Es gibt viele verschiedene Varianten von Ransomware. Wenn Sie sich jedoch die spezifischen IoCs ansehen, die auf verdächtigen Domain-Namen, IP-Adressen und Datei-Hashes basieren und mit bekannten schädlichen Aktivitäten in Verbindung stehen, können Sie mehr über den Ursprung des Angriffs erfahren und erkennen, wie Sie darauf reagieren können.
Über Ransomware
Ransomware ist eine Art von Malware, mit der Angreifer wertvolle Daten eines Unternehmens wie Dateien, Dokumente und Bilder verschlüsseln, und dann für die Freigabe der Daten von Unternehmen ein Lösegeld verlangen. Um erfolgreich zu sein, muss sich die Ransomware-Malware Zugang zu einem Zielsystem verschaffen, die dortigen Dateien verschlüsseln und von dem Unternehmen ein Lösegeld erpressen. In der Regel muss dann der Geschädigte ein Lösegeld in Bitcoin oder einer anderen Kryptowährung für die Freigabe der verschlüsselten Dateien bezahlen.
Ransomware war anfangs nichts weiter als lästige Malware, die von Cyberkriminellen verwendet wurde, um den Zugriff auf Dateien und Daten durch Verschlüsselung zu beschränken. Doch inzwischen hat sie sich zu einer Angriffsmethode mit gewaltigen Dimensionen entwickelt. Auch wenn ein dauerhafter Datenverlust bereits eine schreckliche Bedrohung darstellt, sind die Methoden von Cyberkriminellen und Hackern, mitunter mit staatlicher Rückendeckung, inzwischen so ausgeklügelt, dass sie Ransomware einsetzen, um große Unternehmen, Bundesregierungen, globale Infrastrukturen und Organisationen im Gesundheitswesen zu durchdringen und lahmzulegen.
Welche Auswirkungen hat Ransomware?
2020 brachte der Snake-Ransomware-Angriff die globalen Betriebsabläufe von Honda zum Erliegen. In derselben Woche legte Snake, eine Dateiverschlüsselungs-Malware, auch das südamerikanische Energieverteilungsunternehmen Enel Argentina lahm. 2019 verschlüsselten Cyberkriminelle Dateien, die die Computernetzwerke von Pemex, dem staatlichen mexikanischen Gas- und Ölkonzern, zum Erliegen brachten, und verlangten 5 Millionen US-Dollar für die Wiederherstellung. Und im Jahr 2017 infizierte der Kryptowurm WannaCry unter Ausnutzung einer Schwachstelle in Microsoft Windows weltweit 230.000 Computer.
Aufgrund einer Mischung aus veralteter Technologie, „ausreichenden“ Verteidigungsstrategien, die sich ausschließlich auf Netzwerkgrenzen und Endpunkte konzentrieren, mangelnder Schulung (und schlechten Sicherheitsregeln) und dem Fehlen einer allgemeingültigen Lösung sind inzwischen Unternehmen jeder Größe gefährdet. Dies gilt umso mehr, weil das Geschäftsmodell von Cyberkriminellen darin besteht, so viele Computersysteme wie möglich in einem Unternehmensnetzwerk zu verschlüsseln, um dann ein Lösegeld von Tausenden bis Millionen von Dollar zu erpressen. Schätzungen für das Jahr 2021 sagten alle elf Sekunden einen Ransomware‑Angriff voraus, bei globalen Kosten von 20 Milliarden US-Dollar.
Wie verbreitet sich Ransomware?
Eine beliebte Methode zur Verbreitung von Ransomware in einer neuen Umgebung ist die Verwendung von Phishing oder Phishing-E-Mails. Eine schädliche E-Mail oder ein E-Mail-Anhang kann einen Link zu einer Website enthalten, auf der ein Malware-Download oder ein Anhang mit einem integrierten Downloader gehostet wird. Wenn der E-Mail-Empfänger die Phishing-E-Mail öffnet, wird die Ransomware sofort heruntergeladen und auf dem Computer ausgeführt.
