:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Basisschutz statt Versicherungsfall Ransomware früh erkennen und stoppen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Erpressung von Unternehmen durch Ransomware bleibt ein lukratives Cyberverbrechen. Immer häufiger werden die verlangten Lösegelder von den betroffenen Unternehmen oder Versicherern bezahlt, was auch eine politische Debatte mit sich bringt. Eine aktuelle Entwicklung: Bei den Cyberkriminellen bleiben leichte Ziele immer noch am beliebtesten – ein effektiver Basisschutz und Früherkennung müssen nicht teuer sein.
Vor fünf Jahren galt Ransomware noch nicht als besonders zuverlässige Einnahmequelle für Cyberkriminelle: Nur 55 Prozent der Opfer zahlten ihre Lösegelder in 2017. Heute liegt diese Zahl laut einer CyberEdge Group-Befragung schon bei 63 Prozent. Warum ist diese Zahl angestiegen? Kurz gesagt, weil es sich lohnt.
Zum Einen ist die tatsächliche Datenwiederherstellung zuverlässiger geworden, wenn gezahlt wird. Zum Anderen kam neben dem Verschlüsseln der Daten vermehrt noch die Drohung hinzu, die vertraulichen Daten zu veröffentlichen, was den Zahlungsdruck selbst bei vorhandenen Backups noch einmal erhöht. Und zu guter Letzt ist es oftmals einfach wirtschaftlicher, eine hohe Geldsumme zu zahlen, als potentiell mehrere Wochen Downtime zur Datenwiederherstellung in Kauf zu nehmen. Teilweise übernehmen sogar Versicherungen die Kosten, die in Folge einer Ransomware-Attacke anfallen. Doch das Problem wird dadurch nicht unbedingt kleiner.
Debatte um die Ethik des Lösegelds
Ende Juni wandten sich Wissenschaftler:innen und Expert:innen in einem offenen Brief an die Politik und forderten, die Zahlungen von Lösegeldern durch Verbote und Anreize zu unterbinden. Die Zahlungsbereitschaft habe sich zu einem geostrategischen Risiko für Deutschland entwickelt, heißt es darin, und unterstütze weitere Gefahren für die kritische Infrastruktur.
Mit dieser Finanzierung erschließt sich entsprechendes Budget für die anspruchsvollsten Angriffstechnologien wie die neuesten Zero-Day-Exploits auf dem Schwarzmarkt. Es ist also abzusehen, dass die technischen Möglichkeiten der kriminellen Gruppen hinter Ransomware auch in Zukunft weiter reifen.
Leichte Ziele sind beliebte Ziele
Organisierte Cyberkriminalität, die durch die Beute ihrer Opfer an die neuesten Ransomware-Technologen kommt, klingt erst einmal sehr unheimlich. Und die Debatte, inwiefern man sie weiter finanzieren sollte, ist eine, die geführt werden muss. Aber bei aller Unheimlichkeit sollte nicht außer Acht gelassen werden, dass die einfachsten Einfallstore nach wie vor die beliebtesten Ziele für Cyberkriminelle sind:
- Colonial Pipeline zahlte 4,4 Millionen Dollar nach einem Angriff über einen inaktiven Nutzeraccount mit fehlender Multi-Faktor-Authentifizierung.
- Das irische Gesundheitssystem erlag einer bösartigen Excel-Datei.
- Der Tech-Riese Acer wurde durch eine nicht-gepatchte Schwachstelle in Microsoft Exchange kompromittiert.
Diese Beispiele zeigen vor allem, dass auch mit den größten und modernsten Ressourcen für Cyberangriffe weiterhin die gängigen Methoden beliebt bleiben. Besonders für Sicherheitsverantwortliche in KMUs bestätigt es, was sie ohnehin schon wissen: Schon die Security-Basics machen einen großen Unterschied.
