Seit Anfang des Jahres 2020 haben Ransomware-Angriffe vermehrt Schlagzeilen gemacht. Alle Berufsgruppen in großen wie kleinen Unternehmen scheinen anfällig für diese sich weiterentwickelnde Bedrohung zu sein. Und die Zahl der Fälle, in denen die Angreifer mehr oder weniger erfolgreich sind, ist inzwischen besorgniserregend. Werfen wir etwas Licht auf das bedeutendste Phänomen der Cyberkriminalität des Jahres 2020.
„Das organisierte Verbrechen nutzt Cyber-Tools, um seine Opfer zu erpressen“, so die Feststellung von Guillaume Poupard, geschäftsführender Direktor der ANSSI, gegenüber dem französischen Senat im November. In Frankreich, in Europa wie auf der ganzen Welt ist die Zahl von Ransomware-Fällen in der Tat nach wie vor hoch. Niemand scheint dagegen gefeit zu sein, von der Versicherungsgesellschaft SAOG des Sultanats Oman über Bouygues Construction und den brasilianischen Gerichtshof bis zur Spirituosengruppe Campari. Darüber hinaus geht der Trend hin zur Professionalisierung der Ransomware in Form eines richtigen Wirtschaftssystems, an dem die Ersteller und Nutzer von Malware beteiligt sind. Ein vollwertiges Geschäftsfeld mit Partnerschaften und Rabatten... Im Jahr 2020 hat sich die wachsende Bedrohung durch Ransomware bestätigt, wobei die Angriffe immer besser vorbereitet und organisiert sind und immer ausgefeiltere technische Mittel eingesetzt werden. Dieser grundlegende Trend veranlasst Unternehmen dazu, ihre Abwehrmaßnahmen zu überdenken und ihre Fähigkeit zum Gegenangriff zu stärken.
Mittel zur Verschlüsselung, Verbreitung... Welche Entwicklungen gibt es bei Ransomware?
Seit es Ransomware gibt, wird unverändert das gleiche Ziel verfolgt: Erpressung. Dieselbe Feststellung trifft aus technischer Sicht zu, da sich auch hier nur wenig geändert hat. Die Vorgehensweise ist im Grunde dieselbe geblieben: Durchsuchen eines Datenträgers, Suche nach Dateien entsprechend ihrer Erweiterungen und Verschlüsselung der Dateien, die sich am stärksten auf die Aktivität des Ziels auswirken können. Die verschlüsselten Anteile sind abhängig von der Strategie der Cyberkriminellen. Zwar auf den Rechner, aber nicht auf die Dateien zugreifen zu können, kann manchmal schlimmer sein als ein Rechner, der nicht mehr startet. Aus diesem Grund achten Cyberkriminelle darauf, nur bestimmte Erweiterungen zu verschlüsseln. Andererseits ist klar, dass sich die Ransomware in den Punkten Verbreitung und Befall weiterentwickelt.
Ransomware nutzende Angreifer halten sich über die neuesten Schwachstellen von Rechnersystemen auf dem Laufenden, um die Schutzfunktionen zu umgehen.
Thomas Gendron, Malware Research Engineer Vade Secure
Auch die Erpressung als solche hat sich seit den Anfängen wesentlich verändert. Lösegeldforderungen per PayPal sind bei Angreifern nicht mehr beliebt, da sie zu einfach rückverfolgbar sind, und die meisten Cyberkriminellen verlangen inzwischen die Zahlung von Lösegeld in Form von Bitcoin. Dieses Zahlungsmittel scheint für Ransomware nutzende Angreifer verlässlicher zu sein. Darüber hinaus ist es aufwändiger, das Lösegeld über Mixer-Plattformen (Smartmixer, BitcoinMix...) zurückzuverfolgen. Anfang 2020 gab das FBI an, dass sich die Erpressungsfälle im Zusammenhang mit Ransomware in den Vereinigten Staaten von 2013 bis 2019 auf mindestens 144,35 Millionen Dollar in Bitcoin beliefen.
Was die Verbreitung angeht, „halten sich Ransomware nutzende Angreifer über die neuesten Schwachstellen von Rechnersystemen auf dem Laufenden, um die Schutzfunktionen zu umgehen“, erläutert Thomas Gendron, Malware Research Engineer bei Vade Secure. Seit Mitte 2019 wiesen zahlreiche VPN mehrere große Schwachstellen auf, die von verschiedenen Gruppen von Cyberkriminellen dazu genutzt wurde, um Ransomware-Wellen zu starten.
