Was Führungskräfte über die neue Generation von Ransomware wissen sollten
Die Spielregeln für Ransomware haben sich geändert: Statt Angriffen nach dem Gießkannenprinzip, sind die Attacken inzwischen gut geplant und genau auf die Schwachpunkte der Unternehmen ausgerichtet. Auf dem Spiel steht damit viel mehr als nur Daten.
Warum nicht erst die besonders interessanten Dateien kopieren, um ein zweites Mal erpressen zu können?
Kleinkriminelle und weniger versierte Hacker sind in erster Linie auf das schnelle Geld aus. Sie haben weder die Zeit noch die Fähigkeit, einen unternehmensweiten Cyberangriff durchzuführen und gleichzeitig ihre Spuren zu verwischen. Die neuen Ransomware-Gruppen hingegen sind hochprofessionell und verfügen über Zeit, Fähigkeiten und Motivation. Entsprechend ist auch ihre Vorgehensweise wesentlich ausgeklügelter: Sie erlangen Zutritt zu den Systemen der Opfer, schauen sich um und finden so heraus, welche wertvollen Dateien vorhanden sind. Erst dann sorgen für die verheerenden Schäden, wenn sie das volle Potenzial erkannt und ausgeschöpft haben.
Evolution der Ransomware
Frühe Ransomware-Attacken wie Locky waren im Vergleich zu den heutigen Angriffen recht willkürlich und wenig ausgefeilt. Die Angreifer verbreiteten ihre Ransomware meist durch groß angelegte Phishing-Kampagnen an möglichst viele Adressaten. Ahnungslose Empfänger klickten auf einen bösartigen Link und wurde infiziert, wodurch ihre Dateien verschlüsselt wurden. Kryptowährungen ermöglichten es den Angreifern dann, ihr Lösegeld anonym zu kassieren.
Die Angreifer brauchten dafür keine ausgefallenen Programme für Schwachstellen (Exploits) zu verwenden. Sie mussten nur einen durchschnittlichen Benutzer dazu bringen, auf einen bösartigen Link in einer Phishing-E-Mail zu klicken. Dies reichte, um jede Datei, die der betroffene Benutzer öffnen konnte, zu verschlüsseln. Mit sehr geringem Aufwand ließen sich so hohe Gewinne erzielen. Diese Art von Angriffen ließ sich oft auf einen einzigen Benutzer zurückführen, der auf eine Phishing-Mail hereingefallen ist. Hinweise, dass die Angreifer mehr im Sinn hatten, als schnell zuzuschlagen, also etwa heimlich die Systeme ausspionierten oder gar Daten entwendeten, waren selten.
Welle 2: Volle Konfrontation
Die zweite Welle von Ransomware-Angriffen begann mit WannaCry. Auch hier traf es willkürliche Opfer, allerdings basierte der Angriff auf der Ausnutzung eines Exploits. WannaCry und NotPetya verbreiteten sich Peer-to-Peer (von Computer zu Computer) über Unternehmensgrenzen hinweg, übernahmen nicht aktualisierte Systeme und nahmen sowohl die Systeme als auch die Daten als Geisel. Auch wenn die Angreifer ihre Aktionen nicht effizient zu Geld machen konnten, waren diese Angriffe verheerend und ein Vorzeichen für die nahe Zukunft.
Ransomware ist immer noch recht laut und nicht so subtil wie andere Angriffe, etwa wenn die Unternehmenskommunikation ausspioniert, langsam Daten exfiltriert oder Gelder in kleinem Maßstab abgezogen werden. Es ist und bleibt ein offensichtlicher Überfall, bei dem die Angreifer die Konfrontation suchen, für Schrecken sorgen und Druck aufbauen, um an ihr Ziel zu gelangen. Ransomware ist auch nicht sehr diskret, besonders dann nicht, wenn sie anfängt, Dateien zu verschlüsseln oder Systeme zu deaktivieren. Die neue Art von Angriffen infiziert jedoch leise viele Systeme und Netzwerke der Opfer und bleibt meist bis zur letzten zerstörerischen Phase still und unbemerkt.
Neue Wege bieten Angreifern neue Möglichkeiten
Unsere Sicherheitsforscher haben kürzlich eine neue Art Ransomware namens „Save the Queen“ identifiziert, die ihre Malware mittels Active Directory Server (Domain Controller) der Opfer verteilt. Domain Controller verfügen sozusagen über die Schlüssel zum digitalen Königreich, da sie mit dem Großteil der Systeme verbunden sind und somit ideale Verteiler sind. Aufgrund ihrer enormen Bedeutung erfordert die Manipulation von Active Directory-Servern ein sehr hohes Maß an Zugriffsrechten, über welches die Angreifer in den dokumentierten Fällen jedoch verfügten.
