Daten manipulieren, exfiltrieren oder zerstören
Die Zukunft der Ransomware
Ransomware-Angriffe nehmen sprunghaft zu. Anders als bei sonstigen Malware-Geschäftsmodellen (Datendiebstahl mit nachfolgendem Verkauf im Darknet) erhalten Kriminelle mittels Erpressersoftware die Bezahlung direkt von ihren Opfern - auch dank der Anonymität digitaler Währungen wie Bitcoin. Lösungen für Laien wie Ransomware-as-a-Service (RaaS) und DIY-Kits (Do It Yourself) mit vorgefertigten, leicht einsetzbaren Angriffswerkzeugen tragen zur starken Ransomware-Zunahme bei. Besonders bedrohlich: Die Angriffsform entwickelt sich rasant weiter.
Aktuelle Ransomware-Varianten konzentrieren sich meist auf das Verschlüsseln von Dateien, damit der Kriminelle Lösegeld für die Entschlüsselung verlangen kann. Künftige Versionen hingegen werden wahrscheinlich nicht mehr allein auf diese Taktik setzen. Einige Angreifer haben bereits erkannt, dass die Geiselnahme von Dateien nur ein möglicher Weg ist, um auf einfache Weise Geld zu machen. Opfer anzugreifen - gleich, ob der Vektor Datenmanipulation, -exfiltration oder -zerstörung ist - und dann ein Lösegeld zu verlangen, könnte die Zukunft der Malware-Landschaft sein.
Die häufigste Form von Ransomware-Angriffen ist derzeit die Dateimanipulation (Verschlüsselung) mittels Kryptographie-API. In jüngster Zeit hat man allerdings auch Angriffe mit Datenbank-Manipulation via SQL-Abfragen erlebt, beispielsweise gegen MongoDB und MySQL, die Zehntausende von Datenbanken weltweit betrafen. Derlei Ransomware-Angriffe werden vermutlich zunehmen, weil die sensibelsten Daten eines Unternehmens in der Regel in Datenbanken gespeichert sind.
Dabei ist zu bedenken, dass Verschlüsselung nur eine von mehreren Manipulationsmethoden ist. Manipulation kann auch bedeuten: das Löschen sämtlicher Dateien, das Entfernen aller Datenbanktabellen sowie weitere Formen der Datenmanipulation wie zum Beispiel die Änderung von Datenbankeinträgen. Fest steht allerdings auch, dass die Dateiverschlüsselung so schnell nicht verschwinden wird. Die Methode funktioniert immer noch, die Zahl der potenziellen Opfer ist hoch (sowohl Privatnutzer als auch Unternehmen), und Virenschutzlösungen bieten keinen wirksamen Schutz.
Backups sind ein wichtiges Mittel, um die Probleme nach einem Ransomware-Angriff zu beheben. Sich ganz auf sie zu verlassen ist allerdings nicht ratsam - vor allem, weil es sehr viel Zeit erfordert, Systeme mittels Backups wieder zum Laufen zu bringen. Dies verursacht zumeist kostspielige Ausfallzeiten für Mitarbeiter und Kunden.
Ein Beispiel ist der Fall, bei dem ein Ransomware-Angriff die Fahrkartenautomaten der öffentlichen Verkehrssysteme in San Francisco sperrte. Dennoch sind Backups eine der wenigen möglichen Abhilfemaßnahmen, nachdem ein Ransomware-Angriff stattgefunden hat. Daher könnte es sein, dass Ransomware künftig Backups ins Visier nimmt, um die Chancen auf Lösegeldzahlung zu maximieren.
Exfiltration der Daten
Hier dürfte künftig noch jede Menge Geld zu holen sein. Zum Beispiel haben Angreifer mit Vault 7, einem der jüngsten Datenexfiltrationsangriffe, Dokumente mit Informationen über die Cyberwaffen der CIA erbeutet und dann durch WikiLeaks veröffentlicht. Lässt man die ideologischen Hintergründe beiseite und nimmt an, den Hackern wäre es hier um Geld gegangen, stellt sich die Frage, was die gewinnträchtigere Methode gewesen wäre: Manipulation oder Exfiltration? Es gibt folgende Möglichkeiten:
- die Daten verschlüsseln und anschließend Lösegeld für die Entschlüsselung verlangen (Manipulation),
- die Daten stehlen und im Darknet verkaufen, sowie
- die Daten stehlen und ein Lösegeld verlangen, um sie nicht zu enthüllen (ebenfalls Exfiltration).
Wahrscheinlich wäre Exfiltration am lohnendsten. Denn vor der Veröffentlichung vertraulicher Daten haben deren Besitzer oft die größte Angst. Deshalb wird Extortionware - auch als Doxware bekannt - vermutlich an Bedeutung gewinnen. Datenexfiltration hat somit das Potenzial, eine enorme Geldmaschine zu bleiben.
Unternehmen mit einem großen Kundenstamm sind und bleiben attraktive Angriffsziele: je mehr Benutzer, desto mehr Inhalte und desto größer die finanziellen Chancen für Hacker. Angreifer können gezielte Angriffe gegen die spezifische Technik, Inhalte und Benutzer eines Unternehmens planen. Allerdings müssen sie in die Durchführung eines solchen Angriffs mehr Zeit (und Geld) investieren.
