Events

Einfallstore für Ransomware

Der Weg zur Erpressung

30. September 2020, 05:00 Uhr   |  Matthias Canisius/wg

Der Weg zur Erpressung
© Bild: SentinelOne

Hinweisfenster der Nephilim-Ransomware, dass ein Unternehmen das Opfer des Erpressungstrojaners wurde.

Hacker nutzen immer häufiger Ransomware, um Daten zu entwenden, und drohen damit, die gestohlenen Informationen gegen ihre Opfer zu verwenden, wenn diese sich weigern zu zahlen. Deshalb ist es entscheidend, zu verstehen, wie Ransomware ein Gerät infiziert und sich über ein Netzwerk verbreitet. Nur so kann man sicherstellen, dass das eigene Unternehmen nicht das nächste Opfer eines solchen Angriffs wird.

Die Erpresser sind sich der Bedrohung ihres Geschäftsmodells durch den eigenen Erfolg bewusst geworden: Die zunehmende öffentliche Aufmerksamkeit für die Bedrohung durch Ransomware hat einige Unternehmen dazu veranlasst, in regelmäßige Backups und Möglichkeiten zur Wiederherstellung ihrer Systeme zu investieren. Aber diese Techniken bringen nicht viel, wenn die Erpresser bereits sensible Kunden- und Unternehmensdaten besitzen. Nach einer Infektion kann sich die Ransomware auf andere Rechner ausbreiten oder gemeinsam genutzte Dateien im Netzwerk des Unternehmens verschlüsseln. In einigen Fällen kann sich die Schadsoftware über Unternehmensgrenzen hinweg ausbreiten und Lieferketten, Kunden und andere Organisationen infizieren.
In der Tat haben sich in der Vergangenheit einige Malware-Kampagnen speziell an MSPs (Managed Services Provider) gerichtet. Die richtige Antwort auf Ransomware liegt eher in der Prävention als im Beheben von angerichtetem Schaden. Doch wie genau infizieren Angreifer Geräte eigentlich mit solch verheerender Malware?

Phishing und Social Engineering

Nach wie vor sind Phishing-E-Mails die von Angreifern am häufigsten eingesetzte Methode, um Endpunkte mit Ransomware zu infizieren. Mittels spezifischer und personalisierter Informationen erstellen die Erpresser gezielte E-Mails. Dabei versuchen sie, möglichst authentisch wirkende Anschreiben zu konzipieren, um das Vertrauen der Empfänger zu gewinnen. Das Ziel der Hacker ist es, potenzielle Opfer dazu zu verleiten, Anhänge zu öffnen oder auf Links zu klicken, sodass sie bösartige PDF- und andere Dokumente herunterladen. Die Malware ist meist als harmlose Datei getarnt und für den Laien kaum von normalen Dateien zu unterscheiden. Angreifer können sich eine Standard-Windows-Konfiguration zunutze machen, die die wahre Erweiterung von Dateinamen verbirgt. So kann zum Beispiel ein Anhang scheinbar „Dateiname.pdf“ heißen, aber wenn man genauer hinsieht, erkennt man, dass es sich um eine ausführbare Datei mit dem Namen „Dateiname.pdf.exe“ handelt.

Malware kann die Form von Standardformaten wie Microsoft-Office-, PDF- oder JavaScript-Dateien annehmen. Wenn der Anwender auf diese Dateien klickt oder Makros aktiviert, wird die schädliche Software ausgeführt und der Prozess der Datenverschlüsselung auf dem Computer des Opfers gestartet.

Kompromittierte Websites

Ransomware ist nicht zwangsläufig immer in einer heimtückischen E-Mail verpackt. Kompromittierte Websites sind ebenfalls eine beliebte Methode, um bösartigen Code in das Unternehmensnetzwerk einzuschleusen. Das Malheur ist schnell passiert: Ein ahnungsloser Nutzer besucht eine vermeintlich normale Website, vielleicht sogar eine, die er bereits häufiger besucht hat. Die kompromittierte Website wird dann auf eine andere Seite umgeleitet, die den Benutzer auffordert, eine neuere Version einer Software herunterzuladen, zum Beispiel den Web-Bowser, ein Plug-in oder einen Media-Player. Umleitungen wie diese sind für Benutzer besonders schwer zu erkennen. Um den bösartigen Seiten auf die Schliche zu kommen, muss man einen Blick in den Quellcode der Seite werfen. Ist die Website auf einen Ransomware-Angriff ausgelegt, könnte die Malware entweder direkt aktiviert werden oder – was häufiger vorkommt – ein Installationsprogramm ausführen, das die Ransomware herunterlädt und ablegt.

„Malvertising“ und Angriffe per Browser

Hat der Browser des Benutzers eine ungepatchte Schwachstelle, kann es zu einem sogenannten „Malvertising“-Angriff kommen: Kriminelle können über herkömmliche Werbeanzeigen auf Websites bösartigen Code einfügen, der die Ransomware herunterlädt, sobald die mainpulierte Werbung angezeigt wird. Auch wenn diese Methode einen eher weniger verbreiteten Übertragungsweg für Ransomware darstellt, ist sie dennoch eine heimtückische Gefahr, da sie das Opfer auch ohne das bewusste Herunterladen einer Datei hinters Licht führen kann.

