Beginnen wir mit der guten Nachricht.
Strafverfolgungsbehörden auf der ganzen Welt haben ihre Bemühungen verstärkt, Ransomware-Betreiber ausfindig zu machen, zu stoppen und zu verhaften sowie Darknet-Marktplätze, Kryptowährungs-Mixer und Tumbler lahmzulegen, die Bedrohungsakteuren bei der Geldwäsche helfen. Außerdem haben Regierungen und Organisationen eine neue Widerstandsfähigkeit gegen die Zahlung von Lösegeldern gezeigt. So kündigte das Weiße Haus vor Kurzem eine Allianz von 40 Ländern an, die sich dazu verpflichten, niemals Lösegeld zu zahlen. Jüngste Berichte der Blockchain-Analysefirma Chainalysis zeigen, dass der Prozentsatz der von den Opferorganisationen gezahlten Lösegelder tatsächlich zurückgeht. All dies macht Ransomware zu einem gefährlicheren und weniger lukrativen Unterfangen für Cyberkriminelle, was bedeutet, dass die Häufigkeit von Ransomware eigentlich rückläufig sein sollte.
Dies ist die schlechte Nachricht.
Nach Angaben von IBM handelt es sich bei fast einem Viertel aller Cyberangriffe inzwischen um Ransomware-Angriffe. Die durchschnittliche Lösegeldforderung im Zusammenhang mit Vorfällen, die von Arctic Wolf® Incident Response 2023 untersucht wurden, stieg auf 600.000 USD – ein Anstieg von 20 % gegenüber dem Vorjahreswert von 500.000 USD.
Noch schlimmer ist, dass die oben genannten Bemühungen die Bedrohungsakteure nicht abschrecken, sondern sie eher zu Innovationen anregen. Modelle doppelter und dreifacher Erpressung sind eher die Regel als die Ausnahme. Nach Angaben des FBI haben einige Gruppen, die früher nicht bereit waren, wertvolle Ziele wie Krankenhäuser oder Kernkraftwerke anzugreifen, nun öffentlich verkündet, dass diese nun legitime Ziele seien.
Laut Arctic Wolf Labs in ihrem 2024 Threats Report: “Wie das Sprichwort sagt, ist kein Tier gefährlicher, als wenn es in die Enge getrieben wird, und im Moment fühlen sich die Ransomware-Gruppen in die Enge getrieben. Für das Jahr 2024 erwarten wir noch höhere Lösegeldforderungen, härtere Verhandlungen, aggressivere Rufmordversuche und ein weiteres Experimentieren mit neuen Taktiken.“
Angesichts der exponentiellen Zunahme von Ransomware-Angriffen und neuer Innovationen, die die Cyber-Bedrohungslandschaft gefährlicher denn je machen, stellt sich die Frage, wie Unternehmen sicher bleiben können. Die Antwort liegt in besseren Funktionen zur Erkennung von und Reaktion auf Bedrohungen, mit denen Sie einen Ransomware-Angriff richtig erkennen und stoppen können.
Wie Ransomware-Angriffe beginnen
In der Vergangenheit hat man sich zu sehr darauf verlassen, dass Firewalls, Intrusion Detection-Systeme und andere Perimeter-Schutzmaßnahmen Ransomware stoppen können. Die Vorstellung, die Bösewichte an den Toren zu halten, ist verlockend, aber in der modernen Cybersicherheitswelt von Cloud-Umgebungen, identitätsbasierten Anwendungen und hybriden Netzwerken ist dies auch ein Wunschtraum. Unternehmen müssen nach einem neuen Weg suchen, denn der Versuch, Ransomware und andere Malware an den Netzwerkgrenzen zu stoppen, wird niemals ausreichen.
Wenn ein Unternehmen wirklich auf den Kampf gegen die Geißel Ransomware vorbereitet sein will, muss es verstehen, wie diese Angriffe beginnen und wie Bedrohungsakteure den ersten Zugang zu seiner Umgebung erhalten. In den letzten Jahren hat die überwältigende Mehrheit der Ransomware-Angriffe auf eine von zwei Arten begonnen:
Offenlegung von Schwachstellen
Von Arctic Wolf Labs analysierten Daten zufolge verschafften sich Angreifer in mehr als zwei Dritteln der von uns beobachteten Ransomware-Fälle Erstzugriff auf Umgebungen durch öffentliche Zugänglichkeit, d. h. über ein System, das wissentlich oder versehentlich mit dem öffentlichen Internet verbunden ist. Im Jahr 2023 nutzten Bedrohungsakteure in 39 % der Fälle externen Fernzugriff, während andere Formen externer Angriffe, einschließlich bekannter Schwachstellen und Zero-Days, 29 % ausmachten.
