Abwehr gezielter Ransomware-Angriffe
Mittel gegen Erpresser
Opportunistische Ransomware-Cyberkriminelle suchen mit automatisierten Tools nach bekannten Schwachstellen und ermitteln so den Adressaten eines erfolgversprechenden Erpresserschreibens. Nutzen sie dafür eine bekannte Malware-Signatur, erstickt bereits eine aktuelle Antivirenlösung den Angriff im Keim. Wirklich gefährlich sind aber die komplexer gestalteten Erpressungsversuche. Deren Urheber bereiten diese je nach Gegebenheiten im Netz langsam und gezielt vor. Eine Abwehr muss hier in den verschiedenen Phasen des Angriffs nachhaltig präsent sein.
Die zunehmende Schwierigkeit bei der Abwehr von Ransomware-Attacken ist die Folge der immer besser organisierten RaaS-Gruppierungen (Ransomware as a Service). Zwar sind die einzelnen Akteure nicht Teil einer festen kriminellen Unternehmensstruktur. Vielmehr agieren sie flexibel zusammen in Gemeinschaften, die auf einen schnell zu realisierenden Gewinn zielen. Dennoch hat die verbesserte Organisation des RaaS-Sektors in den letzten Jahren das digitale Erpressungsgeschäft grundlegend umgewälzt: Die kriminellen Akteure bauen mit jeder erfolgreichen Attacke auf neue Tools auf, arbeiten effektiver zusammen und erwirtschaften dadurch mehr Lösegeld.
Die Angreifer bündeln verschiedene Malware-Tools, um Angriffe durchzuführen, die ein größtmögliches Schadensszenario aufbauen und abbilden können. Zudem betreiben sie die notwendige IT und verhandeln nach der Attacke mit den Opfern. Entscheidend für den Erfolg der Erpressung sind die sogenannten „Affiliates“, die sich darauf verstehen, in Netzwerke einzudringen und dann Systeme und Lokationen von Daten in der Opferinfrastruktur zu eruieren. Sie beziehen daher rund 70 bis 85 Prozent der gezahlten Lösegelder.
Mehrstufiges Eindringen in das Unternehmensnetz
Die Affiliates suchen vor allem eine persistente Präsenz im Unternehmensnetz. Der zeitliche Aufwand der Angreifer ist dabei unterschiedlich hoch: Das Zusenden einer Phishing-Mail mit infiziertem Anhang erfolgt per Knopfdruck – nach der vorgeschalteten Recherche geeigneter Adressaten eines Spear-Phishing-Kontakts. In der folgenden Phase suchen die Cyberkriminellen nach den Informationen oder Systemen, deren weitere Verfügbarkeit dem Opfer den höchsten Lösegeldbetrag wert sein sollte. Es kann daher Stunden, Tage oder auch Monate dauern, bis die Angreifer am Tag X die Daten verschlüsseln, exfiltrieren oder Systeme und Prozesse unverfügbar machen. Komplexe RaaS-Angriffe bestehen aus vier Phasen: Erstinfektion, Staging, Expansion sowie der eigentliche Angriff. In jeder Phase muss die Abwehr Präsenz zeigen.
Erstinfektion: Bei kleinen Unternehmen gehen die Cyberkriminellen mit automatisierten Tools in skalierbaren Attacken gegen zahlreiche Opfer gleichzeitig vor. Verstärkt richten sie ihre Aufmerksamkeit auf den Remote-Zugang von Beschäftigten. Bei größeren Unternehmen mit einer vermutlich besser aufgestellten IT sind exponierte Beschäftigte Opfer von Spear-Phishing. Gerade bei einer gut aufgestellten Cyberabwehr entwickeln sich Phishing und Social Engineering, die auf menschliche Fehler hoffen, zum Hauptangriffsvektor.
Staging: Für die nächsten Angriffe beginnen die Angreifer dann mit der Grundlagenarbeit. Dazu gehört der Aufbau etablierter Kommunikationswege zum Command-and-Control-Server per Reverse Shell. Als Nächstes wollen sie bekannte Nutzerkonten für ihre Zwecke kapern. In der Folge bleiben sie – geschützt durch vertrauenswürdige Identitäten – unentdeckt und suchen nach wertvollen Daten und Systemen als lohnende Ziele. Solche Zugänge und Kenntnisse sind ein gefragtes Handelsgut in der RaaS-Ökonomie.
Expansion: Mit „Living off the Land“-Malware (missbrauchte legitime Software) untersuchen die Cyberkriminellen nun die angegriffene IT. Sie identifizieren die Systeme, die sie kompromittieren wollen. Dabei ist es wichtig, möglichst lange unerkannt zu bleiben. Laterale Bewegungen verschleiern die Absichten der Hacker. Zudem nutzen sie je nach angegriffener IT native und damit unauffällige Tools wie etwa PowerShell oder die unverdächtigen Tools der Systemadministratoren: Mit TeamViewer oder AnyDesk in den falschen Händen können Angreifer auch Ransomware-Angriffe vorbereiten und durchführen. Microsoft SCCM (System Center Configuration Manager) spielt auch bösartigen Payload aus. Ein Missbrauch solcher Tools lässt sich oft nur durch auffälliges Verhalten von Nutzern und Systemen erkennen.
Attacke: Optimal vorbereitet senden die Angreifer dann ihre Nachricht an das Opfer, sobald sie die relevanten Daten verschlüsselt haben – oft auch gleich im Backup. Dabei staffeln die Kriminellen mittlerweile ihre Angriffe und verlangen zwei- bis dreimal ein Lösegeld. Zum Gefahrenportfolio gehören nicht mehr nur die Verschlüsselung oder die Blockade von Systemen, sondern auch der Start einer DDoS-Attacke.
- Mittel gegen Erpresser
- Effektive Ransomware-Abwehr
Lesen Sie mehr zum Thema
