Dauerprojekt Ransomware-Abwehr : Komplexe erpresserische Attacken erfordern eine mehrstufige IT-Sicherheit

Spray-and-Pray oder Spear-Phishing zum Start

Auch bei größeren Unternehmen setzen Hacker vor allem auf automatisierte und skalierbare Attacken. Der Beginn ist oft einfach und opportunistisch. Ein Scan-Tool sucht automatisch nach Schwachstellen, eine Phishing-Mail mit infiziertem Anhang ist in wenigen Sekunden an beliebig viele Adressaten verschickt. Häufig ist der Remote-Zugang von Mitarbeitern der Schwachpunkt in den Unternehmensnetzen. Ebenso haben die Angreifer die IT-Lieferkette im Visier. Dem Spear-Phishing oder anderem Social-Engineering gehen dagegen mitunter eine lange Recherche der geeigneten Adressaten voraus. Anschließend nehmen sich die Angreifer dann Zeit, um mit erbeuteten Daten, Identitäten oder gesichteten Schwachstellen höchstmögliche Drohkulissen aufzubauen. Nach Einholen der Ernte entscheiden sie sich dann für die vielversprechendsten Opfer. Ransomware ist dabei nur eines der möglichen Ausgänge einer solchen Attacke.

Das Staging ebnet die Bahn für das weitere Vorgehen

Sind Angreifer ins System eingedrungen, bereiten sie die vorhandene IT für ihre Zwecke vor. Sie richten beispielsweise die Kommunikationswege zwischen angegriffenem System und Command-and-Control-Server mit einem Reverse Shell ein. Zum einen wollen sie Nutzerkonten kapern und deren Privilegien eskalieren, zum anderen versuchen sie, möglichst unerkannt bleiben. Abgesehen haben sie es dabei auf den persistenten Zugang zu Netz und Daten. Die Access Broker verkaufen dann diese einmal erlangten Zugangsmöglichkeiten im Darknet.

In der Expansion entscheiden sich Angreifer für konkrete Ziele

In der Expansionsphase untersuchen die Angreifer die infizierte IT mit der Living-off-the-Land-Malware und identifizieren weitere Systeme, die sie kompromittieren wollen. Dabei kommt es zu zahlreichen lateralen Bewegungen im Netz. Das dadurch steigende Risiko, erkannt zu werden, minimieren sie, indem sie für die Opfer-IT native, legitime und damit unauffällige Tools wie PowerShell oder für den Remote-Zugriff TeamViewer und AnyDesk einsetzen.  Auch zum Ausspielen des Ransomware-Payloads verwenden die Hacker unauffällige Tools wie PsExec/WMIC, Group Policy oder Software-Management-Tools wie den Microsoft System Center Configuration Manager. Wer den Hacker entdecken will, muss daher nach auffälligem Verhalten legitimer Tools Ausschau halten.

Mit der Erpressung üben Hacker gezielt größtmöglichen Druck aus

Vor wenigen Jahren blieb es noch bei einem einmaligen Lösegeldaufruf. Inzwischen wenden sich die Operatoren häufig zwei- oder dreimal an die Betroffenen. Sie drohen nicht nur mit dem Verschlüsseln, sondern auch mit Datenexfiltration, Denial-of-Service-Attacken oder der Blockade von Systemen. Außerdem bedrängen sie auch andere Entscheider, Partner oder sogar Kunden. Nicht nur der physische Druck ist größer geworden. Mittlerweile verstehen Angreifer Geschäftsprozesse und können die Relevanz der Daten leichter einschätzen. Die Cyberkriminellen wissen oft genau, welche Informationen welchen Wert haben. Vorbeugend vernichten Hacker noch vor dem Versenden ihrer Schreiben alle vorhandenen Backups, um den Betroffenen diesen Fluchtweg zu blockieren.

Nicht zu Unrecht vermuten sie bei großen Unternehmen genügend Geld, um Lösegelder zu bezahlen. Sie wissen auch, dass große Unternehmen darauf angewiesen sind, ihre digitalen Geschäftsprozesse schnell wieder aufnehmen zu können.

Abwehr von Ransomware in mehreren Stufen

In jeder Phase der Attacke weichen die Täter also unterschiedlichen Abwehrmechanismen aus und nutzen diverse Tools. Eine vorbeugende sowie im Ernstfall effiziente Defensive muss Aktionen in allen vorher beschriebenen Phasen blockieren. Advanced Persistent Threats (APT) können aber nicht allein durch IT-Sicherheitsmanagement oder durch ein Antivirus-Tool der nächsten Generation abgewehrt werden.

