Einfallstore für Hacker effektiv schließen Wie eine starke Authentifizierung vor Ransomeware schützt

Von Al Lakhani

Anbieter zum Thema

Die Attacken mit Ransomeware sind verbreiteter denn je. Ein Blick auf die Hauptangriffsvektoren bekannter Fälle zeigt: sichere Authentifizierung ist ein wichtiger Schritt zur Risikomitigation.

Authentifizierung kann bei der Risikomitigation von Ransomware eine entscheidende Rolle spielen.
Authentifizierung kann bei der Risikomitigation von Ransomware eine entscheidende Rolle spielen.
(© Suttipun - stock.adobe.com)

Dass Ransomware ein Problem ist und auch nicht an Tragweite verlieren wird, ist heute jedem, der sich mit IT-Sicherheit beschäftigt, klar. Laut der globalen Studie “The State of Ransomware” haben mehr als die Hälfte der Organisationen im Jahr 2020 schon einmal einen Cyberangriff erlebt, der auf Lösegeld aus war. Im Zweifel den Forderungen nachzugeben oder das System wiederherzustellen, ist eine teure Strategie, weshalb sich bei der Risikomitigation zunächst die Frage gestellt werden sollte, was die Hauptangriffsvektoren dieser Malware sind. Denn so ist es möglich, sich einer Lösung zu nähern, die das Problem von Ransomware nicht nur verschiebt, sondern das Risiko im Idealfall dauerhaft reduziert.

Die drei Hauptangriffsvektoren von Ransomware

Angriffsvektor Nummer 1 – Die Technologie: Wie in vielen anderen Angriffsszenarien auch, nutzen Hacker für ihre Ransomware-Attacken Schwachstellen und Backdoors verwundbarer Infrastruktur aus, um Schadsoftware in ein System zu schleusen. Verwundbar ist die Infrastruktur vor allem dann, wenn sie auf ungepatchten Systemen basiert. So zielt beispielsweise die bekannte Ransomware Wannacry – die durch das Lahmlegen von Universitäten und Krankenhäusern zu Bekanntheit gelangte – direkt auf Computer mit veralteten Microsoft-Windows-Versionen ab. Hierbei wurde ein bekannter Programmierfehler in der SMB-Implementierung ausgenutzt, um Abstürze und dauerhafte Bluescreens (daher auch “Eternal-Blue” genannt) zu erzeugen, Computer auszuspionieren und Nutzer aus den Systemen auszusperren. Wie virulent das Problem ungepatchter Computer ist, zeigte sich durch Wannacry, die sich in 150 Ländern ausbreitete und mehr als 230.000 Rechner infizierte.

Angriffsvektor Nummer 2 – Der Prozess: Selbst, wenn CISOs sich eigentlich vorbildlich zeigen und ihr System auf dem neuesten Stand halten wollen, birgt auch das Patch-Management Gefahren. Wird nicht kontrolliert, dass Patches von verifizierten Quellen übertragen werden, oder werden Systemveränderungen einfach zugelassen, öffnet dies die Pforten für Malware wie auch Ransomware. Denn, wie das Beispiel des Dienstleisters für IT- und Netzwerkmanagement SolarWinds zeigt, auch ein Patch kann durchaus kompromittiert sein: In dem Fall, der 2020 Aufsehen erregte, infiltrierten Hacker den Built-Prozess von SolarWinds. So konnten sie einen Trojaner in ein Update integrieren, welches etwa 18.000 Kunden über die SolarWinds-Plattform Orion installierten. Ein solcher Angriff auf Drittanbieter-Software, der man als Unternehmen eigentlich vertraut, ist für Administratoren in der Organisation nur schwer zu entdecken. Experten vergleichen es mit einem Angriff auf einen Schlüssel-Hersteller, anstatt ein Schloss zu knacken: Durch das kompromittierte Update gelang es den Angreifern staatliche und private Netzwerke der US-Regierung – vom Heimatschutzministerium bis zur nationalen Verwaltung für nukleare Sicherheit – zu infiltrieren und auch Unternehmen wie Microsoft, Nvidia, Belkin, Intel oder Cisco waren betroffen.

Angriffsvektor Nummer 3 – Der Mensch: Die Mitarbeitenden einer Organisation bleiben immer eine Schwachstelle, egal ob sie nun per Social Engineering oder Phishing dazu gebracht werden, einen Download von einer bösartigen Website zu starten. Die Attacken auf Personen sind gerade auch in Zeiten von Corona und dem damit verbundenen Arbeiten im Home Office massiv angestiegen. Offenbar muss gerade außerhalb der physischen Räume einer Organisation auf das Verhalten der Angestellten geachtet werden, was die IT-Sicherheit angeht. Einer IBM-Studie von 2020 zufolge haben jedoch fast die Hälfte (45 Prozent) der Beschäftigten unterschiedlicher US-Unternehmen, die ins Home Office wechselten, kein Training zur IT-Sicherheit erhalten. Die Unsicherheit vieler Angestellter in dieser neuartigen Situation, die durch die Corona-Pandemie weiter verstärkt wurde, macht sie zu einem beliebten Ziel für Hacker, und Phishing, Smishing oder fiktive Anrufe von vermeintlichen Kollegen der IT-Abteilung haben aktuell Hochkonjunktur. Wenn Mitarbeitende nicht ausreichend für die Gefahren sensibilisiert sind, werden sie unfreiwillig zu Gehilfen der Hacker, zum Beispiel wenn Sie aufgefordert werden, auf Links zu klicken oder Programme zu installieren, hinter denen sich Ransomware verbirgt.