Zwölf Tipps zur Früherkennung von Ransomware
Der Weg eines Ransomware-Angriffs bis zum Erfolg führt über viele Stationen eines Systems. Diese müssen überwacht und auf die jeweiligen Ungereimtheiten, die auf einen Angriff hindeuten, geprüft werden. Manuell ist das ein großer Aufwand, vor allem im 24/7-Betrieb, daher bieten sich hierfür automatisierte Alerting-Systeme in RMM- oder Endpoint-Management-Lösungen an.
Der genaue Ablauf einer Ransomware-Attacke variiert je nach Angreifenden, Zielunternehmen und eingesetzter Software. Die meisten gezielten Angriffe folgen aber in der Regel dem gleichen Playbook aus Erstzugriff, Persistenz, Rechteausweitung, Umgehung von Abwehrmaßnahmen (Defense Evasion), Discovery, Lateral Movement und immer häufiger auch Datendiebstahl. Bei jedem dieser Schritte hinterlassen Angreifende Hinweise auf ihre Aktivitäten, die für ein Frühwarnsystem zu beobachten, unerlässlich sind.
Erstzugriff
- Verdächtige E-Mails: Sie können jeden und jede im Unternehmen treffen, daher sind firmenweite, regelmäßige Sicherheitstrainings essentiell. Kulturell sollten Mitarbeitende aktiv ermutigt sein, verdächtige E-Mails zu melden und im Sinne der Transparenz auch Fehler machen zu dürfen, ohne Bestrafung zu fürchten.
- Verdächtige Remote Desktop Protocol (RDP)-Verbindungen: Noch heute sind offene Remotedesktopverbindungen ein beliebtes Einfallstor für Erstzugriff. Verschiedene Softwares bieten einen Überblick über installierte RDP-Tools und protokollieren eingehende Verbindungen, sodass diese früh genug aufgehalten werden können.
Persistenz
- Verdächtige Task-Erstellung: Über Tasks, zum Beispiel in der Windows PowerShell, sichern Cyberkriminelle sich nach dem Erstkontakt die weitere Präsenz auf einem kompromittierten System. Abhilfe kann zum Beispiel ein Monitoring und Alert auf die Windows Event IDs 4698 und 4700 liefern.
- Unerwartete Einrichtung von Remote Access-Software: Dritthersteller-Tools wie AnyDesk, Atera und Co. sind auch zur weiteren Kontrolle von Systemen beliebt. Werden diese nicht planmäßig im Unternehmen benutzt, sollte ein Alert für ihre Präsenz im Einsatz sein.
Rechteausweitung
LSASS-Missbrauch: Das Windows Local Security Subsystem (LSASS) ist eines der häufigsten Vehikel, das Cyberkriminelle nutzen, um sich Administratorrechte auf einem kompromittierten Windows-System zu sichern. Microsoft selbst bietet mit der Attack Surface Reduction (ASR)-Regel eine Einstellung, die die gängigsten Einfallstore hierfür deaktiviert. Darüber hinaus bieten viele EDR-Tools Blockier- und Alert-Einstellungen, um LSASS vor Missbrauch zu schützen.
Umgehung von Abwehrmaßnahmen
Deaktivieren / Deinstallieren von Antiviren- und Sicherheits-Software: Nichts umgeht Sicherheitstools zuverlässiger, als sie einfach abzuschalten. Remote Monitoring und Management (RMM)-Umgebungen können kontinuierlich prüfen, ob Sicherheitssoftware installiert und aktiv ist, und gegebenenfalls einen Alert senden.
Discovery
Untypischer Einsatz von Port- und Netzwerk-Scan-Tools: Schaffen Cyberkriminelle es, ihre Präsenz im Zielsystem unentdeckt zu sichern, müssen sie sich als nächstes orientieren, wo sie gelandet sind und wohin sie sich bewegen können. Hierfür bieten sich Windows-eigene Tools wie nltest.exe, ipconfig, whoami und Port-Scan-Tools wie Advanced IP Scanner an. Analog zu Fernzugriffstools sollten diese, gerade wenn nicht im täglichen Gebrauch relevant, überwacht bzw. blockiert werden.
