Double-Extortion auf dem Vormarsch 5 Schritte zur Risikominimierung von Ransomware-Infektionen

Autor / Redakteur: Nicolas Casimir / Peter Schmitz

Viele Unternehmen haben Anfang 2021 aufgeatmet, als die Infrastruktur hinter der Malware Emotet abgeschaltet wurde. Allerdings zeigte sich im Jahresverlauf bisher, dass dadurch Ransomware-Angriffe keineswegs weniger wurden, was prominente Beispiele wie Colonial Pipeline oder das irische Gesundheitssystem belegen. Zu umfangreich ist das Spektrum an kriminellen Gruppierungen, die ihren Profit aus dem Vorgehen mit Erpressungstrojanern beziehen.

Firmen zum Thema

Es gibt heute keine Branche mehr, die nicht ins Visier von Cyberkriminellen geraten kann, dementsprechend tun sie gut daran, ihre Abwehrmechanismen an das Vorgehen der Angreifer anzupassen.
Es gibt heute keine Branche mehr, die nicht ins Visier von Cyberkriminellen geraten kann, dementsprechend tun sie gut daran, ihre Abwehrmechanismen an das Vorgehen der Angreifer anzupassen.
(© zephyr_p - stock.adobe.com)

Dazu nutzen Cyberkriminelle heute eine Vielzahl von Infiltrationsvektoren, um sich Zugang zu den gewünschten IT-Systemen zu verschaffen. Zu den gängigsten Methoden gehören Phishing-E-Mails, das Ausnutzen von Schwachstellen in Remote- oder VPN-Tools sowie die Verwendung von Brute-Force-Methoden, um schwache Passwörter zu knacken oder gestohlenen Anmeldedaten, um via Remote Desktop Port (RDP) Verbindungen zuzugreifen. Einmal ins System eingedrungen, werden weitere Informationen über die Infrastruktur des Opfers ausgespäht. Dabei bewegen sich die Angreifer lateral über die Netzwerkinfrastrukturen hinweg, bis sie zu wertvollen Datenbeständen und zu Administrationsebenen vordringen. Diese sensiblen Daten werden dabei vor der Verschlüsselung des befallenen Systems ausgelesen, um sie als sekundäre Erpressungsmasse für höhere Lösegeldzahlungen zu verwenden. Denn wenn sich das betroffene Unternehmen entschließen sollte, nicht auf die Lösegeldforderung einzugehen, haben die Angreifer dadurch einen weiteren, wirkungsvollen Hebel in der Hand.

Die Infektionskette einer Double-Extortion Ransomware-Infektion

Infektionskette einer Double-Extortion Ransomware-Infektion.
Infektionskette einer Double-Extortion Ransomware-Infektion.
(Bild: Zscaler)

Als Nächstes wird die eigentliche Ransomware-Payload installiert und ausgeführt, wodurch die Dateien im Netzwerk verschlüsselt werden. Die Schadsoftware beendet in der Regel auch Prozesse, die mit Sicherheitssoftware und Datenbanken zusammenhängen, um die Menge der verschlüsselten Dateien zu erhöhen und somit ein wirkungsvolles Pfand für die Lösegeldforderung in ihre Gewalt zu bringen. Da sich die Lösegeldforderungen proportional zur Anzahl der infizierten Systeme und dem Wert der Daten bewegen, breiten sich die Angreifer soweit als möglich im Netzwerk aus. Grundsätzlich gilt: je höher der Einsatz, desto höher die Lösegeldforderungen. Auch Schattenkopien von Backups werden in der Regel vom System gelöscht, um die Wiederherstellung von Dateien zu erschweren. Die Opfer erhalten schließlich die Mitteilung über den erfolgreich ausgeführten Ransomware-Angriff mit Anweisungen zur Zahlung des Lösegelds. Selbst wenn das betroffene Unternehmen die verschlüsselten Daten aus Backups wiederherstellen kann, muss es damit rechnen, dass die Cyberkriminellen die zuvor entwendeten sensiblen Daten veröffentlichen, um ihrer Forderung Nachdruck zu verleihen.

Warum sind Angreifer noch immer erfolgreich?

