Ransomware – wenn Daten entführt werden
Ransomware-Attacken sorgen nicht selten für einen kompletten Ausfall des Betriebs. Das Potenzial solcher Angriffe wird immer noch unterschätzt. Lesen Sie, welche Arten von Ransom-Attacken es gibt, wie der 5-Phasen-Angriff einer Attacke funktioniert und mit welchen Tipps Sie Ihr Unternehmen schützen können.
Wer noch nie von einer Cyberattacke betroffen war, kann sich wahrscheinlich das Ausmaß eines erfolgreichen Ransomware-Angriffs nicht annähernd vorstellen. Wenn plötzlich der Zugriff auf Daten und Systeme eingeschränkt ist oder gegebenenfalls ausnahmslos blockiert wird. Und: eine Nachricht von Erpressern eingeht. Der Tenor: Die Forderung von Lösegeld in Form von Kryptowährung für das Wiederherstellen und „Freilassen“ der Daten.
Zusätzlich Druck üben die Erpresser aus, indem sie mit der Publikation von Firmendaten drohen. Diese öffentlich zur Schau gestellten Daten können mitunter dafür sorgen, dass der Ruf der angegriffenen Firma nachhaltig leidet, Kundenbeziehungen beendet und Geldstrafen wegen DS-GVO-Verstößen fällig werden.
Die unterschiedlichen Arten von Ransomware
Es gibt zwei Arten von Ransomware (ransom: englisch für Lösegeld, ware: Abkürzung Software): Der „Kryptotrojaner“ verschlüsselt Daten auf lokalen Systemen oder gar das komplette Dateisystem. Beispiele: WannaCry, Conti, LockBit.
„Locker“ hingegen blockieren die Nutzung des Systems. Das geschieht beispielsweise durch Verschlüsselung der Boot Sektoren der Datenträger, was dazu führt, dass Systeme nicht mehr hochfahren können. Beispiele: Petya, Cryptowall, GoldenEye.
5-Phasen-Angriff
Phase 1: Zugriff auf das interne Firmennetz
In der ersten Phase müssen die Cyberkriminellen zunächst auf das interne Firmennetz zugreifen können. Dafür gibt es verschiedene Vorgehensweisen. Drive-by Downloads platzieren Schadcodes auf Webseiten, sodass der Browser dazu gezwungen ist, weiteren Schadcode für den Nutzer unbemerkt im Hintergrund herunterzuladen. Allein das Öffnen der Seite kann also dazu führen, Opfer einer Cyberattacke zu werden. Bei den sogenannten Software supply chain attacks wird großflächiger angegriffen. Zum Beispiel, indem Schwachstellen in den Systemen von Lieferanten und Drittanbietern ausgenutzt werden, um mehrere Firmen auf einen Schlag zu kompromittieren. Der Klassiker ist jedoch weiterhin der Phishing-Angriff, bei dem echt aussehende E-Mails Vertrauen erwecken sollen, um den Empfänger dazu zu motivieren, auf einen Link zu klicken oder einen Anhang herunterzuladen.
Das Malvertising geschieht meist auf Webseiten, die schlecht abgesichert sind, aber viele Besucher anlocken, zum Beispiel im erotischen Kontext. Die hier angezeigte Werbung wird mit Schadcode versehen, um die Lücken in den Browsern und/oder dessen Plug-ins auszunutzen. Auch hier wird die Schadsoftware wie beim Drive-by automatisch im Hintergrund heruntergeladen.
Auch VPNs, E-Mail-Server, Webmail oder Virtual Desktop Infrastrukturen (VDI) bieten wegen ausnutzbarer Sicherheitslücken eine gute Angriffsfläche für Hacker. Es vergehen nicht selten nur wenige Stunden nachdem eine Sicherheitslücke bekannt geworden ist, und die Cyberkriminellen suchen bereits das gesamte Internet nach verwundbaren Systemen ab. Bis ein Unternehmen die öffentlich gewordenen Sicherheitslücken behoben hat, vergehen hingegen häufig Tage oder sogar ganze Wochen. Bis dahin sind die Hacker längst im Unternehmensnetz. Ursache dafür können zu lange Change Management Prozesse, mangelnde Inventarisierung oder ein zu langsamer Dienstleister sein.