Sobald ein Endpunkt oder der Computer eines Opfers infiziert ist, versucht der Cyberangriff, sich auf so viele Rechner wie möglich im gesamten Netzwerk auszubreiten, indem er unautorisierte laterale Netzwerkbewegungen ausführt, um den „Explosionsradius“ zu maximieren (so viele Festplatten wie möglich zu verschlüsseln).
Ein weiterer beliebter Ransomware-Infektionsvektor nutzt das Remote Desktop Protocol (RDP) . Mit RDP kann ein Hacker, der Zugriff auf Anmeldedaten erhalten hat, diese zur Authentifizierung und für den Remotezugriff auf Endpunkte innerhalb eines Unternehmensnetzwerks verwenden. Mit diesem Zugriff können bösartige Akteure die Malware direkt herunterladen, auf Geräten ausführen, die unter ihrer Kontrolle stehen, und versuchen, sich lateral durch die Umgebung zu bewegen, indem sie Daten auf zusätzlichen Ressourcen erfassen und verschlüsseln.
Das Besondere an einem Ransomware-Angriff ist die Verschlüsselung der Dateien eines Nutzers. Durch die Verschlüsselung sehr wertvoller Daten können die Cyberkriminellen oder Ransomware-Angreifer ein Lösegeld im Austausch für das Entschlüsselungsprogramm oder die Entschlüsselungsschlüssel verlangen, um die Dateien wieder für das Unternehmen freizugeben. Allerdings geben Ransomware-Hacker die verschlüsselten Dateien nicht immer frei, auch wenn das Lösegeld bezahlt wird.
Weitere Informationen finden Sie in unserem Blogbeitrag „Wie verbreitet sich Ransomware?“
Warum versagen herkömmliche Firewalls beim Schutz vor Ransomware?
Herkömmliche Firewalls kontrollieren die Kommunikation zwischen VLANs und Zonen. Herkömmliche Firewalls erlauben es jedoch nicht, den Datenverkehr innerhalb des VLANs zu blockieren, sodass dieser Ansatz unwirksam ist, wenn Sie die Ausbreitung innerhalb eines Segments verhindern möchten. Dies ist auf die unterschiedlichen Beschränkungen der Netzarchitektur im Zusammenhang mit dem bestehenden Firewall-Modell zurückzuführen. Sobald ein Angreifer einen Rechner in einem einzelnen VLAN kompromittiert hat, wird er schließlich einen anderen Rechner im selben VLAN schädigen und diesen nutzen, um auf andere Ressourcen im Rechenzentrum, einschließlich Backup-Server, überzuspringen.
Erkennung und Abwehr von Ransomware-Bedrohungen
Als Verteidigungsmaßnahme sollten Sie den Zugang zwischen den Rechnern so weit wie möglich einschränken, um laterale Netzwerkbewegungen zu verhindern. Dies betrifft insbesondere die Protokolle und Dienste, die Ransomware-Kampagnen häufig ausnutzen. Es gibt keinen Grund dafür, dass die Laptops der Mitarbeiter miteinander kommunizieren, und es gibt auch keinen Grund dafür, dass Domänenmitglieder über SMB eine Verbindung herstellen.
Unsere Mikrosegmentierungslösungen ermöglichen es dem Verteidiger, den Traffic zwischen zwei beliebigen Maschinen zu begrenzen. Da die Plattform einen softwarebasierten Segmentierungsansatz verwendet, können Sie Richtlinien erstellen, die die Kommunikation zwischen Laptops blockieren oder den SMB-Datenverkehr zwischen Domain-Mitgliedern einschränken und ihnen nur den Zugriff auf bestimmte Server wie den Domain Controller erlauben.