Zerstörerische gezielte Angriffe
Das Einfallstor für einen zerstörerischen, gezielten Angriff kann eine Web-Schwachstelle sein - solche Schwachstellen sind eine der einfachsten Möglichkeiten, um zahlreiche vernetzte Benutzer oder Geräte gleichzeitig zu infizieren. Der Trend hin zum Internet der Dinge (IoT) erleichtert dies zusätzlich. Die vernetzten Fahrzeuge von heute und die autonomen von morgen sind hier ein gutes Beispiel: Beide verfügen über eine Internetverbindung, sei es, damit der Fahrer über eine entsprechende App Funktionen des Wagens steuern kann, oder um Push-Updates durch den Wagenhersteller zu ermöglichen (automatische Software-Aktualisierungen etc.).
Eine Schwachstelle im Web-Server, der mit der App oder dem Update-Mechanismus kommuniziert, könnte in den Fahrzeugen die Ausführung von Code aus der Ferne ermöglichen. Dies wiederum könnte Hacker beispielsweise in die Lage versetzen, den Besitzer eines Wagens zu erpressen und bei Nichtzahlung des Lösegelds die Bremsen oder das Steuersystem zu deaktivieren. Ein noch chaotischeres und gewinnträchtigeres Szenario wäre, dass ein Hacker die Kontrolle über alle vernetzten Wagen eines bestimmten Herstellers übernimmt und direkt von diesem Lösegeld verlangt.
Es ist durchaus denkbar, dass sich in einigen Jahren die meisten Angriffe zu Ransomware/Extortionware mit folgender gemeinsamer DNA entwickeln werden: Angriff mittels Manipulation, Exfiltration oder Zerstörung, gefolgt von einer Lösegeldforderung, um den Angriff zu stoppen oder rückgängig zu machen. Unternehmen müssen deshalb ihre Daten und IT-Assets laufend schützen und sich dabei an die veränderten Taktiken anpassen.
IT-Assets vor Ransomware schützen
Der Umgang mit Ransomware ist nicht einfach. Die nachfolgenden Richtlinien helfen dabei, Schäden zu minimieren, und erhöhen die Chance, Angriffe proaktiv zu verhindern oder abzuwehren:
Warnsystem: Wichtig ist die Nutzung eines Out-of-the-Box verfügbaren Warnsystems für Daten-Audits und Daten-Monitoring vor allem für forensische Untersuchungen nach einem Angriff und als Unterstützung bei der Reaktion auf Vorfälle.
Echtzeit-Blockaden: Ein bloßer Alarm reicht bei einem Angriff oft nicht aus, denn bis darauf reagiert wird, kann es schon zu spät sein. Durch Blockieren in Echtzeit lassen sich Angriffe verhindern. Neben Echtzeit-Blockaden ist es ein erheblicher Vorteil, wenn man Benutzer/Hosts, deren Systeme kompromittiert zu sein scheinen, in Quarantäne stellen kann.
Täuschungsmethoden: Einer der wirksamsten Ansätze im Umgang mit Ransomware ist die Platzierung von Datenködern (Honeypots), die Hacker stehlen/beschädigen können, damit man Warnungen erhält und/oder Angreifer blockieren kann, sobald diese auf die Köder zugreifen.
Regelmäßige Scans zur Erkennung und Klassifizierung von Daten: Wo befinden sich die sensiblen Daten im Netzwerk?
UEBA: Technik zur Erkennung interner Angriffe und zur Analyse des Benutzer- und Systemverhaltens (User and Entity Behavior Analytics, UEBA) dient der Ermittlung ungewöhnlicher Zugriffe auf Daten, insbesondere durch Personen, die bereits Zugang haben - sorglose, kompromittierte oder böswillige interne Nutzer.
Ganzheitliche datenzentrische Lösungen: Ratsam ist die Verwendung einer Lösung mit einer einzigen Management-Konsole, die sämtliche Informationen über Datei-, Datenbank-, Web- und sonstige Ransomware-Angriffe ebenso zentralisiert wie die entsprechenden Schutzmaßnahmen.
Mancher mag argumentieren, dass ein Opfer wahrscheinlich kein Lösegeld zahlen wird, wenn ein Angreifer mit der Offenlegung von Daten droht - zumal das Opfer keine Garantie hat, dass der Angreifer Wort halten und die sensiblen Daten tatsächlich löschen wird. Angreifer sind schließlich definitionsgemäß böswillig und nicht vertrauenswürdig. In der Praxis sehen wir jedoch, dass Angreifer durchaus bezahlt werden. So merkwürdig es auch klingen mag: Ransomware-"Anbieter" sind auf ihren Ruf bedacht. Die Opfer sollen wissen, dass sie zu ihrem Wort stehen - dass sie den Angriff also tatsächlich stoppen oder rückgängig machen, sofern man Lösegeld entrichtet. Halten sie dieses Versprechen nicht ein, schadet das ihrem Ruf, was wiederum ihr Geschäftsmodell gefährdet.
Angriffsform mit Zukunft
Cyber-Erpressung in Form von Ransomware und Co. hat ihre größte Zeit noch vor sich. Der potenzielle Gewinn für Hacker ist groß, und das Risiko für die Daten von Unternehmen noch größer. Es ist deshalb unerlässlich, Maßnahmen zu ergreifen, um sich vor solchen Angriffen zu schützen.
Lesen Sie mehr zum Thema
