RansomOps
Erpresser-Kriminalität erreicht neue Dimension
Foto: Oleg Elkov - shutterstock.com
Ransomware wird auch 2022 die Security-Szenerie weltweit entscheidend prägen, ist sich Anthony M. Freed, Senior Director für den Bereich Corporate Communications bei Cybereason, sicher. Das liege auch daran, dass die Cyberkriminellen immer raffinierter vorgingen. Statt mit Guerilla-Aktionen einzelner Kleingruppen, die ihre Schadsoftware wie mit einer Schrotflinte ungezielt ins Netz schießen, bekämen es Unternehmen nun mit viel weiter entwickelten kriminellen Taktiken zu tun, beobachtet Freed. Mittlerweile bildeten sich regelrechte Kartelle, die fokussierte Angriffsstrategien mit Ransomware ausarbeiteten. Der Manager spricht von sogenannten RansomOps.
Ransomware präsentiere sich als eine der "lautesten" Kategorien in der digitalen Bedrohungslandschaft, schreibt Freed in einem Blog-Beitrag. Opfer offensiv mit einer Lösegeldforderung unter Druck zu setzen, , schüchtere erst einmal ein. Diese Taktik, sich als Erpresser zu offenbaren, schüre die Angst der Opfer und vermittle ihnen ein Gefühl der Dringlichkeit. "Wenn die Lösegeldforderung am Bildschirm aufpoppt, bedeutet das meistens, dass Sie den Zugriff auf einige oder alle Ihre Systeme oder Dateien schon verloren haben."
Im Gegensatz zu breit gestreuten Ransomware-Attacken, bei denen es den Angreifern darum geht, von einer großen Zahl an Opfern kleinere Lösegeldbeträge einzufordern, sind RansomOps-Angriffe deutlich ausgefeilter und zielgerichteter. Sie ähnelten eher heimlichen, gut geplanten Advanced-Persistent-Threat- (APT-)ähnlichen Operationen, beschreibt Freed diese Angriffstaktik.
Arbeitsteilung bei Ransomware-Attacken
Oft seien dabei mehrere Akteure am Werk, die jeweils ihre eigenen Spezialaufgaben erledigten. Freed nennt zunächst die Initial Access Brokers (IABs), die den Zugang legen, indem sie in ein Zielnetzwerk eindringen sind und sich dort ausbreiten. Ihr Ziel: Die Schadwirkung der später eingeschleusten Ransomware möglichst zu maximieren. Weitere Beteiligte sind Ransomware-as-a-Service (RaaS)-Betreiber, die die Angriffsinfrastruktur bereitstellen, und die eigentlichen Angreifer, die die Attacke organisieren und steuern.
Der Schlüssel, einen Ransomware-Angriff erfolgreich abzuwehren, bestehe darin, ihn frühzeitig zu erkennen und zu beenden, bevor es zu einer Datenexfiltration oder Verschlüsselung wichtiger Dateien und Systeme komme, rät der Cybereason-Mann. Gerade bei RansomOps-Operationen seien die Angreifer vor der Aktivierung des Schadcodes meist schon wochen- oder sogar monatelang im Zielnetzwerk aktiv. Diese vorbereitenden Aktivitäten zu entdecken, heiße den Angriff rechtzeitig zu blocken.
Ransomware-Angriff in 7 Stufen
Freed beschreibt verschiedene Stufen eines Ransomware-Angriffs und beruft sich dabei auf eine Untersuchung von J.P.Morgan. Die Investmentbanker haben eine Attacke mit Erpressungssoftware auf ein nicht näher genanntes Unternehmen analysiert, die über fünf Monate akribisch vorbereitet wurde und bei der über 11.000 Server und Workstations lahmgelegt wurden:
Delivery: Ransomware-Akteure verwenden in der Regel ungesicherte Remote Desktop Protocol (RDP)-Systeme, Phishing-E-Mails oder Software-Schwachstellen, um sich Zugang zum Netzwerk ihrer Opfer zu verschaffen.
Installation: Ist der Zugang offen, laden die Hacker die Ransomware auf das Zielsystem herunter und installieren den Schad-Code.
Command and Control: Nach erfolgreicher Installation ruft die Ransomware ihren Command and Control (C2)-Server an, um Anweisungen von den Angreifern zu erhalten.
Credential Access: Die Ransomware stiehlt Anmeldeinformationen, um sich Zugang zu anderen Geräten und Konten zu verschaffen, die mit dem bereits infiltrierten Netzwerk verbunden sind.
Discovery: Die Ransomware sucht nach passenden Dateitypen, die sie auf den befallenen Systemen verschlüsseln kann.
Lateral Movement: Die Ransomware bewegt sich durch das Netzwerk und verwendet die gestohlenen Anmeldeinformationen, um weitere Konten und Geräte zu kompromittieren.
Actions on Objectives: Die Ransomware verschlüsselt lokale und Netzwerkdateien, und offenbart daraufhin ihre Lösegeldforderung auf jedem betroffenen System.
Bei Ransomware-Angriffen gibt es laut Freed mehr zu erkennen als nur den Zeitpunkt, an dem die Malware ihre Lösegeldforderung anzeigt. Das sei allerdings nicht ganz einfach. Der Manager plädiert für einen kombinierten Ansatz, um bereits die frühen Anzeichen eines Angriffs zu erkennen. Er spricht von Indikatoren für die Gefährdung, sogenannten Indicators of Compromise (IOCs), und Verhaltensindikatoren, den Indicators of Behavior (IOBs).
Subtile Anzeichen einer Kompromittierung erkennen
Mit dem Aufspüren von IOCs ließen sich beispielsweise E-Mails mit bösartigen Links oder Makros in angehängten Dokumenten blockieren, ebenso Dateien, die versuchten, Einträge in der Registry von Systemen zu verändern. Gleiches gelte für Verbindungsversuche zu bekannten bösartigen Infrastrukturen. IOBs sollen Unternehmen unterstützen, auch subtile Anzeichen für eine Kompromittierung zu erkennen. Dabei geht es darum, verdächtige Verhaltensweisen im Netz zu erkennen, die auf den ersten Blick sehr selten oder unverdächtig erscheinen.
"IOCs können Unternehmen vor bekannten Ransomware-Kampagnen schützen, während IOBs den Sicherheitsteams dabei helfen, auch solche Angriffsversuche zu visualisieren und zu stoppen, die noch niemand vorher gesehen hat", fasst Freed zusammen. Insgesamt müssten Unternehmen dabei einen Operations-zentrierten Ansatz verfolgen, der es ihnen ermögliche, ein bösartiges Vorgehen (MalOp) in ihrer Gesamtheit zu visualisieren - beginnend mit der Ursache und über jedes einzelne betroffene Gerät und Benutzerkonto hinweg. Grundsätzlich könnten sich Unternehmen in jeder Phase eines Ransomware-Angriffs verteidigen, macht der Manager den Anwendern Mut.