Bei externen Fernzugriffen handelt es sich in der Regel um identitätsbasierte Angriffe, die darauf abzielen, das Identitäts- und Zugriffsverwaltungssystem (Identity and Access Management, IAM) eines Unternehmens zu kompromittieren, also die Kontrolle und Überwachung der Benutzeridentitäten und -zugriffe innerhalb eines Systems oder Netzwerks zu erlangen. Externe Fernzugriffsangriffe können verschiedene Formen annehmen, darunter:
- Kompromittierung von Servern mit dem Remote Desktop Protocol (RDP)
- Kompromittierung von Servern mit Microsoft Active Directory
- Verwendung gültiger Zugangsdaten, die von einem Initial Access Broker (IAB) auf einem Dark-Web-Marktplatz erworben wurden
Bei externen Exploits hingegen wird entweder eine bekannte Schwachstelle oder eine Zero-Day-Schwachstelle ausgenutzt, um Zugang zu einer Umgebung zu erhalten. Während Zero-Days in den Schlagzeilen sind, machen sie nur einen kleinen Prozentsatz der Fälle aus – nur 3,4 % der von Arctic Wolf untersuchten Nicht-BEC-Vorfälle. Das wahre Risiko liegt in der bekannten, ungepatchten Schwachstelle.
Laut dem Arctic Wolf Labs Threats Report 2024 wurde bei mehr als einem Viertel der von uns untersuchten Nicht-BEC-Vorfälle (BEC = Business Email Compromise), von denen die überwiegende Mehrheit Ransomware war, eine bekannte (d. h. keine Zero-Day-)Schwachstelle ausgenutzt. Theoretisch hätte ein effektives Patching-Programm den Angriff entschärfen oder zumindest den Angreifer zu einem anderen Vorgehen zwingen können.
Benutzeraktionen
Obwohl der Anteil der Angriffe geringer ist, machen Benutzeraktionen immer noch fast ein Viertel der ursprünglichen Zugangsvektoren aller Ransomware-Angriffe aus. Benutzeraktionen sind genau das, wonach es klingt: wenn einer Ihrer Mitarbeiter einen einzigen Fehler macht, der Ihr Unternehmen gefährdet. Das kann vom Besuch einer bösartigen Website bis hin zum Öffnen einer mit Fallen versehenen Datei in einer Phishing-E-Mail reichen, die es dem Bedrohungsakteur ermöglicht, sich Zugang zu Ihrer Umgebung zu verschaffen. Das Team von Arctic Wolf Labs hat vier Hauptwege identifiziert, auf denen Benutzeraktionen zu einem Ransomware-Angriff führen können:
- Phishing
Ein Benutzer klickt auf einen bösartigen Link und wird dazu verleitet, Anmeldedaten weiterzugeben oder einen bösartigen Anhang in einer E-Mail herunterzuladen und auszuführen. - Zuvor kompromittierte Anmeldeinformationen
Der Angreifer verwendet Anmeldedaten, die bekanntermaßen Teil eines Datenschutzverstoßes oder Credential-Dumping-Angriffs waren, aber vom betroffenen Unternehmen noch nicht deaktiviert wurden (d. h. keine Benutzeraktion). - Herunterladen von bösartiger Software
Ein Benutzer wird Opfer eines Drive-by-Angriffs oder einer heruntergeladenen Software mit versteckten bösartigen Funktionen. - Andere Social-Engineering-Angriffe
Ein Benutzer wird durch einen Betrug des technischen Supports oder einen anderen Social-Engineering-Angriff neben Phishing getäuscht.
Die Absicherung Ihrer Umgebung zum Schutz vor Ransomware vor allen Arten von Cyberangriffen zahlt sich aus, da die gleichen Angriffsvektoren für den Erstzugriff bei vielen anderen Formen von Cyberangriffen verwendet werden, einschließlich BEC und Malware.
Wie sich Ransomware-Angriffe verbreiten
Sobald sich ein Bedrohungsakteur einen ersten Zugang zu Ihrer Umgebung verschafft hat, beginnt er sofort mit der nächsten Phase seines Angriffs: der „seitlichen Bewegung“.
