichert werden und dadurch bestehende Backups überschreiben, ist immens.
Vorfallreaktionspläne. Es sollten spezifische Vorfallsreaktionspläne (Incident-Response-Plan, auch: IRP) für Ransomware-Attacken entwickelt werden. Um sich auf gezielte Angriffe mit Krypto-Trojanern vorzubereiten, welche große Teile von Unternehmen lahmlegen könnten. Der Reaktionsplan sollte detailliert beschreiben, was Personen zu tun haben, sobald der Verdacht einer Netzwerk-Infiltration oder eine Ransomware-Attacke vorliegt. Nur auf diese Weise ist eine schnelle Reaktion umsetzbar. Für die Abwehr von Ransomware ist jede Sekunde entscheidend, welche dem IT-Sicherheits-Team bleibt, um die Verschlüsselung durch Krypto-Programme zu unterbinden oder zu unterbrechen.
„Awareness“ schaffen. Diesem Aspekt gebührt besonders hohe Priorität: Umfassende Sensibilisierungsmaßnahmen und Schulungen („Awareness“-Training) für die Anwender sind eine unumgängliche wie auch effektive Schutzmaßnahme, um sich gegen potenzielle Angriffe zu wappnen. Dadurch wird das Risiko reduziert, dass Angestellte auf Phishing-Mails - insbesondere Spear-Phishing-Mails - hereinfallen und damit die Malware ins firmeninterne Netzwerk holen. Viele Cyber-Angriffe setzen dabei auf Social-Engineering-Taktiken. Die Mitarbeiter sollten sich der Gefahr bewusst sein und lernen, wie eine verdächtige Nachricht enttarnt werden kann, um einer Infektion entgegen wirken zu können.
Security by Design. So banal es vielleicht auch klingen mag, eine durchdachte Netzwerktopologie, bei der Anwender nur soweit Zugriffe haben als sie es für den Arbeitsalltag benötigen, hilft in vielen Fällen vor einer massenhaften Ausbreitung und weitreichenden Vernichtungen. Ausreichend starke Passwörter für Logins auf Samba-Shares oder Administrationskonten setzen wir in diesem Umfeld selbstredend voraus.
Schritt zwei: Erkennung
Organisationen können den potenziellen Schaden, welchen ein Angriff mit Ransomware verursachen könnte, minimieren, wenn die Malware früh genug entdeckt werden kann. Network-Intrusion-Detection-Systeme (NIDS) haben während der Infektions- und Exploitphase die Möglichkeit Signaturen sowie IOCs (Indicators of compromise) auszumachen. Mithilfe von Threat Intelligence hat IDS die Möglichkeit, um die Aktivität von Ransomware im Netzwerk aufzuspüren, zu stoppen oder zumindest eine Warnung an die IT-Sicherheitsbeauftragten zu senden.
Namhafte IDS-Anbieter haben zahlreiche Erkennungsmuster in ihre Systeme integriert, mit deren Hilfe Netzwerk-Anomalien aufgedeckt werden können. Diese Aktivitäts-Muster können sich je nach Ransomware und Ransomware-Version unterscheiden. Aus dem Grund ist es notwendig mehrere Verteidigungslinien aufzubauen. Trotzdem sind die Signaturen ein guter Ansatz, da somit die in den meisten Unternehmen eingesetzten Systeme zur Abwehr mit einbezogen werden.
Ausführbare E-Mail-Anhänge stoppen. Generell sind alle Tools hilfreich, welche Attachments und Executables in Phishing-E-Mails ausfindig machen können, um Ransomware den Zugang zum Unternehmens-Netzwerk zu verwehren. Mit derartigen Schutzmaßnahmen existiert schon einmal eine grundlegende und automatisierte Verteidigung.
Anwendungsdaten und temporäre Dateien überwachen. Mit der Tatsache, dass Ransomware zumeist aus den Verzeichnisordnern %appdata% oder %temp% startet, liefert einen weiteren Hebelpunkt: Die Überwachung dieser Ordner sowie darin ausgeführter Anwendungen und Programme ermöglicht es Ransomware zu entdecken, bevor diese die Gelegenheit hat Dateien zu verschlüsseln. Wie schon in der Exploit-Phase kann man über Netzwerk-Regeln die Ausführung sowie Verbreitung von Malware wie Ransomware visualisieren.
Vssadmin-Befehle beaufsichtigen. Angriffe auf Backups und der Versuch die Datensicherungen zu zerstören erlauben es ebenfalls die Ransomware-Aktivitäten aufzudecken, bevor die Verschlüsselung gestartet werden kann. Die Ausführung von „vssadmin“-Kommandos sollte dabei besondere Beachtung finden und nach Möglichkeit mit einem Alarm verknüpft werden. So haben Verantwortliche eine reelle Chance rechtzeitig einzugreifen und gefährdete Computer und Netzwerklaufwerke vor der Ransomware-Verschlüsselung zu schützen.
Registry-Einträge und Dateiendungen kontrollieren. Auch die Überwachung der Kommunikation des Command-and-Control Servers (C&C) ist eine Möglichkeit, um anhand von Netzwerk-Signaturen, der Vergabe von Dateinamen und Änderungen in der Registry zu erkennen, dass beispielsweise der zu Beginn der Verschlüsselungsphase erforderliche Schlüsselaustausch erfolgt. Die Ransomware Locky fiel dadurch auf, dass immer mehr Dateien mit der Dateierweiterung .locky auftauchten. So konnte der Befall mit dem Krypto-Trojaner bemerkt werden.