Darüber hinaus bietet Akamai Einblick in die Kommunikation und die Abhängigkeiten zwischen Ihren Assets bis hin zur Prozessebene. Auf diese Weise können Sie Risiken frühzeitig einschätzen und proaktive Strategien zum Schutz kritischer Ressourcen und risikoreicher Komponenten wie Backups entwickeln.
Die Plattform verfügt außerdem über robuste Funktionen zur Erkennung von Bedrohungen, sodass Sie nach Kommunikation mit bekannten schädlichen Domains oder nach bekannten schädlichen Prozessen in Ihrer Umgebung suchen können, die auf einen Malware-Angriff hinweisen können.
Weitere Informationen finden Sie in unserem Blogbeitrag „Vier Techniken zur Früherkennung von Ransomware“
Wie sollte ich bei einem Ransomware-Angriff reagieren?
Da Ransomware für einen erfolgreichen Angriff auf laterale Netzwerkbewegungen angewiesen ist, sollten sich Unternehmen darauf konzentrieren. Wenn Sie feststellen, dass ein aktiver Ransomware-Angriff im Gange ist, verwenden Sie Tools, die Transparenz bieten, um den Umfang des Angriffs zu erkennen. Auf der Grundlage der gewonnenen Erkenntnisse können Sie dann die betroffenen Teile des Netzwerks vom Rest des Unternehmens isolieren und weitere Sicherheitsebenen für kritische Anwendungen und Backups hinzufügen. Erst wenn Sie Maßnahmen zur Risikominderung ergriffen und Services wiederhergestellt haben, sollten Sie die Kommunikationsabläufe schrittweise wieder aktivieren.
Sobald Sie eine Liste aller infizierten Geräte und IoCs (Indicators of Compromise) vorliegen haben, können Sie mit der Desinfektion beginnen. Teilen Sie Ihre Computer in drei eindeutige Gruppen auf: Isoliert, Überwacht und Unbedenklich.
Weitere Informationen finden Sie in unserem Blogbeitrag „Ransomware und laterale Netzwerkbewegungen mit Segmentierung aufhalten“
Wie funktioniert Crypto-Ransomware?
Ein Ransomware-Angriff beginnt mit einem anfänglichen Angriff, der häufig durch Social Engineering, Phishing-E-Mails, schädliche E-Mail-Anhänge oder Schwachstellen im Netzwerkperimeter ermöglicht wird. Die Malware bewegt sich durch Ihr Netzwerk und versucht, den Schaden von ihrem Ausgangspunkt aus zu maximieren. In der Regel versuchen böswillige Akteure, die Kontrolle über einen Domain Controller zu erlangen, Anmeldedaten zu manipulieren und alle Daten-Backups zu lokalisieren und verschlüsseln, um zu verhindern, dass Betreiber infizierte und eingefrorene Dienste wiederherstellen können.
Wie finden Sie heraus, welche Ransomware in Ihr System gelangt ist?
Was sind die häufigsten Formen von Ransomware?
Bei einigen Kampagnen handelt es sich um hochgradig gezielte APTs (Advanced Persistent Threats), die von einem bösartigen Akteur ausgeführt werden, während andere opportunistisch sind und in der Regel durch Skripte ausgeführt werden. Es gibt jedoch zwei Hauptkategorien. Angriffe, die Dateien verschlüsseln und Lösegeld verlangen, werden als Crypto-Ransomware bezeichnet, während Ransomware, die den Zugriff auf ein Gerät verhindert, als Locker-Ransomware bezeichnet wird.
Neue Arten von Ransomware, bösartigem Code, bösartiger Software, bösartigen Anhängen, Scareware und andere neue Ransomware-Varianten tauchen häufig im Internet auf. Es gibt sogar dokumentierte Fälle von bezahlter Ransomware-as-a-Service (RaaS), z. B. REvil (Ransomware Evil; auch bekannt als Sodinokibi), ein aus Russland stammender oder russischsprachiger privater RaaS-Anbieter.