Exploit-Kits mit vorgefertigter Malware

Angler, Neutrino und Nuclear sind Exploit-Kits, die bei Ransomware-Angriffen häufig zum Einsatz kommen. Bei diesen Frameworks handelt es sich um eine Art bösartiger Toolkits mit vorprogrammierten Exploits, die auf Schwachstellen in Browser-Plug-ins wie Java und Adobe Flash abzielen. Microsoft Internet Explorer und Microsoft Silverlight sind ebenfalls häufige Ziele. Ransomware wie Locky und CryptoWall verbreiten sich durch Exploit-Kits und Malvertising-Kampagnen auf präparierten Websites.

602 LANline 2020-10 SentinelOne Bild 2
© Bild: SentinelOne

Die Kriminellen hinter Nephilim drohen damit, Interna ihrer Opfer öffentlich zu machen, sofern diese das Lösegeld nicht zahlen sollten.

Download infizierter Dateien und Apps

Jede Datei oder Anwendung, die sich herunterladen lässt, kann theoretisch mit Ransomware versehen sein. Gecrackte Software auf illegalen Filesharing-Sites ist besonders gefährlich. Ein aktuelles Beispiel sind die jüngsten Fälle von MBRLocker-Malware, die ihre Opfer über illegal verbreitete Software auf eben solchen Filesharing-Portalen infizierte. Hacker können zudem legitime Websites ausnutzen, um eine manipulierte ausführbare Datei zu übertragen. Sobald das Opfer die Datei oder Anwendung herunterlädt, wird die Ransomware eingeschleust.

Messaging-Anwendung als Vektor

In Messaging-Applikationen wie WhatsApp und Facebook Messenger kann Ransomware als skalierbare Vektorgrafik (SVG) getarnt sein, um eine Datei zu laden, die herkömmliche Erweiterungsfilter umgeht. Da SVG auf XML basiert, können Kriminelle jede Art von Inhalt einbetten, die sie wollen. Sobald der Nutzer auf die infizierte Bilddatei zugreift, leitet sie ihn auf eine vermeintlich legitime Website weiter. Nach dem Laden erhält das Opfer die Aufforderung, eine Installation zu akzeptieren, die, sobald sie abgeschlossen ist, die Schaddatei verteilt und an die Kontakte des Opfers weiterleitet, um noch mehr Schaden anzurichten.

Brute-Force-Angriffe per RDP

Angreifer machen sich Ransomware wie SamSam zunutze, um Endpunkte mit einem Brute-Force-Angriff über RDP-Server (Remote Desktop Protocol) direkt zu kompromittieren. RDP ermöglicht es IT-Administratoren, per Fernzugriff das Gerät eines Benutzers zu steuern, bietet Angreifern aber auch die Möglichkeit, es für böswillige Zwecke auszunutzen. Hacker können mit Werkzeugen wie Shodan und Port-Scannern wie Nmap und Zenmap nach angreifbaren Rechnern suchen. Sobald die Zielcomputer identifiziert sind, können sich Angreifer Zugang verschaffen, indem sie das Admin-Passwort per Brute Force knacken. Eine Kombination aus schwachen Passwort-Zugangsdaten und Open-Source-Tools zum Knacken von Passwörtern wie Aircrack-ng, John The Ripper und DaveGrohl sorgen dafür, dass Kriminelle leichtes Spiel haben. Einmal als vertrauenswürdiger Administrator angemeldet, haben Angreifer die vollständige Kontrolle über den Rechner und sind in der Lage, Ransomware zu platzieren und Daten zu verschlüsseln. Zudem können sie den Endpunktschutz deaktivieren, Backups löschen, um die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen, oder sich im Netz umsehen, um andere Ziele zu erreichen.

Abwehr durch Verhaltenserkennung

Die Evolution von Ransomware schreitet stetig voran, wobei Ransomware as a Service immer beliebter wird. Malware-Entwickler verkaufen speziell angefertigte Ransomware an Kriminelle im Tausch gegen eine Gewinnbeteiligung. Der Käufer des Dienstes entscheidet über die Ziele und die Vorgehensweise beim Ransomware-Angriff. Diese Arbeits- und Risikoaufteilung führt zu sehr zielgerichteter Malware, zu Innovationen bei den Infektionsmechanismen und letztlich zu häufigeren Ransomware-Angriffen.

Zusammen mit der Erpressungsgefahr durch Datenlecks machen es diese jüngsten Trends es für Unternehmen unabdingbar, in die Sicherung von Endpunkten und Netzwerken zu investieren und zu verhindern, dass es überhaupt erst zu Sicherheitsverstößen kommt. Der beste Netzwerk- und Geräteschutz erfolgt durch KI-gestützte Verhaltenserkennung, die nicht auf eine Cloud-Anbindung angewiesen ist, sondern jedes Gerät durch einen autonomen Agenten absichert.

Matthias Canisius ist Regional Director CE and EE bei SentinelOne, www.sentinelone.com.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

SentinelOne

Ransomware

Cybercrime