Digitale Bedrohungen: Ransomware

Um etwas Licht ins Dunkle zu bringen, wollen wir nachfolgend ein paar Zahlen und Fakten von Ransomware sowie einen typischen Angriffsverlauf betrachten.

Ransomware in Zahlen

Auch wenn Ransomware in letzter Zeit vermehrt in den Fokus der Öffentlichkeit drängt, gibt es diese Art von Malware schon seit knapp zwei Jahrzehnten. Zusammen mit dem Anstieg der Vernetzung von IT-Systemen kann auch ein Anstieg von Malware bzw. Ransomware Infektionen beobachtet werden. Im Jahr 2020 betrug die Anzahl der erfassten Ransomware Angriffe auf Privatpersonen oder Unternehmen 304 Millionen weltweit. Das entspricht einer Steigerung von 62% zum Vorjahr und ist die zweithöchste je erfasste Anzahl. Lediglich 2016 gab es mehr Angriffe mit insgesamt 638 Millionen weltweit[1]. Während einer Untersuchung von Sophos[2] gaben 37% der Befragten Unternehmen an, schon einmal Ziel eines Ransomware-Angriffs gewesen zu sein. Zudem wurden die durchschnittlichen Kosten für das Unternehmen pro Ransomware Angriff auf 1,85 Million US$ geschätzt. Die hohen Kosten sind allerdings nicht die einzige Gefahr eines solchen Angriffs. Das Lahmlegen der kompletten IT-Infrastruktur und deren Wiederaufbau, sowie das Entwenden und Veröffentlichen von Unternehmensdaten, kann das betroffenen Unternehmen neben hohen Kosten mit einen großen Reputationsschaden belasten. Der Bericht zeigt jedoch auch, dass durch das Zahlen des Lösegelds lediglich etwas über 60% der verschlüsselten Daten wiederhergestellt werden kann. Die SECUINFRA GmbH empfiehlt neben weiteren Anbietern und Behörden im IT-Sicherheitsbereich keiner Lösegeld-Forderung nachzukommen. Es gibt keine Garantie, dass Daten überhaupt entschlüsselt oder entwendete Daten gelöscht werden! Zudem kann ein Unternehmen, das erfolgreich erpresst wurde, in den Fokus andere Ransomware-Gruppen geraten und sich selbst somit zur Zielscheibe machen.

Ransomware Ablauf

Der grobe Ablauf einer Ransomware-Infektion ist meist sehr ähnlich und unterscheidet sich lediglich bei der Größe des Unternehmens. Besonders lukrative Ziele werden dabei nicht nur durch automatische Werkzeuge angegriffen, sondern bekommen die ganze Aufmerksamkeit der Hackergruppe und somit meist einen intelligenten Angreifer, der dynamisch auf neue Szenarien reagieren kann.

1. Der Einfallsvektor

E-Mails gelten immer noch als der beliebtester Einfallsvektor für Ransomware-Angriffe. Im vergangenen Jahr erfolgte mit 54 % mehr als jede zweite Ransomware-Infektion über E-Mails. Dabei erhalten die Mitarbeiter des Unternehmens Spam-E-Mails oder gezielte und zugeschnittene Phishing E-Mails. Meist enthalten diese präparierte Links oder Anhänge, welche beim Öffnen die Malware auf dem System platzieren. Alternativ gelangen die Angreifer über gestohlene Anmeldedaten oder so genannte Drive-by-Angriffe auf die Systeme der Opfer. Letzteres sind speziell präparierte Webseiten, die ein Angestellter aufruft und dadurch Malware auf sein System heruntergeladen wird. Zuletzt gibt es noch den Einfallvektor Zero-Day. Zero-Day bezieht sich dabei weniger auf die Angriffstechnik per se, sondern darauf, wie lange eine Sicherheitslücke dem betroffenen Softwarehersteller bekannt ist. Nämlich null Tage – Zero Days. Diese Methode ist also sehr gefährlich und ist so gut wie immer von Erfolg gekrönt, da außer dem Angreifer niemand weiß, dass solch eine Lücke existiert. Im Allgemeinen werden Zero-Days jedoch sparsam eingesetzt und kommen lediglich bei sehr groß angelegten Operationen zum Einsatz (siehe: Kaseya: Supply-Chain-Angriff). Neben den genannten Methoden gibt es noch zahlreiche weitere Möglichkeiten, ein Unternehmen zu kompromittieren. In der Statistik von Statista sind die Top 10 der Einfallstore aus dem Jahr 2020 abgebildet.