Lateral Movement
- Verdächtiger Einsatz von Cobalt Strike: Ursprünglich entwickelt, um Cyberangriffe für Verteidigungszwecke zu simulieren, ist das Tool Cobalt Strike mittlerweile ähnlich beliebt bei tatsächlichen Kriminellen. Das Tool automatisiert eine Reihe an Taktiken, die nach einem Exploit zum Einsatz kommen. Viele EDR-Tools haben bereits die Fähigkeit, den Einsatz von Cobalt Strike zu erkennen und zu blockieren.
- Verdächtige Remotezugriffsverbindungen: Besonders verdächtige Netzwerkaktivitäten, die zur seitlichen Bewegung im Zielnetzwerk dienen, lassen sich im Vorfeld überwachen und sind beispielsweise bei MITRE aufgelistet.
- PsExcec-Missbrauch: Das Windows-eigene Tool PsExec bietet Cyberkriminellen die Möglichkeit, Befehle oder Skripte wie SYSTEM aus der Ferne auszuführen. Der Einsatz des Tools lässt sich über die Suche nach bestimmten Windows Event IDs und Registry-Änderungen aufspüren.
Datendiebstahl
- Anstieg in Traffic und Netzwerkaktivität nach Außen: Immer häufiger werden die Daten im Zielsystem für Erpressungszwecke gestohlen, bevor sie verschlüsselt werden. Dieser Schritt ist erkennbar durch erhöhten Traffic, unerwartete Verbindungen mit öffentlichen IP-Adressen, untypische Port-Aktivitäten und mehr. Netzwerk-Monitoring und Firewall-Regeln leisten hier einen wichtigen Beitrag zur Früherkennung.
- Missbrauch von File-Transfer-Tools: Gerade legitime Tools, die zum Beispiel eingebaut oder Open Source sind, bieten eine gute Tarnung beim Datenupload. Beispiele hierfür sind Microsoft BITS, curl.exe, Rclone oder Mega. Oftmals ersparen sich Cyberkriminelle die Mühe, diese Programme umzubenennen, sodass sie zu blockieren und/oder zu überwachen bereits ein guter Anfang ist.
Fazit
Ransomware bleibt ein lukratives Mittel für Cyberkriminelle, um von großen wie kleinen Unternehmen beachtliche Geldsummen zu erbeuten und entsprechend legitim ist die politische Diskussion über die Ethik von Lösegeldzahlungen. Trotz aller globalen und politischen Fragen bleibt die unmittelbare Priorität für IT-Verantwortliche die gleiche: Ein effektiver Basisschutz und ein Frühwarnsystem mit effektiven Alerts und Überwachungen verringern die Chance, selbst einem erfolgreichen Ransomware-Angriff zum Opfer zu fallen, erheblich.
Über den Autor: André Schindler gründete als General Manager EMEA bei NinjaOne die EMEA-Niederlassung in Berlin und baute sowohl den Vertrieb als auch den Service in Europa auf. Als Vice President Strategic Partnerships verantwortet er die strategischen Geschäfts- und Technologiepartnerschaften einschließlich der Planung und Ausführung von Go-to-Market-Strategien. Vor seinem Einstieg bei NinjaOne wirkte André Schindler neuneinhalb Jahre in unterschiedlichen leitenden Funktionen für TeamViewer in den Bereichen Vertrieb, Konzernentwicklung, Value Creation und Strategische Partnerschaften.
(ID:48598601)
:quality(80)/p7i.vogel.de/wcms/7b/55/7b55142205772d47d38f030237b71dcd/0108876148.jpeg "Für 2023 und darüber hinaus ist damit zu rechnen, dass die Professionalisierung der Cyberkriminalität weiter fortschreitet. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/2a/182a8abd972b95534c7e27fcaa390095/0107668187.jpeg "Die US-amerikanische Cybersicherheitsagentur CISA hat Empfehlungen veröffentlicht, wie Unternehmen sich auf die häufigsten Angriffsmethoden bei OT/ICS-Systemen vorbereiten sollen. (Bild: ART STOCK CREATIVE - stock.adobe.com)")