Ransomware - Angriffe "auf Geheimdienst-Niveau"

Ransomware_stock_560x315

“Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann.” - Arno Schönbohm, Präsident des BSI

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) melden vermehrt gezielte Angriffe auf Unternehmen. Diese Netzwerkkompromittierungen bei Unternehmen enden mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware). Hierdurch entstehen massive Störungen in den Betriebsabläufen der Betroffenen und hohe Schadenssummen.

 

 Schutz vor Ransomware

 

Vorgehen der Angreifer

Durch breit ausgespielte Spam-Kampagnen wie Emotet verschaffen sich die Angreifer Zugang zu einzelnen Unternehmensnetzwerken und analysieren dann manuell das Netzwerk und die Systeme der Angegriffenen. Nach der Manipulation oder dem Löschen von Backups rollen die Angreifer dann zielgerichtet bei vielversprechenden Betroffenen die Ransomware aus. Dieser Aufwand scheint sich zu lohnen: die Cyber-Kriminellen fordern deutlich höhere Summen von den Unternehmen als bei es bei vorherigen Angriffswellen zu beobachten war.

 

Bedrohungslage

Wie das BSI berichtet, kann das beschriebene Vorgehen derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer Infektion wurde teilweise weitere Malware (z.B. "Trickbot") nachgeladen, um das Netzwerk zu infiltrieren, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Nach einer Ransomware-Infektion wurden teilweise sehr hohe Bitcoin-Forderungen gestellt. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrab beobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht.

 

Bewertung durch das BSI:

Das BSI schreibt auf der Website: “Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Hierbei sind insbesondere die folgenden drei Aspekte zu berücksichtigen.

  1. Jede einfache Infektion kann zu einem gezielten Angriff führen
    Da die Angreifer sich zunächst über groß-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede Primär-Infektion (z.B. mit "Emotet") später weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern.
  2. Es droht ein kompletter Datenverlust
    Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuten diese manuell ausgeführten Angriffe einen deutlich höheren Arbeitsaufwand für die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese nicht mehr zur Wiederherstellung der Systeme zur Verfügung stehen, können die Angreifer wesentlich höhere Lösegeldbeträge fordern. Unternehmen, die über keine Offline-Backups verfügen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere Fälle bekannt, bei denen die Verschlüsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben.
  3. Gefahr für deutsche Unternehmen steigt
    Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet.”


Aufgrund der aktuellen Zunahme solcher Vorfälle weist das BSI auf die bestehende besondere Bedrohung hin.

 

Maßnahmen


1. Schutz vor Primär-Infektionen

  • Regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
  • Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
  • Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
  • Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
  • Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
  • Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen,Anwendungsbereichen und/oderRegionen.
  • Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.



2. Überprüfung von Verbindungen von Dienstleistern zu Kunden


Unternehmen, die eine Malware-Infektion erlitten haben, sollten Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mailmit gefälschten Absenderadressen Ihrer Organisation hinweisen.
Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst z.B. über existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.

 

3. Schutz vor Ransomware

Grundsätzlich gilt: Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen.

Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese mit einem ganzheitlichen Konzept geschützt sein.

Weiterhin gilt:  die heutigen, komplexen Infrastrukturen der Netzwerke bieten viel Angriffsfläche. Daher empfehlen wir dringend für sensitive Themen wie Backup einen Dienstleister mit dem entsprechenden KnowHow zu kontaktieren. Elanity ist der führende Spezialist für alle Backup-Themen in Norddeutschland. Wenn Sie sich nicht zu 100% sicher sind, dass Ihr Backup wirklich sicher ist, rufen Sie uns noch heute für eine unverbindliche Beratung an. Denn wenn die Hacker erstmal zugeschlagen haben, ist es zu spät.

Schutz vor Ransomware

Alexander Falkenberg, 14.5.2018