Phase 2: Installation
Sofort nach dem Download von Schadsoftware, bewusst oder unbewusst, startet der Schadcode seine Ausführung. Er schafft Hintertüren, womit die Hacker immer wieder das Unternehmensnetz infiltrieren können. Die quantitativ und qualitativ zunehmenden Ransomware-Angriffe werden immer gewiefter: Sie breiten sich langfristig in den Systemlandschaften aus, um möglichst großen Schaden zu verursachen, den sie dann gegen Lösegeld wieder zu reparieren versprechen. Windows-Systeme sind aufgrund ihrer häufigen Nutzung weltweit die am häufigsten betroffenen Systeme.
Phase 3: Command-and-Control
Über einen zentralen Kommandoserver (Command-and-Control) folgen nun die weiteren Schritte. Er erlaubt den Cyberkriminellen über den Zugang zum Unternehmensnetz simultan und effizient zu arbeiten. Die Angreifer erforschen das Internet, suchen nach Dateiservern und Datenbanken mit auffallend interessanten Daten und laden diese hoch, häufig unter Nutzung bekannter Plattformen wie Dropbox oder Mega. Außerdem werden die wichtigsten Komponenten im Netzwerk gesucht und übernommen. Kurz vor Start der Ransomware wird über die zentrale Anti-Virus-Konsole das Anti-Virus im gesamten Unternehmensnetz ausgeschaltet. Wenn die Backup-Server erreichbar sind, werden auch die Backups gelöscht. Über Domain Controller oder über eine zentrale Softwareverwaltung konfigurieren die Hacker die Verteilung der Ransomware auf alle Server und Clients im Unternehmensnetz.
Phase 4: Destruction
Jetzt erst werden Daten, Netzwerke und Systeme verschlüsselt oder blockiert. Die Angreifer gehen mittlerweile sehr strategisch vor, zum Beispiel durch das Löschen aller Backups (beispielsweise in Form von Volumenschattenkopien).
Phase 5: Extortion
Nach erfolgreichem Angriff wird das Unternehmen kontaktiert und informiert – meist erfolgt hier sofort die Forderung von Lösegeld innerhalb einer Frist gegen Freigabe und Entschlüsselung. Bei Nichtbezahlung innerhalb der Frist kann sich die geforderte Summe erhöhen. Fünf- oder sechsstellige Beträge sind hier nicht unüblich, je nach Größe des Unternehmens. Die Sicherheit, dass die Hacker wirklich alles auf den Ursprungszustand zurücksetzen, hat das Opfer in der Regel nicht. Brauchen die Angreifer zu einem späteren Zeitpunkt wieder Geld, wissen sie ja noch, wie sie reinkamen. Außerdem kann gegebenenfalls die Zahlung des Lösegeldes als Geldwäsche betrachtet werden und bei Zahlungen an Kriminelle aus Embargoländern ein Verstoß gegen Außenwirtschaftsvorschriften vorliegen.
Hilfreiche Tipps bei Ransomware-Attacken
Prävention – technischer sowie prozessualer Art – ist immens wichtig. Windows-Domänen sollten gehärtet und die Endpoint-Sicherheit gesteigert werden, vergebene Berechtigungen und Zugriffe überprüft und klar geregelt sein, unnötige Zugriffe überwacht. Vor allem bei höher privilegierten Zugriffen ist das wichtig. Firewall sowie die Robustheit und der Schutz der Clientsysteme verdienen hohe Beachtung. Das Arbeiten im Homeoffice ist nicht durch eine Firmenfirewall abgedeckt, weil die Mitarbeitenden häufig ihre privaten Internetverbindungen nutzen. Es ist kaum zu glauben, aber unsichere und zu kurze Passwörter tauchen in der Praxis immer noch viel zu oft auf. Gutes Patch-Management, Administrationshygiene und Netzwerkseparierung sind außerdem nur einige Maßnahmen, um es den Hackern so schwer wie nur möglich zu machen, in die Netzwerke und Systeme einzudringen.
Sind intern nicht genug Skills und das erforderliche Sicherheitswissen gegeben, muss klar sein, welche Personen im Ernstfall wofür verantwortlich sind und welche Informationen bereitgestellt werden müssen. Zeit ist hier der maßgebende Faktor. Ratsam ist die Investition in eine Incident Response Readiness Strategie. So ist ein Unternehmen für den Ernstfall gewappnet und verliert am Ende weniger Geld.
Bildnachweis: ©istockphoto.com/Ransomware
Kommentare