Während E-Mails mit infizierten Dateianhängen nach wie vor beliebt sind, wurden in den letzten Monaten auch andere Formen des Befalls festgestellt. Offenlegung von in VPN genutzten Kennwörtern, Schwachstellen von VPN, Verbreitung über Botnet... Ransomware nutzende Angreifer scheinen heute über ein beträchtliches Arsenal zu verfügen, um ihre Ransomware zu verbreiten. Nach einem erfolgreichen Befall versuchen die Cyberkriminellen, ihren Angriff möglichst umfangreich zu gestalten und die Ransomware auf eine maximale Anzahl von Arbeitsplätzen oder Rechnern zu verteilen. Jüngstes Beispiel ist die Schwachstelle Zerologon, die von die Ransomware Ryuk nutzenden Angreifern im großen Stil ausgenutzt wird. Aufgrund dieser Schwachstelle kann der Angreifer schnell als Administrator auf das Active Directory zugreifen, um seinen Angriff innerhalb des Rechnerbestands zu lateralisieren und den Zugriff auf privilegierte Konten wiederherzustellen. Befall, Lateralisierung, Wiederherstellung von Nutzerrechten: Anschließend muss der Cyberkriminelle nur noch seine „action on objective“ ausführen.
Unterscheidung zwischen opportunistischen und gezielten Angriffen
Der erste bedeutende Trend, den es sich in Bezug auf Ransomware in Erinnerung zu rufen gilt, ist zwangsläufig der außergewöhnliche Kontext. Während Phishing-Kampagnen in der Regel nicht sehr ausgeklügelt sind, haben Experten festgestellt, dass Cyberkriminelle inzwischen einen aufwändigeren Social-Engineering-Ansatz verfolgen. Im Zusammenhang mit aktuellen gesundheitlichen und wirtschaftlichen Ängsten finden sich dabei gefälschte Maskenbestellungen oder Kündigungsschreiben... „Unternehmen haben stark in den Schutz ihrer Perimeter investiert, mit Tools zum Schutz der Arbeitsplätze, IT-Sicherheitskonfigurationen usw.“, erläutert Adrien Gendre, Chief Solution Architect bei Vade Secure. Ransomware nutzende Angreifer suchen deshalb nach Möglichkeiten, diesen Schutz zu umgehen und in das Unternehmen hineinzugelangen. Phishing ist eine Möglichkeit, um Posteingänge zu kompromittieren und damit die Ransomware oder sogar Spear-Phishing aus dem Unternehmen selbst heraus zu versenden“.
Und die Methoden, um Menschen zur Zahlung von Lösegeld zu bewegen, sind inzwischen ebenfalls vielfältig. Im Oktober 2020 veröffentlichte eine Gruppe von Cyberkriminellen Gesundheitsdaten im Dark Web, die sie bereits im Jahr 2018 einem finnischen Betreiber von Zentren für Psychotherapie entwendet hatten! Da sich das Unternehmen weigerte, das Lösegeld zu zahlen, wandten sich die Cyberkriminellen an die Familien der Patienten, bevor sie sich entschieden, die wertvollen Daten an den Meistbietenden weiterzuverkaufen... Ein weiteres Beispiel aus jüngster Zeit betrifft Angreifer, die in das soziale Netzwerk Facebook investiert hatten, um böswillige gefälschte Werbung zu schalten, mit der eine italienische Spirituosenfirma zur Zahlung von Lösegeld gezwungen werden sollte.
Allerdings sehen diese Angriffe eher wie opportunistische Angriffe aus. Dabei darf der Haupttrend des Jahres 2020 nicht vergessen werden: die Professionalisierung rund um Ransomware.
Ransomware wird professioneller
Der seit 2016 bestehende Trend zur Ransomware-as-a-Service, oder RaaS, hat sich 2020 fortgesetzt. „Es ist jetzt möglich, für Ransomware sowie für Tutorials darüber, wie man sie einsetzt, zu bezahlen“, berichtet Edouard Simpère, Technical Leader bei Stormshield. „All dies wird als Dienstleistung verkauft, dem Beispiel des Verkaufs von Malware als fertige Tools folgend, die schon seit langem im Dark Web verfügbar sind“. Erpresserische Software wird über das Dark Web bzw. Deep Web verkauft und wird zu einem eigenständigen Produkt, auf das die Regeln des Marktes (Wettbewerb usw.) zutreffen. Beispielsweise haben sich einige Akteure der Cyberkriminalität positioniert, indem sie sich jeweils auf eine bestimmte Aufgabe spezialisiert haben. Aber das ist noch nicht alles: „Indem sie professioneller geworden sind, haben die verschiedenen Angreifer ihr jeweiliges Fachgebiet entwickelt: Ransomware-Entwickler, Phishing-Spezialist, für die Übermittlung an das Ziel zuständiger Spezialist…“, präzisiert Thomas Gendron. Da diese Cyberkriminellen ein komplexes, dynamischeres und leistungsfähigeres System bilden, vermeiden sie im Fall der Festnahme eines Gliedes in der Kette auch Unterbrechungen ihrer wichtigen Operationen.