2. Malware beginnt zu arbeiten

Ist der Angreifer auf das System gelangt, versucht sich dieser auf möglichst viele andere Systeme im Netzwerk zu verbreiten (Lateral Movement). Wird im System ein Domain Controller verwendet, kann sich der Angreifer im schlimmsten Fall durch das Kompromittieren eines Domain Administrator Accounts ein so genanntes “Golden Ticket” ausstellen. Mit diesem “Golden Ticket” kann der Angreifer sich administrativen Zugang zu fast jedem System im Netzwerk verschaffen. Dieser Freifahrtschein wird anschließend genutzt, um möglichst viele Systeme zu befallen und den Schaden zu maximieren. Parallel dazu wird die Exfiltration von Daten durchgeführt. Dabei nehmen Angreifer in der Regel alles mit, was dem Unternehmen öffentlich oder wirtschaftlich Schaden könnte. Hat der Angreifer die Daten bekommen, beginnt die Ransomware damit alle befallenen Systeme zu verschlüsseln.

3. Die Erpressung

Ist der Schaden angerichtet, werden Ransomnotes auf den Systemen verteilt, die dem Opfer das offensichtliche mitteilen: Er wurde verschlüsselt. Meist enthalten diese Nachrichten ebenfalls ein Hinweis auf die Angreifer-Gruppe und neben der geforderten Lösegeldsumme auch gleich eine Anleitung, wie und an welche Adresse dieses zu bezahlen ist. Ist das Unternehmen besonders groß, treten die Angreifer unter Umständen auch direkt mit diesem in Kontakt, um eine entsprechende Summe auszuhandeln. Um zu beweisen, dass Daten abgeflossen sind, wird dem Opfer meist eine Stichprobe zugeschickt oder diese direkt in einem entsprechenden Untergrundforum veröffentlicht. Das soll den Druck auf das Unternehmen erhöhen und dieses somit dazu bewegen, dass geforderte Lösegeld zu bezahlen.

4. Schutz

Durch die enorme Vielfalt der Angriffsvektoren ist ein vollständiger Schutz vor Ransomware oder Malware-Angriffen im Allgemeinen schwierig bis unmöglich. Durch geeignete Maßnahmen kann die Wahrscheinlichkeit, dass solch ein Angriff erfolgreich verläuft, jedoch drastisch reduziert werden. Schulung für Mitarbeiter sind ein erster Schritt, dies muss aber immer durch technische Sicherheitslösungen ergänzt werden. Unsere Erfahrung hat gezeigt, dass Compromise Assesment ein wertvolles Instrument zur Erkennung von Angriffen darstellt. Durch das Scannen der gesamten Infrastruktur können etwaige Angriffsspuren erkannt und analysiert werden. Dies sollte im besten Fall nicht nur einmalig, sondern auf wiederkehrender Basis erfolgen. Dies hat den Vorteil, dass nicht nur eine Momentaufnahme entsteht, sondern fortlaufend nach neuen unbekannten Angriffsspuren gesucht wird und ein Angreifer im Idealfall innerhalb kurzer Zeit sehr zuverlässig entdeckt wird. Die SECUINFRA bietet einen entsprechenden „Continuous Compromise Assessment“ Service an. Hierbei wird ein initialer Scan inklusive Auswertung durchgeführt, um eine erste Einschätzung über die generelle Lage der Infrastruktur zu erhalten. Somit können die Spuren von Cyberangriffen entdeckt und im Idealfall hoher Schaden verhindert werden.

Fazit

Ransomware ist zu einer der größten digitalen Bedrohungen für Unternehmen geworden. Einmal erfolgreich befallen, können Millionenschäden entstehen und Daten entwendet werden, die nicht nur wirtschaftliche, sondern auch öffentliche Auswirkung auf ein Unternehmen haben. Durch geeignete Maßnahmen kann die Wahrscheinlichkeit auf Erfolg eines solchen Angriffs drastisch reduziert werden. Die SECUINFRA unterstützt Sie gerne bei der Entwicklung eines geeigneten Sicherheitskonzepts und dem Einsatz von präventiven Maßnahmen.

Weiterführende Informationen finden Sie dazu in unserem Artikel Den Schaden moderner Ransomware-Angriffe minimieren. Falls Sie schon betroffen sind, bieten wir umgehende Hilfe an, um den Schaden zu begrenzen und zukünftige Angriffe zu vermeiden.

[1] https://www.statista.com/statistics/494947/ransomware-attacks-per-year-worldwide/ 23.08.2021

[2] https://secure2.sophos.com/en-us/content/state-of-ransomware.aspx 23.08.2021

Beitrag teilen auf:

XING
Twitter
LinkedIn

SECUINFRA Falcon Team • Autor

Digital Forensics & Incident Response Experten

Neben den Tätigkeiten, die im Rahmen von Kundenaufträgen zu verantworten sind, kümmert sich das Falcon Team um den Betrieb, die Weiterentwicklung und die Forschung zu diversen Projekten und Themen im DF/IR Bereich.

> alle Artikel
Cookie Consent mit Real Cookie Banner