Das Problem mit Credentials

Doch selbst wenn man davon ausgeht, dass alle drei Angriffsvektoren -– Technologie, Prozess und Mensch – perfekt vor Ransomeware-Attacken gefeit wären, so bleibt das Risiko von unautorisierten Zugriffen auf Systeme bestehen. Der Grund liegt in der Natur von primitiven Login-Daten (Credentials): Wer über sie verfügt, erhält Zugang zum System und kann darin schalten und walten wie er will. Wird kein Nachweis darüber geführt, dass der Nutzende die Credentials zu Recht besitzt, hat die IT keinen Grund anzunehmen, dass es sich um einen Angriff handelt. Geht der Zugriff über den einzelnen Computer hinaus und betrifft das Unternehmenssystem insgesamt, ist die flächendeckende Installation von Malware kein Problem. Wie groß das Problem von Credentials bei Ransomware-Angriffen ist, verdeutlichen die Infiltrationsstrategien einiger bekannter Malwares:

  • Dharma (a.k.a. CrySIS) -– attackiert mit Brute-Force-Methoden schwache Anmeldedaten, um sich über Remote Desktop Protocols (RDP) Zugang zum Netzwerk oder System einer Organisation zu verschaffen
  • Phobos Ransomware -– nutzt ebenfalls RDP-Verbindungen um Netzwerke zu infiltrieren
  • Sodinoki (oder auch Sodin beziehungsweise REvil) – verschafft sich durch Brute-Force-Attacken, Server Exploits oder Phishing Zugang zum System
  • Snake, oder auch Ekans -– verbreitet sich durch industrielle Kontrollsysteme (ICS), indem sie offene RDPs mit schwachen Passwörtern nutzt, um die ICS Umgebung unmittelbar zu infizieren

Zwei Dinge werden bei der Betrachtung deutlich: Erstens nutzt Malware Anmeldedaten bewusst als Schwachstelle aus und zweitens sind Remote Desktop Protocols (RDPs) ein beliebter Angriffsweg.

Die Probleme mit RDPs

Die meisten Organisationen setzen auf RDPs für ihre Mitarbeitenden, die von Zuhause aus arbeiten und auf Firmenressourcen zugreifen müssen. Deshalb stellen sie RDP Ports im öffentlichen Internet zur Verfügung. Für Hacker ist es ein Leichtes, diese RDP-Ports zu finden und durch Brute-Force-Attacken schwache RDP-Anmeldedaten zu knacken oder sich durch Credential Stuffing Zugang zu verschaffen. Doch wie lässt sich diese Schwachstelle beseitigen? Eine zuverlässige und starke Authentifizierung wie Multi-Faktor-Authentifizierung (MFA) ist bei Standard-RDPs nicht ohne weiteres zu implementieren. VPN-Verbindungen könnten genutzt werden, um RDPs nicht öffentlich zugänglich zu machen, und doch bleiben auch VPN-Zugänge ohne MFA ebenso angreifbar.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Vier Ideen für eine sichere Autorisierung

Dennoch ist der Kampf gegen Ransomware nicht aussichtslos. Nach wie vor gibt es Maßnahmen, um auch die effizienteste Ransomware auszuschließen.

  • 1. Der beste Schutz ist eine starke MFA, die nicht gestohlen werden kann. Das bedeutet, alle Faktoren sollten passwortlos sein, also eine Authentifizierung durch den Besitz eines autorisierten Geräts oder eines nicht verfälschbaren biometrischen Merkmals bieten.
  • 2. Da RDP und VPN gerade in Zeiten vermehrter Remote-Arbeit ein so verbreiteter Angriffsvektor ist, sollte hier ein besonderes Augenmerk auf regelmäßige Updates gelegt werden.
  • 3. Training für Mitarbeitende, insbesondere in Bezug auf Ransomware sollte Standard in jeder Organisation sein. Phishing ist und bleibt die wichtigste Angriffslinie von Ransomware.
  • 4. Am Ende kann ein Risiko nie vollständig ausgeschlossen werden, weshalb die letzte Maßnahme lautet: Eine gute Backup-Strategie sollte jetzt implementiert werden, um in Falle einer Infektion mit Ransomware die Kosten für ein System-Reset so gering wie möglich zu halten.

Ausblick: Eine starke Authentifizierung gegen Ransomware

Alles in allem zeigt sich, dass Authentifizierung bei der Risikomitigation von Ransomware eine entscheidende Rolle spielt. Nach wie vor nutzen die Ersteller der Malware Anmeldedaten als zentrale Schwachstelle und auch komplizierte Passwörter sind dank Brute-Force und Credential Stuffing kein Hindernis mehr. Die grundsätzliche Abschaffung von Passwörtern zugunsten von autorisierten Geräten oder biometrischen Merkmalen würde damit eine Angriffslinie der Malware ausschließen. Schon heute ist eine passwortlose MFA der beste Weg, um die Schlüssel zum System nicht nur unter der Fußmatte zu verstecken.

Über den Autor: Al Lakhani ist Gründer und Geschäftsführer der Münchner IDEE GmbH und verfolgt mit seinem Unternehmen die Vision einer Welt, in der alle digitalen Interaktionen der Menschen vertrauenswürdig und privat sind. Sein Unternehmen, IDEE, bietet dafür preisgekrönte Authentifizierungs-, Autorisierungs- und Verifizierungslösungen an. Mit fast 20 Jahren Erfahrung im Bereich Cyber-Forensik ist Al ausgewiesener Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld.

(ID:47420114)