Seitliche Bewegungen sind Taktiken, die Bedrohungsakteure anwenden, um in verschiedene Teile des Systems oder tiefer in das System einzudringen, um Daten zu blockieren und/oder zu exfiltrieren und ihren Ransomware-Angriff durchzuführen.
Die seitliche Bewegung ist eine weitaus fortgeschrittenere Technik, bei der es darauf ankommt, Sicherheitslösungen zu umgehen, indem man schnell umschwenkt und mehrere Wege nutzt, um zum Ziel zu gelangen. Ransomware dringt in der Regel über ein einzelnes kompromittiertes System ein (z. B. einen Benutzerendpunkt wie einen Desktop oder einen ungeschützten Server mit Internetanschluss). Sie sendet dann eine Nachricht an einen Command-and-Control-Server (C2-Server), der sie anweist, bestimmte Dateitypen zu verschlüsseln, die sensible Geschäftsdaten enthalten können. Sobald dieser Prozess in Gang gesetzt ist, ist alles möglich. Im Folgenden finden Sie einige gängige Techniken der seitlichen Bewegung, die von Bedrohungsakteuren bei Ransomware-Angriffen eingesetzt werden, um das C2-Stadium zu erreichen.
Pass-the-Hash
Wenn ein Benutzer in einer Windows-Umgebung ein Passwort erstellt, wird es gehasht und an einem von mehreren Orten gespeichert, z. B. in Active Directory. Bei dieser Technik der seitlichen Bewegung durchsucht der Angreifer den aktiven Speicher, um den Passwort-Hash eines Benutzers zu stehlen und ihn zur Authentifizierung durch das System zu leiten, wodurch im Grunde eine neue Benutzersitzung im selben Netzwerk erstellt wird.
Dateilose Malware
Selbst Unternehmen, die sorgfältig Firewalls der nächsten Generation und Whitelists für Anwendungen einsetzen, entgehen diese „Zero Footprint“-Angriffe, da sie nie auf der Festplatte landen, sondern im Arbeitsspeicher eines Systems abgelegt werden, wodurch sie schwer zu erkennen sind und sich schnell und weit verbreiten können. PowerShell wird häufig verwendet, um Code in eine aktuell ausgeführte Datei einzuschleusen, so dass die Malware innerhalb eines als gut bekannten Prozesses ausgeführt wird. Oder der Code kann direkt in den Speicher geladen und von dort aus ausgeführt werden. Typisch für die Persistenz ist, dass der Persistenzmechanismus in der Registrierung enthalten ist, die dann beim Start über einen Dienst ausgeführt wird, sodass kein Bestandteil der Malware jemals in einer Datei gespeichert wird, um die Erkennung durch Antivirus-Software zu vermeiden.
Kerberoasting
Kerberos ist ein Authentifizierungsdienstprotokoll in Windows-Umgebungen. Es soll Benutzer und Geräte mit geheimen Schlüsseln anstelle von Klartextpasswörtern schützen und nutzt verschlüsselte Tickets, die zur Verifizierung zwischen Benutzer und Authentifizierungsdienst übermittelt werden. Beim Kerberoasting, das auch als Pass-the-Ticket bezeichnet wird, stiehlt der Angreifer eines dieser Tickets und entschlüsselt es mithilfe spezieller Hacking-Tools, um das Passwort des Benutzers offenzulegen und Zugriff auf das Benutzerkonto zu erhalten.
Wie ein Ransomware-Angriff in der realen Welt aussieht
Die Experten unserer Triage Security- und Incident Response-Teams verfügen über umfangreiche Erfahrungen bei der Reaktion auf Ransomware-Angriffe und deren Abwehr. So können sie ein klares Bild davon zeichnen, wie ein typischer Ransomware-Angriff ablaufen kann:
Schritt 1
Der Bedrohungsakteur sendet eine Phishing-E-Mail an einen Benutzer. Der Benutzer öffnet die E-Mail und klickt auf den bösartigen Link, wodurch die an die E-Mail angehängte Malware ausgeführt wird.
Schritt 2
Die Malware nimmt Kontakt mit dem C2-Server des Angreifers auf, kopiert Code in den Arbeitsspeicher und führt ihn aus.
Schritt 3
Die Malware bleibt in der Umgebung über einen legitimen Dienst bestehen, der nun einen in einem Registrierungsschlüssel versteckten Code ausführt (dateilose Malware).