Auch wenn Cyberkriminelle mit zunehmend komplexeren und zielgerichteten Angriffen aufwarten, tragen nach wie vor fehlerhafte Prozesse in Unternehmen dazu bei, dass die Sicherheitsinfrastruktur überwindbar ist. Diese Schlupflöcher werden von Malware-Akteuren zielsicher aufgespürt und ausgenutzt, um Schadcode im Netzwerk zu platzieren. Dabei ist mangelhaftes Patch-Management nur ein Teil des gesamten Puzzlespiels, ebenso wie Proxy-Lösungen zum Erkennen schädlicher Webseiten oder Browser-Isolation. Schwerwiegender ist allerdings ein zu großes Vertrauen in die vereinzelte Sicherheitstechnologien, die den großen Überblick vermissen lassen. Jeder Bestandteil der Sicherheitsinfrastruktur sollte nicht für sich allein bestehen, sondern in ein umfangreiches Security-Prozessmanagement eingebettet werden. Viele Sicherheits-Tools können Malware erkennen, aber zu deren Beseitigung aus dem Netzwerk ist ein lückenlos dokumentierter und auch umsetzbarer Prozess erforderlich, an dem sich die Sicherheitsteams halten müssen. Eine zu hohe Anzahl an Alerts zu Sicherheitsvorfällen kann dabei leicht überwältigen und die Handlungsfähigkeit des IT Sicherheits-Team einschränken.

Um ausgeklügelten Angriffen entgegenzutreten, ist eine vielschichtige Abwehrstrategie erforderlich. Wie die Ransomware-Infektionskette zeigt, handelt es sich nicht nur um eine einmalige Aktion der Angreifer, sondern eine mehrstufige Angriffskette, der ebenso vielfältig auf jeder Ebene begegnet werden sollte. Ein Gesamtkonzept für die IT-Sicherheit sollte deshalb nicht nur auf die Abwehr oder Erkennung einer Erstinfektion abzielen, sondern die Löcher im Schutzschild durch verschiedenste übereinander gelagerte Mechanismen so klein werden lassen, dass der Aufwand für die Angreifer zu hoch wird.

Die folgenden fünf Bausteine sollten für die Bekämpfung von Ransomware-Attacken oder deren Schadensbegrenzung berücksichtigt werden:

Baustein 1: Erstinfektionsrisiko eindämmen durch TLS-Scanning

Eine große Lücke tut sich in jedem Schutzkonzept auf, wenn der TLS/SSL verschlüsselte Datenverkehr eines Unternehmens nicht vollumfänglich auf Malware untersucht wird und damit eine Erstinfektion möglich ist. Denn Hacker verbergen heute ihre Payload in dem Wissen hinter Verschlüsselung, dass Unternehmen nach wie vor nicht alle Datenströme auf Malware untersuchen. Auf diese Weise kann nicht nur die Erstinfektion stattfinden, sondern auch die Command & Control-Kommunikation der Angreifer. Haben diese erst einmal Zugang zum Netzwerk, können sie auf diesem Weg weitere Daten abfließen lassen. Fehlt der Blick in diese Datenströme, hat das Sicherheitsteam keine Möglichkeit diesen Transportweg für Malware zu schließen und die erste große Lücke im Schutzschirm tut sich auf.

Baustein 2: Verhaltensanalyse schlägt signaturbasierte Malware-Erkennung

Zusätzlich sollten sich IT Security-Abteilungen Gedanken machen, auf welche Technologie zur Malware-Erkennung gesetzt wird. Signaturbasierte Systeme sind immer nur so gut wie ihr Update-Zyklus mit neuen Signaturen. Da Malware-Akteure ihre Baukästen an Schadcode kontinuierlich aktualisieren – auch mehrfach pro Tag - hinkt eine Signaturerkennung immer einen Schritt hinter den Machenschaften der Cyberkriminellen her. Schließlich kann eine Signatur erst nach einer ersten erkannten Infektion aktualisiert werden. Verhaltensanalyse wartet mit einem umfangreichen Repertoire an Erkennungsmechanismen auf, die bereits für die Patient Zero Erkennung ineinandergreifen. Wird eine Cloud-Sandbox zur Verhaltensanalyse über eine globale Sicherheitsplattform bezogen, erfolgt die Aktualisierung über die Cloud und das manuelle, fehleranfällige Update entfällt. So lässt sich der Angriffsvektor weiter schließen, indem die zeitliche Reaktionsfähigkeit nahezu automatisiert wird.