Wie kam es zu Ransomware?
Wenn wir uns nur ein paar Jahre zurückerinnern, nutzten die meisten Ransomware-Angriffe Malvertising als anfänglichen Penetrationsvektor und zielten auf so ziemlich jeden ab, der auf diese bösartigen Anzeigen klickte, sei es „Bob aus der Buchhaltung“ in einem großen Unternehmen oder jemandes Großmutter, die versucht, ihre E-Mails zu lesen. Ransomware unterschied nicht wirklich zwischen den Angriffszielen – sie zielte auf alle ab. Wenn diese Opfer zahlten, war es toll, und wenn nicht, war es auch in Ordnung, denn es gab noch viele andere Fische im Meer.
Dies änderte sich jedoch 2012 mit Shamoon, einem gezielten iranischen Cyberangriff auf den saudi-arabischen Konzern Aramco. Shamoon erlaubte den Angreifern, große Mengen von Informationen aus Aramco zu exfiltrieren. Nachdem die Exfiltrierung abgeschlossen war, verwendeten die Angreifer Shamoon, um den MBR (Master Boot Record) in den angegriffenen Maschinen zu überschreiben, was sie bis zur Neuformatierung nutzlos machte. Dieser Funktionsverlust führte zu erheblichen Ausfallzeiten für das Unternehmen.
Locky war eine 2016 veröffentlichte Ransomware-Malware. Sie wird per E-Mail (als vorgebliche Rechnung, die bezahlt werden muss) mit einem angehängten Microsoft Word-Dokument zugestellt, das schädliche Makros enthält. Wenn der Nutzer das Dokument öffnet, scheint es voller Kauderwelsch zu sein, enthält aber die Anweisung "Enable macro if data encoding is incorrect" (Makro im Falle falscher Datenkodierung aktivieren), eine Social-Engineering-Methode.
Petya ist eine Familie von Verschlüsselungs-Malware, die erstmals 2016 entdeckt wurde. Die Malware zielt auf Microsoft Windows-Systeme ab. Sie infiziert den Master Boot Record und führt eine Payload aus, das die Dateisystemtabelle einer Festplatte verschlüsselt und so verhindert, dass Windows startet. Sie fordert den Nutzer anschließend auf, eine Zahlung in Bitcoin zu tätigen, um wieder Zugriff auf das System zu erhalten.
Wie hat sich Ransomware weiterentwickelt?
Springen wir vorwärts ins Jahr 2017. WannaCry und NotPetya, zwei verheerende Ransomware-Angriffe, richteten bei großen Unternehmen und Regierungsbehörden enorme Schäden an. Das Einzigartige an diesen Angriffen war nicht nur, dass sie zeigten, wie anfällig das Internet ist, sondern auch, dass diese Angriffe Zero-Day-Schwachstellen nutzten, um sich auf virulente Weise lateral zwischen den Computern im Netzwerk zu bewegen und jeden Rechner, auf den sie trafen, zu infizieren und völlig nutzlos zu machen. Über NotPetya und WannaCry wurde viel geschrieben, aber wir wissen heute, dass die Motive hinter diesen Angriffen mit Cyberangriffen zusammenhängen, die von einem nationalstaatlichen Gegner initiiert wurden.
Diese Ransomware-Angriffe wurden dann von Crimeware-Gruppen genutzt, die sich bis zu diesem Zeitpunkt vor allem darauf konzentrierten, sich mit Malware wie Zeus (und all ihren Varianten) Zugang zu Bankkonten zu verschaffen, um Geld abzuschöpfen. Dies war oft eine lange, komplizierte und riskante Operation – vor allem, wenn es darum ging, das Geld tatsächlich zu erhalten. Bislang herrschte lediglich die Meinung vor, dass es einfacher sein könnte, nur große Unternehmen anzugreifen und sie zu erpressen, damit sie große Geldbeträge in Bitcoin überweisen, was Ransomware eher zu einer Unternehmensbedrohung machte, die CISOs beunruhigen muss, aber nicht unbedingt ahnungslose Privatpersonen.