Schritt 4
Der Angreifer entnimmt die Hashes per LSASS-Dump (Zugriff auf Anmeldeinformationen) aus dem Systemspeicher. Mithilfe des Hashs für ein Administratorkonto, das von einem IT-Mitarbeiter verwendet wird, erstellt der Angreifer dann ein gefälschtes Kerberos-Ticket, um den Hash des Unternehmensadministrators zu erhalten.
Schritt 5
Der Angreifer nutzt den Hash des Unternehmensadministratorkontos unter Verwendung von Pass-the-Hash (seitliche Bewegung), um einen DCSync-Angriff durchzuführen (zur Rechteerweiterung). Ein DCSync-Angriff gibt sich als Domänencontroller aus – Server, die in Microsoft-Umgebungen verwendet werden, um Netzwerksicherheitsanforderungen aus dem gesamten Netzwerk zu authentifizieren. In diesem Fall gewährt der DCSync-Angriff dem Bedrohungsakteur Zugriff auf die gehashten Passwörter aller Benutzer in der Domäne. Von diesem Punkt an haben sie vollen Zugriff auf die Umgebung und können ihre Ransomware einsetzen.
Wie man einen Ransomware-Angriff erkennt und stoppt
Wenn die Lösegeldforderung auf den Bildschirmen in Ihrem Unternehmen erscheint, ist es bereits zu spät, den Angriff zu stoppen. Die ordnungsgemäße Erkennung und Eindämmung eines Ransomware-Angriffs muss weiter oben in der Kill Chain beginnen.
Stufe 1: Erster Zugang
Um einen Ransomware-Angriff in diesem Stadium zu verhindern, müssen Sie sich vor allem um Ihr Cybersecurity-Grundgerüst kümmern.
- Benutzerschulung: Ein Schulungsprogramm zur Stärkung des Sicherheitsbewusstseins, das auf häufige Berührungspunkte, aktuelle Themen und schamfreie Phishing-Simulationen eingeht, kann Ihre Mitarbeiter darauf vorbereiten, Social-Engineering-Angriffe wie Phishing zu erkennen und zu neutralisieren, sodass Fehler bei Benutzeraktionen in Ihrem Unternehmen drastisch reduziert werden und Angreifer sich gar nicht erst Zugriff verschaffen können.
- Schwachstellen-Management: Proaktives Risikomanagement durch Patchen und Behebung bekannter Schwachstellen kann Ihre Angriffsfläche verkleinern und es für Bedrohungsakteure schwieriger machen, einen gangbaren Weg in Ihre Umgebung zu finden.
- Ganzheitliche Sichtbarkeit: Ein Mangel an Sichtbarkeit ermöglicht es Ransomware-Angriffen, unbemerkt zu bleiben und Unternehmen erheblichen Schaden zuzufügen. Die Überwachung von Protokollen ist entscheidend, um Angriffe im Frühstadium zu erkennen. Dazu gehören Protokolle von Intrusion-Detection-Systemen (IDS), Network-Detection-and-Response-Systemen (NDR), Endpoint-Detection-and-Response-Lösungen (EDR), Firewalls, Identity-and-Access-Management-Systemen (IAM), E-Mail-Diensten (z. B. zur Überwachung von Zugriffsänderungen und zur Erstellung von Filterregeln) und Cloud-Diensten, die die Umgebung Ihres Unternehmens über Ihre eigene Infrastruktur hinaus erweitern.
- Identitätskontrollen: Der Faktor Identität hat sich zu einem wichtigen Teilbereich der modernen Cybersecurity entwickelt. Aus dem Data Breach Investigations Report 2023 von Verizon geht hervor, dass 74 % aller Datenschutzverstöße auf menschliches Versagen zurückzuführen sind, das heißt, dass Menschen entweder durch Fehler, Missbrauch von Berechtigungen, Social Engineering oder gestohlene Zugangsdaten involviert sind, wobei die letzten drei direkt das Management (und Fehlmanagement) von Benutzeridentitäten beinhalten. Angreifer sind geschickt darin, Anmeldeinformationen aufzuspüren und zu nutzen, mit denen sie sich dann bei Diensten anmelden und unbemerkt in den IT-Umgebungen ihrer Opfer bewegen können. Die Multi-Faktor-Authentifizierung ist ein wirksames Mittel zur Abwehr von Angriffen. So kann eine wirksame MFA beispielsweise dazu beitragen, die Übernahme von Konten zu verhindern, die einigen Ransomware-Angriffen zugrunde liegt.
Sehen Sie einen Erstzugriff in unserer Ransomware-Zeitleiste an.