Baustein 3: Angriffsflächen im Netzwerk erkennen und schließen durch Zero Trust

Die jüngste Zscaler-Untersuchung „Exposed“ zum Status der Angriffsoberflächen zeigt eine beängstigend große Menge an Netzwerk-Infrastruktur von Unternehmen, die offen im Internet auffindbar ist. Fast 400.000 exponierte Server und mehr als 200.000 Ports wurden im Untersuchungssample von 1500 Unternehmen weltweit aufgespürt. Im Durchschnitt sind pro Unternehmen 262 Server über das Internet sichtbar und damit erreichbar – nicht nur für legitime Zwecke, sondern auch für Angreifer. Von 202.000 entdeckten CVE-Lücken wurden 49 Prozent als kritisch oder hoch eingestuft. Ein auf Zero Trust basierter Sicherheitsansatz sowohl für den Remote Zugriff als auch für On-Premises Umgebungen sorgt dafür, dass diese Infrastruktur nicht mehr für jedermann sichtbar auffindbar ist. Da es Zero Trust Network Access ermöglicht, Zugriffsberechtigungen richtlinienbasiert auf Ebene des einzelnen Service oder der Applikation zu definieren, können nur autorisierte und authentifizierte Anwender auf entsprechende Dienste zugreifen. Unternehmen sollten sich also in einem ersten Schritt ihre Angriffsflächen bewusst machen und in einem zweiten Schritt Maßnahmen ergreifen, um diese Angriffsflächen zu reduzieren. Was an Komponenten nicht sichtbar im Internet aufzuspüren ist, kann auch nicht angegriffen werden.

Baustein 4: Mikrosegmentierung schaltet laterale Ausbreitung von Angreifern aus

Durch die granular gestalteten Zugriffsberechtigungen auf Dienste oder Anwendungen im Rechenzentrum oder public und hybriden Cloud-Umgebungen entsteht ein weiterer positiver Nebeneffekt. Für den Remote Zugriff des Mitarbeiters wird nicht mehr das gesamte Netzwerk geöffnet. Es erfolgt durch Zero Trust eine Microsegmentierung auf Ebene der einzelnen Anwendung. Sollten Angreifer die Hürden der Erstinfektion gemeistert haben, so gelingt ihnen durch die Microsegmentierung zumindest keine laterale Ausbreitung im Netzwerk, um Daten zu exfiltrieren oder um bis zu den Kernsystemen vorzudringen, um dieses zu verschlüsseln. Durch Zero Trust lässt sich die gesamte Angriffsfläche der IT-Infrastruktur erneut minimieren und dadurch Angreifer ein Stück mehr zurückdrängen.

Baustein 5: Data Loss Prevent beugt der Double Extortion vor

Eine weitere Schutzebene, um die Wirksamkeit der Doppelerpressung von Ransomware-Gruppierungen entgegenzuwirken, ist die Implementierung eines inline Data Loss Prevention (DLP) Systems. Haben die Angreifer ihr Ziel erreicht, weil sie durch die ein oder andere vorhandene Lücke Einlass ins Netzwerk finden konnten, wird es ihnen durch eine DLP-Lösung zumindest verwehrt, Datenbestände abzugreifen. Wichtig bei einem solchen System ist die Inline-Überwachung der Datenbestände in Echtzeit, um dem Abfließen von Daten entgegenzuwirken. Können Angreifer keine Daten erbeuten, um diese auf eigenen Leak-Plattformen zu veröffentlichen, läuft zumindest die Masche der doppelten Erpressung ins Leere, mit der Angreifer einer Lösegeldforderung Nachdruck verleihen könnten.

Fazit

Diese fünf Schritte zeigen, dass nicht nur Ramsomware-Infektionen stufenweise aufeinander aufbauen. Für jede Stufe der Angriffstaktik können Unternehmen heute mit Gegenmaßnahmen aufwarten, die der Schadensbegrenzung dienen. Das Augenmerk des IT-Sicherheitsteams sollte nicht mehr nur auf der Verhinderung eines Erstangriffs liegen, sondern zusätzlich auf der Schadensbegrenzung, sollten Angreifer einmal ins Netzwerk eingedrungen sein. In der Regel sollte die Ransomware-Zahlung keine Option sein, um dem Geschäftsmodell von Ransomware-Gruppierungen nicht Vorschub zu leisten. Die Angreifer sind zudem gut vernetzt. Wenn Unternehmen an ihrer Infrastruktur nach einem ersten erfolgreichen Angriff nichts Grundlegendes ändern, laufen sie sogar in Gefahr, einer zweiten Attacke ausgesetzt zu sein – vor allem wenn sich in der Szene herumspricht, dass der Lösegeldforderung nachgekommen wurde.

Es gibt heute keine Branche mehr, die nicht ins Visier von Angreifern geraten kann, dementsprechend tun Unternehmen gut daran, ihre Abwehrmechanismen an das Vorgehen der Angreifer anzupassen. Ein hoher Integrationsgrad der Abwehrmechanismen, um in Echtzeit Logs zu analysieren, wird über einen Cloud-basierten Sicherheitsansatz möglich, bei dem das manuelle Patchen durch automatische Updates ersetzt wird. Eine solche Sicherheitsplattform bietet gleichermaßen Schutz vor Angriffen und unterstützt die Risikominimierung.

Über den Autor: Nicolas Casimir ist CISO EMEA bei Zscaler.

(ID:47565864)