Es ist jetzt möglich, für Ransomware zu bezahlen, sie mithilfe von Tutorials einzusetzen, sie über eine Schnittstelle zu starten usw. All dies wird als Dienstleistung verkauft.
Edouard Simpère, Technical Leader Stormshield
Diese Professionalisierung der Angreifer ergänzt die Zunahme gezielter Angriffe, die sich gegen große Unternehmen oder Organisationen richten. „Der aktuelle Trend bei Ransomware-Angriffen zeigt eine Verbesserung der bei einem Befall eingesetzten Mittel. Der Einsatz von Tools, um die Ransomware zum gewünschten Ziel zu bringen, kommt der technischen Ausgereiftheit einiger APT- oder FIN-Konzerne sehr nahe und ist ein Beleg für eine höhere operative Intelligenz im Vergleich zu früher“, erläutert Grégory Baudeau, Technical Leader Cyber Threat Intelligence bei Airbus CyberSecurity. Zusammen mit dem wissenschaftlichen Mitarbeiter Frédéric Boissel und dem Analysten Quentin Michaud hat Grégory Baudeau kürzlich einen Vorgang modelliert, bei dem eine bei der Reaktion auf einen Vorfall vorgefundene Ransomware namens Sodinokibi (auch REvil oder Sodin genannt) übermittelt wurde. Diese seit April 2019 verfügbare RaaS zielt auf eine Vielzahl von Brachen wie Energie, Finanzen, Bauwesen, Biomedizin, Luftfahrt sowie Telekommunikation ab. Eine der Besonderheiten dieser Ransomware besteht darin, die extrahierten Daten in Foren des Dark Web zu veröffentlichen oder sogar zu versteigern. So geschehen im vergangenen Juni in den Vereinigten Staaten: Die Gruppe hinter Sodinokibi soll 50 GB bzw. 1,2 TB an Daten versteigert haben, die zwei amerikanischen Anwaltskanzleien gehörten. Über Datendiebstahl und Erpressung hinaus finden Cyberkriminelle also neue Wege, um von ihren Angriffen zu profitieren.
Schließlich müssen wir in einer Zeit, in der vernetzte Gegenstände Teil unseres Alltags und des Alltags von Unternehmen geworden sind, die Angriffsfläche dieser Gegenstände hinterfragen. Ob es sich nun um nachweisliche Angriffe auf Supermarktkassen oder Drucker handelt oder um gegen intelligente Kaffeemaschinen gerichtete Proofs of Concept, vergrößert sich diese Angriffsfläche durch Elemente mit niedrigem Sicherheitsniveau. „Diese Angriffsfläche lässt Einfallstore offen, die Angreifer machen ihre Erkundungen und warten auf den richtigen Zeitpunkt, das richtige Ziel und den richtigen Ort, um ihre Ransomware einzusetzen. Das ist nur der Anfang einer langen Reihe von Vorfällen“, analysiert Edouard Simpere.
Das Ransomware-Milieu wird immer professioneller und die Angriffe werden immer raffinierter und präziser. Somit wird ihre Erkennung für die Unternehmen, die sich gegen diesen Trend der Cyberkriminalität wappnen müssen, immer komplexer.
Zahlung von Lösegeld, Datensicherung... Wie ist mit Ransomware umzugehen?
Ist es akzeptabel geworden, auf die Forderungen von Ransomware einzugehen? Dies ist eindeutig zu verneinen. Die Frage der Bezahlung stellt sich jedoch nach wie vor, insbesondere bei Infrastrukturen wie beispielsweise Krankenhäusern. Diese kritischen Infrastrukturen sind, sobald sie Opfer von Ransomware geworden sind, nicht mehr in der Lage, ihre lebenswichtigen Aufgaben zu erfüllen. Denn aus operativer Sicht ist der Versuch einer Umgehung von Ransomware komplex und zeitaufwendig und stellt einen Luxus dar, den sich die meisten Strukturen nicht leisten können. Außerdem darf aus moralischer Sicht nicht vergessen werden, dass Ransomware eine Erpressung darstellt. Die Zahlung von Lösegeld würde auf eine Schwäche hindeuten, die in den Medien und ethisch schwierig, wenn nicht gar unmöglich zu verteidigen wäre. Schließlich gibt es aus strategischer Sicht keine Garantie für eine Rückkehr zur Normalität nach einer Zahlung, weder was die Datenwiederherstellung noch was mögliche vom Angreifer hinterlassene Hintertüren angeht. „Lösegeld für Ransomware zu zahlen bedeutet ein kriminelles Geschäft zu unterstützen, und das darf grundsätzlich niemals akzeptabel sein. Daher gilt es Alternativen zu schaffen, um nicht in diese Situation zu geraten“, warnt Adrien Gendre. Das US-Finanzministerium versucht beispielsweise, die Zahlung von Lösegeldern durch Unternehmen zu unterbinden, indem es zivilrechtliche Sanktionen gegen Drittunternehmen (wie Cyberversicherungen, Cybersicherheitsunternehmen usw.) verhängt, die Zielstrukturen bei der Zahlung von Lösegeldern unterstützen. Das Ziel für Organisationen muss sein, sich in eine Position zu bringen, in der sie niemals eine Entscheidung darüber treffen müssen, ob ein Lösegeld gezahlt werden soll oder nicht.