Stufe 2: Seitliche Bewegung
Wenn Bedrohungsakteure in Ihre Umgebung eindringen und sich einen ersten Zugang verschaffen können, zählt jede Sekunde. In diesem Stadium ist es wichtig, dass Sie ungewöhnliche Aktivitäten schnell erkennen und darauf reagieren können, bevor sie Schaden anrichten können.
Managed Detection and Response
Hier ist eine 24×7-Überwachung, Erkennung und Reaktion durch geschultes Sicherheitspersonal entscheidend. Ohne die Möglichkeit, Ihre gesamte Umgebung – Endgeräte, Netzwerk und Cloud – in Echtzeit zu überwachen, sind Bedrohungsakteure im Vorteil.
Viele Sicherheitsteams greifen auf Tools zurück, die sie bei dieser Überwachung unterstützen. Leider ist die Alarmmüdigkeit ein weit verbreitetes Problem, das auf die vielen Fehlalarme zurückzuführen ist, die von diesen vorhandenen Sicherheitstools ausgelöst werden. Auch wenn künstliche Intelligenz (KI) und maschinelles Lernen (ML) dabei helfen können, das Signal vom Rauschen zu trennen, ist menschliches Fachwissen nach wie vor unerlässlich, um die verwertbaren Alarme aus dem Haufen herauszuheben.
Je mehr Tools ein Unternehmen hinzufügt, desto mehr wird die unkontrollierte Verbreitung von Tools zu einem Problem. Während Malware mit bekannten Signaturen von diesen Perimeter-Schutzmaßnahmen erfasst wird, lösen neue Malware-Stämme oder verdächtiger Dateiverkehr möglicherweise keinen Alarm aus, wenn die Tools nicht aktualisiert wurden. Täglich kann es Milliarden von Netzereignissen und Tausende von potenziell schädlichen Warnmeldungen geben. Unternehmen benötigen eine zentrale Plattform, um diese Warnungen aufzunehmen und mithilfe menschlicher Experten übergreifend zu korrelieren und so entscheiden zu können, welche davon untersucht werden sollten.
Hier kommt die Bedrohungserkennung und -abwehr (Managed Detection and Response) ins Spiel. Die besten Lösungen arbeiten mit Ihrem vorhandenen Technologie-Stack zusammen, um Assets zu erkennen, Profile zu erstellen sowie Daten und Sicherheitsereignisse aus verschiedenen Quellen zu sammeln und so einen umfassenden Einblick, eine Rund-um-die-Uhr-Überwachung und die Erkennung komplexer Bedrohungen zu ermöglichen.
Incident Response
Die Reaktion auf Ransomware-Vorfälle nimmt viele verschiedene Formen an, je nachdem, zu welchem Zeitpunkt das Team eingeschaltet wird. Ein guter IR-Anbieter kann sich um alles kümmern, von der Eindämmung des Angriffs und dem Aussperren des Bedrohungsakteurs bis hin zur Wiederherstellung der Systeme und sogar Verhandlungen mit dem Bedrohungsakteur.
Ein Incident-Response-Plan für Ransomware sollte jedoch mehr als nur die Schritte umfassen, die unmittelbar nach einem Angriff unternommen werden. Er sollte auch die Beseitigung der Ursache der Kompromittierung beinhalten, um künftigen Missbrauch zu verhindern, eine gründliche Analyse der forensischen Ergebnisse gemeinsam mit Ihrem IR-Team, um Ihr Sicherheitsniveau gegen weitere Angriffe zu verbessern, und eine zusätzliche Überwachung gegen erneute Eindringversuche nach der Sicherheitsverletzung.
Incident Response wird von einer Vielzahl von Unternehmen angeboten, die jeweils eine Reihe von Diensten direkt für Unternehmen oder über Cyber-Versicherungsträger anbieten. Achten Sie darauf, dass Sie einen Full-Service-Anbieter auswählen, der über das nötige Fachwissen verfügt, um umfassende digitale Forensik, Datenwiederherstellungsdienste und Erfahrung mit Ransomware anzubieten. Nur Full-Service-Anbieter beseitigen den Zugang des Angreifers zur Umgebung, analysieren die Ursache und das Ausmaß des Angriffs und stellen den normalen Geschäftsbetrieb vor dem Vorfall wieder her.
Erfahren Sie, wie Concierge Security®-Experten im Rahmen des branchenführenden Security Operations Triage-Workflows von Arctic Wolf einen Ransomware-Angriff auf eine lokale Regierungsorganisation untersuchten, eskalierten und behoben.