Ryuk ist der Name einer Ransomware-Familie, die erstmals im August 2018 im Netz auftauchte. Die nach einer fiktiven Figur in einer beliebten japanischen Comic- und Zeichentrickserie benannte Ransomware gilt heute als eine der schlimmsten Ransomware-Familien, die jemals Systeme weltweit schädigte.
Springen wir jetzt weiter ins Jahr 2020. Während die COVID-19-Pandemie auf der ganzen Welt wütet und die meisten Menschen gezwungen sind, von zu Hause aus zu arbeiten, wodurch sich Bedrohungsmodelle, Risikofaktoren und Netzwerkarchitekturen in kürzester Zeit komplett ändern, haben die Betreiber von Ransomware-Angriffen ihren Modus Operandi geändert. Sie zielen nun auf große Unternehmen ab, indem sie eine doppelte Erpressung durchführen. Dabei dringen die Angreifer nicht nur in das Unternehmen ein, verschlüsseln die Dateien und nehmen sie als Geiseln – sie beginnen auch damit, die wertvollen und äußerst wertvollen Daten zu exfiltrieren und drohen damit, diese Daten öffentlich zugänglich zu machen, wenn das Lösegeld nicht bezahlt wird.
Verfügung fördert Segmentierung zur Verlangsamung der Ausbreitung von Ransomware
Im Jahr 2021 hat ein Memo des Weißen Hauses bei der Diskussion über das Wachstum von Ransomware‑Angriffen das Thema der oft übersehenen Bedeutung der Netzwerksegmentierung hervorgehoben, neben den traditionelleren Vorsichtsmaßnahmen und Empfehlungen wie Patching, 2FA und aktualisierten Sicherheitsprodukten.
Netzwerksegmentierung trägt nicht nur dazu bei, das Risiko in einigen Fällen zu mindern, sondern auch das Risiko eines doppelten Erpressungsangriffs erheblich zu senken, wenn sie richtig umgesetzt wird, indem der „Explosionsradius“ eines Ransomware-Angriffs eingedämmt und minimiert wird. Selbst wenn Antiviren-Software und EDRs (Link) die Ausführung der Ransomware nicht verhindern konnten, hält eine ordnungsgemäße Segmentierung den Schaden in Grenzen und verhindert, dass sich die Angreifer lateral durch das Netzwerk bewegen können, um weitere sensible Daten zu stehlen und weitere Rechner zu verschlüsseln.
Die Granularität der Segmentierung eines Netzwerks mit dem einzigartigen Software-Ansatz von Akamai ermöglicht es Ihnen, „Netzwerksilos“ zwischen Servern, Anwendungen, verschiedenen Betriebssystemen, Cloud-Instanzen usw. zu erstellen. Der Grund für die starke Wirksamkeit der Verringerung des Ransomware-Risikos mithilfe einer angemessenen Segmentierungsrichtlinie ist ihre Einfachheit: Ein Bit kann entweder über die Leitung (oder einen Vswitch) zu einem anderen Rechner (oder einer VM/einem Container) gelangen oder es kann blockiert werden, wodurch der Versuch der Angreifer, weitere Ressourcen im Netzwerk zu erreichen, nutzlos wird.
Die Netzwerksegmentierung ist keine Alternative zu einer Antivirus-, Anti-Malware- oder EDR-Plattform, sondern ein ergänzender Ansatz, der nachweislich das Risiko von großflächigen, lateralen, bewegungsbasierten Angriffen zwischen Unternehmen deutlich reduziert, wenn nicht sogar vollständig beseitigt.
Weitere Informationen finden Sie in unserem Blogbeitrag EDR vs. Segmentierung: die Unterschiede
Wie bekämpfen Sie die Bedrohung durch Ransomware?