Leider benutzen viele Krypto-Trojaner mittlerweile einzigartige Dateierweiterungen, die von Befall zu Befall unterschiedlich sind. Zudem ist die Umbenennung der verschlüsselten Dateien durch die Ransomware in der Regel ein recht später Schritt, der ziemlich zum Ende des Krypto-Angriffs erfolgt. Dennoch können die Indikatoren bereits ausreichen, um das Ausmaß des Angriffs eingrenzen zu können – wenn der Angriff schon nicht verhindert werden kann.
Schritt drei: Eindämmung
Ist bereits ein Gerät der Ransomware zum Opfer gefallen, so gibt es nach wie vor die Möglichkeit den Angriff auf dieses Umfeld zu beschränken, um den Angriff auf Dateien im Netzwerk zu verhindern.
Endpoint-Security-Systeme, die ausführbare Dateien erkennen und die Prozesse stoppen können, sind ein guter Ansatz für eine Eingrenzung von Ransomware-Attacken. Wird schadhafte Malware entdeckt, so wird die Netzwerk-Verbindung unmittelbar getrennt und die Schadsoftware ist auf dem jeweiligen System isoliert, sodass sie keine Dateien im Netzwerk verschlüsseln kann.
Schritt vier: Ransomware / Malware Entfernung
Ist der Ransomware-Angriff identifiziert und eingedämmt worden, ist es unabdingbar die Malware sowie etwaige Spuren zu entfernen. Es empfiehlt sich betroffene Systeme zu ersetzten, anstatt diese nur zu „säubern“, da sich diverse Malware überaus gut in den Tiefen der Hardware zu verstecken weiß. Möglicherweise wurden bereits Router oder Drucker infiziert, in dem sich die Dateien verstecken, um für den Fall einer Entdeckung vor einer effektiven Bereinigung sicher zu sein und im Anschluss das Netzwerk erneut zu infizieren.
Wann immer man sich für eine Säuberungsaktion entschließt, anstatt für das Ersetzen kompletter Hardware, sollte im Nachhinein eine penible Überwachung auf IOC und Signaturen erfolgen, um ein wiederholtes Aufkommen der Ransomware-Infektion schnellstmöglich zu unterbinden.
Schritt fünf: Netzwerke, Systeme und Daten wiederherstellen
Die Wiederherstellung umfasst zunächst einmal das Wiedereinspielen von Datensicherungen und Backups der zerstörten und verschlüsselten Dateien. Für ein Unternehmen, das auf umfassende und geprüfte Sicherheitskopien zurückgreifen kann, kann ein Krypto-Angriff mit Ransomware nahezu folgenlos bleiben. Es ersetzt die befallenen Geräte oder säubert sie und rekonstruiert den Datenbestand aus den Backups. Dabei wird man eine kurzzeitige Unterbrechung bei den IT-Anwendungen in Kauf nehmen müssen. Es ist recht unwahrscheinlich, dass die Attacke unter derartigen Voraussetzungen zu einem tagelangen Problemzustand wird - auch wenn es in dieser Hinsicht bereits Fälle gegeben hat, bei denen z. B. NotPetya einen internationalen Logistikkonzern beinahe vollständig lahm gelegt hat. Zehn Tage lang arbeitete das Unternehmen vollkommen analog, bis die IT-Infrastruktur wieder online war.
Bei jedem Cyber-Angriff lohnt sich eine genauere Beleuchtung, wie die Infektion stattgefunden hat. Waren es Phishing-E-Mails oder web-basierte Angriffs-Kits? Wenn es ein web-basierter Angriff gewesen ist, wie wurde der verantwortliche Anwender auf die Internetseite gelockt? Wenn man herausfinden kann, wie Ransomware in die Systeme und ins Netzwerk gelangen konnte, dann lassen sich mit diesen Erkenntnissen Abwehr- und Erkennungsmethoden maßgeblich optimieren und Schwachstellen für die Zukunft minimieren.
Ransomware-Angriffe gegen KMUs, Konzerne, Behörden und öffentliche Einrichtungen sowie Krankenhäuser stellen eine Gefahr dar, welche trotz ihrer Häufigkeit erst die Spitze des Eisbergs des potenziell Möglichen bildet. Aufgrund der Attraktivität solcher Angriffe und der damit erzielten Erfolge werden Täter zunehmend häufiger darauf setzen. Und die Angriffe werden sukzessive an Schlagkräftigkeit und Gefährlichkeit dazu gewinnen, sodass noch gewaltigere Schäden, mit noch höheren Kosten die Folge sein werden.
Die Wenigsten sind auf derartige Ransomware-Angriffe vorbereitet - egal, ob groß oder klein. Die kaum absehbaren Folgen stellen einen weitaus kritischeren Verlust dar, als die Bezahlung der geforderten Lösegeldsumme: Imageverlust, Produktivitätseinbußen, eingeschränkte Geschäftsfähigkeit, beeinträchtigte Kundeninteraktion, Datenverlust und Datendiebstahl oder die Veröffentlichung brisanter Daten. Die erfolgreiche Abwehr eines Ransomware-Angriffs hängt davon ab, wie gut man darauf vorbereitet ist, die Indizien für das Treiben von Krypto-Trojanern oder anderer Malware zu erkennen und verdächtige Aktivitäten zeitnahe zu stoppen.
Es ist immer empfehlenswert auf den Extremfall vorbereitet zu sein, der niemals eintritt, anstatt beim Eintreten des Extremfall diesem schutzlos ausgeliefert zu sein. Oder mit einfacheren Worten: Vorsicht ist besser als Nachsicht.
Link: Attingo
_gross.jpg&size=390x230&crop=0&trim=1)
_gross.jpg&size=390x230&crop=0&trim=1)