Gleichzeitig positionieren sich auch Verlage und IT-Akteure angesichts der zunehmenden Angriffsfläche und der Verbreitung von Ransomware, indem Sie angepasste IT-Lösungen entwickeln, die mit den Strukturen einhergehen. Das Bewusstsein, sich besser gegen diese Art von Malware zu schützen, scheint also zu wachsen.
Zur Bekämpfung von Angriffen durch Ransomware sind verschiedene Maßnahmen möglich, wie die Schulung der Mitarbeiter in digitaler Hygiene, die Einrichtung einer guten Patch-Managementpolitik, die Einführung einer strengen Politik der Rechte- und Berechtigungsverwaltung (verpflichtende Änderung von Kennwörtern alle 90 Tage bei privilegierten Konten, Zwei-Faktor-Authentisierung usw.). „Eine Möglichkeit, sich heutzutage vor Ransomware zu schützen, ist ein Schutz- und Hygieneniveau, das hoch genug ist, um Schadsoftware nutzende Angreifer abzuschrecken“, ergänzt Grégory Baudeau. „Es ist wichtig, dass die Mitarbeiter ausreichend über Phishing, die Überwachung von Sicherheitsereignissen auf VPN, DBA und Geräten geschult werden, bei denen sich in den letzten sechs bis neun Monaten kritische Schwachstellen gezeigt haben, durch die ein Zugriff auf Netzwerke oder Zentralrechner von Unternehmen möglich wurde. Ebenso wichtig ist es, dass die Sicherheitsteams sich weiterbilden, um verdächtige Verhaltensweisen erkennen zu können. Alle Unternehmen bzw. Organisationen sollten über Vorfallsreaktionsteams verfügen. Darüber hinaus sollte die Möglichkeit bestehen, Dienste abzuschalten und wiederherzustellen, um schnell auf unbefugtes Eindringen reagieren zu können und zu verhindern, dass Ransomware ihr Ziel erreicht, damit die Dienste schnellstmöglich wiederhergestellt werden können “.
Neben diesen verfügbaren Mitteln gibt es eine weitere Voraussetzung für die wirksame Verteidigung gegen Ransomware: die Datensicherung. In allen Strukturen und Unternehmen – auch den kleinsten – sollte eine Datensicherungspolitik etabliert werden und alle Systeme der Organisationen sollten über Lösungen dieser Art verfügen. Datensicherung ist der Eckpfeiler eines wirksamen Schutzes vor Ransomware, und dazu gehört die Einrichtung von nicht vernetzten Datensicherungssystemen, die nicht bei Bedarf verschlüsselt werden können, oder auch von Verfahren zur regelmäßigen Kontrolle der Datensicherungen. Im April 2019 wurde die Firma Fleury Michon Opfer einer Ransomware, wodurch die Produktion für drei Tage zum Erliegen kam. Dank seiner Datensicherungssysteme, die es dem Unternehmen ermöglichten, die für die Wiederaufnahme des Betriebs erforderlichen Daten wiederherzustellen, konnte es seine Tätigkeit relativ schnell fortsetzen und so die Zahlung des geforderten Lösegelds vermeiden. Darüber hinaus hat Fleury Michon zu dem dieses Jahr von der ANSSI veröffentlichten Leitfaden Attaques par rançongiciels, tous concernés [Ransomware-Angriffe gehen uns alle an] beigetragen, der Gebietskörperschaften und Unternehmen helfen soll, die mit Ransomware verbundenen Probleme und die zum Schutz davor zu ergreifenden Maßnahmen zu verstehen.
Ransomware wird uns noch einige Zeit beschäftigen, aber die Unternehmen haben ihr letztes Wort noch nicht gesprochen und werden ihre Verteidigungsmaßnahmen wohl weiter verstärken und Lösegeldforderungen so weit wie möglich ablehnen. Wenn dies der Fall ist, werden sich Cyberkriminelle in einigen Jahren vielleicht neuen, lukrativeren Aktivitäten zuwenden?