Das neue Zeitalter der Ransomware-Angriffe zeigt ein Problem deutlich auf, dessen Lösung schon lange überfällig ist: laterale Netzwerkbewegung.
Damit die Angreifer all diese Daten exfiltrieren können, müssen sie wissen, wo sie sich im Netzwerk befinden – und um das zu wissen, müssen sie das Netzwerk abbilden und es genauso gut (wenn nicht sogar besser) kennen als die Personen, die es ursprünglich eingerichtet hatten. Dazu müssen sich die Angreifer „seitwärts“ von einem Rechner/Server zum anderen bewegen, wobei sie oft verschiedene Anmeldedaten von verschiedenen Rechnern im Netzwerk stehlen und nutzen.
Viele Sicherheitsanbieter haben versucht, dieses Problem zu lösen, und einige hatten dabei mehr Erfolg als andere. Auf dem Sicherheitsmarkt sind im Laufe der Jahre neue Produkttypen aufgetaucht, die genau dieses Problem verhindern sollen – von DLP-Lösungen bis hin zu EDRs und EPPs – sie alle haben versucht, das Problem der lateralen Bewegung zu lösen, waren aber nur teilweise erfolgreich.
Die Lösung des Problems lateraler Netzwerkbewegungen ist schwierig – Angreifer nutzen die Eigenschaften eines Netzwerks gegen das Netzwerk selbst.
Sie verwenden Administratoranmeldedaten und verschiedene legitime Verwaltungstools (z. B. das Microsoft-eigene Psexec, Remote Desktop oder sogar WMI), bewegen sich von Rechner zu Rechner und führen schädliche Befehle und Programme aus, um Daten zu stehlen und später das Netzwerk zu verschlüsseln und den Erpressungsvorgang zu starten. Viele Unternehmen investieren einiges in den Versuch, dieses Problem zu beheben, indem sie verschiedene Ressourcen mit EDR/EPP-Produkten verstärkt überwachen, die eigentlich nicht für diesen Zweck gedacht sind, und so das Risiko eines Ransomware-Angriffs nur teilweise eindämmen oder sogar verringern.
Stoppen der lateralen Netzwerkbewegung mit Segmentierung
Es gibt jedoch eine Lösung, die viel einfacher zu implementieren ist, als Sie vielleicht denken: Netzwerksegmentierung. Segmentierung wird oft vergessen oder sogar ganz ignoriert, da sie als schwierig zu implementieren gilt und eine sorgfältige Netzwerktechnik und gutes Asset-Management erfordert. Aus diesem Grund wird die Netzwerksegmentierung oft vernachlässigt, was dazu führt, dass Netzwerke „flach“ sind, d. h. jeder Endpunkt oder Server kann ohne Einschränkung mit jedem anderen kommunizieren.
Bis vor Kurzem bedeutete die Segmentierung eines Netzwerks, dass verschiedene Ressourcen in verschiedenen Subnetzen mit einer Firewall dazwischen installiert wurden. Dies ließ keine Granularität zu, erschwerte die Verwaltung des Netzes erheblich und verlangte von den Administratoren die Verwaltung komplexer Firewall-Konfigurationen zusammen mit der Verwaltung von IP-Adressenzuweisungen in verschiedenen Subnetzen. Dadurch wurde die Gestaltung und Skalierung des Netzes für die IT-Mitarbeiter erheblich erschwert, während falsche Konfigurationen entweder zu einem Sicherheitsrisiko oder zu einem Netzwerkausfall (und in einigen Fällen sogar zu beidem!) führen konnten. Dies wiederum führte dazu, dass die IT-Mitarbeiter der Segmentierung keine große Bedeutung beimaßen und sich mehr auf Produkte zur Ausführungsverhinderung verließen, während das Netzwerk völlig flach und unsegmentiert blieb.
Warum entscheiden sich Kunden für Akamai?
Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten umfassende Abwehrmaßnahmen, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.