Die Außengrenzen des Firmennetzwerks stellen für professionelle Angreifer keine besondere Hürde dar.
Und Zugang ist auch genau der Punkt, der die neue Art von Angriffen so gefährlich macht. Das Überwinden des Perimeters (Außengrenzen des Firmennetzwerks) stellt für die professionellen Angreifer keine besondere Hürde dar. Sie verfügen über Know-how, die notwendigen Techniken und sind in der Lage, die Systeme der Opfer gegen letztere zu verwenden. Ganz so, wie es die „God save the Queen“-Hacker getan haben, indem das systemeigene Active Directory für ihre Zwecke missbraucht wurde.
Schlauere Täter, ein Vielfaches an Schadenspotenzial
Aber wenn die neuen Ransomware-Akteure diesen umfangreichen Zugang haben, wieso sollten sie ihn nicht auch nutzen? Warum sollten sie nicht Finanzinformationen oder geistiges Eigentum stehlen? Sich nicht durch Insider-Informationen Vorteile beim Aktienhandel verschaffen? Oder nicht die besonders interessanten Dateien vor der Verschlüsselung kopieren, um so mit einer Veröffentlichung drohen zu können?
Nun, genau das tun die neuen, gut organisierten Cyber-Erpresser. Nach wie vor gibt es Angreifer, die sich nicht die Mühe machen wollen oder können, die Daten zu sichten, bevor sie sie verschlüsseln. Aber je versierter und professioneller die Angreifer bei der Monetarisierung der fremden Daten werden, desto wahrscheinlicher ist es, dass sie hier keine Möglichkeiten auslassen werden.
Es geht um viel mehr als „nur“ ein paar Tage Einschränkungen im Geschäftsbetrieb.
Und genau diese Herangehensweise sollte auf der Führungsebene Besorgnis auslösen. Es geht nun nicht mehr „nur“ um einige Tage, womöglich auch Wochen an Einschränkungen im Geschäftsbetrieb, bis man die Daten wiederhergestellt hat. Die Gefahren und Risiken für Unternehmen sind ungleich größer. Deswegen sollten Sicherheitsverantwortliche und Geschäftsführung folgende vier Punkte beachten:
1Identifizieren Sie, wo Ihr geistiges Eigentum, Ihre Finanzinformationen, personenbezogene Daten und sensiblen E-Mails gespeichert sind, bevor Angreifer versuchen, diese Daten zu stehlen, zu veröffentlichen oder zu verschlüsseln. Reduzieren Sie die Zugriffsrechte nach dem Least-Privilege-Ansatz, sodass jeder Mitarbeiter nur auf die Dateien zugreifen kann, die er für seine Arbeit auch tatsächlich benötigt. Auf diese Weise reduzieren Sie die Angriffsfläche nachhaltig.
2Machen Sie sich Gedanken über kritische Zeitpunkte, zu denen ein Datenvorfall besonders verheerend wäre, z.B. kurz vor der Veröffentlichung von Geschäftszahlen oder unmittelbar vor der umsatzstärksten Zeit. Ambitionierte Angreifer gehen nämlich genauso vor. Wenn Sie entsprechende Abwehrpläne bereit haben, stehen ihre Chancen wesentlich besser, als wenn Sie unter Zeitdruck agieren und improvisieren müssen.
3Backups spielen eine Schlüsselrolle bei der Bekämpfung von Ransomware und sind unerlässlich. Die Herausforderung besteht hierbei darin, zu bestimmen, welche Backups zurückgespielt werden müssen. Viele Unternehmen überwachen die Dateisystemaktivitäten nicht, so dass sie nicht wissen, was wann verschlüsselt wurde, außer sie suchen gezielt nach Ransomware. Insofern ist es sinnvoll, Dateiaktivitäten fortwährend zu überprüfen, um die Ausbreitung stoppen und den Umfang des Schadens schnell und präzise erkennen zu können.
4Lassen Sie die Automation für Sie arbeiten. Mit den richtigen Aktivitätsprotokollen und Analysen kann die Automatisierung potenzielle Angriffe erkennen und stoppen, bevor sie sich ausbreiten. Die Protokollierung und Analyse von Aktivitäten bei kritischen Datensätzen und Systemen, wichtigen Datenspeichern, Active Directory und anderen Telemetrie-Systemen, die Hinweise auf mögliche Angriffe geben können, sollten höchste Priorität haben.