Solche Angriffe benötigen eine tiefgestaffelte Abwehr, die unterschiedliche IT-Sicherheitsmechanismen nutzt. Dadurch können Angriffe in unterschiedlichen Phasen eines Angriffs abgewehrt werden: bei der ersten Infektion, bei der Eskalation von Privilegien oder bei der Seitwärtsbewegung im Netz. Auch große Unternehmen mit einer eigenen IT sind mit ihren Ressourcen hier überfordert:

• Beim Empfang von E-Mails: Ein Malware-Scan mit unterschiedlichen Scan-Engines entdeckt schon eine Vielzahl von Ransomware-Angriffen. Ein wichtiger Baustein für eine effiziente Abwehr sind daher immer noch aktuelle statische Anti-Malware-Scans. Eine auf globaler Telemetrie aufbauende Threat Intelligence unterstützt diese zusätzlich. Künstliche Intelligenz und Machine Learning erspähen neue Vorstöße oder Varianten früherer Attacken, indem sie granular schon die ersten Differenzen von Standardabläufen in der IT erkennen. Machine Learning optimiert das Erkennen verschleierter Skripte und bedenklicher Archiv-Formate beim Download von Mail-Anhängen.
• Wenn ein Dokument geöffnet ist: Im Verdachtsfall detoniert die IT-Abwehr eine Datei in einer isolierten Sandbox und untersucht zum Beispiel, was unbekannte Visual-Basic-for-Applications(VBA)-Codes bewirken.
• Während dem Ausführen eines VBA-Codes im Arbeitsspeicher: Gegen Fileless-Attacken hilft es, die Laufzeitumgebung zu schützen, den Arbeitsspeicher nach dem Entpacken zu scannen und nach auffälligen Code-Aktivitäten zu suchen. Wichtig ist dabei, das Verhalten der Endpunkte in Echtzeit im Blick zu behalten. Ein solches Monitoring zeigt, welche verdächtigen untergeordneten Prozesse möglicherweise ausgelöst werden. So erkennt die Abwehr, wenn eine ausführbare Microsoft-Office-Datei einen Eingabeaufforderungsprozess startet. Dabei spielt aber die Sichtbarkeit aller Endpunkte eine wichtige Rolle.
• Nach der Infiltration des Netzes: Anhand des Datenverkehrs im Netz lassen sich Anomalien feststellen. Sie zeigen, ob ein kompromittierter Endpunkt Kontakt mit dem Command-and-Control-Server aufnimmt. Schon das Signal des Endpunkts, dass er auf Befehle wartet oder dass er Schadcode nachladen will, ist sichtbar. Der Aufbau eines Reverse Shells lässt sich durch Muster im Datenverkehr erkennen. Durch seine IP- und URL-Reputation schützt Threat Intelligence vor verdächtigen Konnektivitäten.

IT-Sicherheitsverantwortliche müssen darauf achten, dass sie eine IT-Defensive aufstellen, die in den verschiedensten Phasen der Angriffe konkrete Abwehrmaßnahmen ergreifen kann. In immer komplexeren Umgebungen großer IT-Unternehmen mit Homeoffice- und Remote-Arbeit, Multi-Cloud und dem Internet der Dinge erfordert allein schon der Schutz der klassischen IT – von IoT und OT einmal abgesehen – eine zentrale Plattform für IT-Sicherheit auf vorhandener Infrastruktur oft unter Einbezug vorhandener Schutzmechanismen.

Die Sichtbarkeit der Prozesse erhöhen

Die beste Verteidigung wehrt eine Attacke schon im Vorfeld ab. Für das Management der IT-Sicherheit gilt es daher, die Angriffsfläche der IT so klein wie möglich zu halten und vor allem so gut wie möglich zu kennen. Das ist bei komplexen Infrastrukturen mit einer großen Anzahl verschiedener Endpunkte schon eine schwere Aufgabe. Ein wirksames Erkennen und die Abwehr von gefährlichem Verhalten am Endpunkt erfordert die Sichtbarkeit unterschiedlicher Endpunkte.  Eine Extended Detection and Response hat nicht nur klassische Endpunkte im Blick, sondern zum Teil auch Abläufe im Internet of Things oder Cloud-Instanzen und virtuelle Maschinen oder bei mobilen Rechnern im Homeoffice oder remote. Ein gründlicher Blick analysiert dabei alle Prozesse, Dateien, Verschlüsselungsschlüssel, aktive Scripts oder ähnliches und korreliert sie über alle Endpunkte hinweg zu einer Aussage über das Risikolevel.  So enttarnen Angreifer durch die Endpunkt-übergreifende Korrelation  sicherheitsrelevante Vorgänge wie etwa ein vermeintlich harmloses PowerShell-Script, wenn es mit einer möglichen Aktion der Cyberkriminellen wie eine Exfiltration von Daten nach einer Seitwärtsbewegung einhergeht.

Fundamente einer Abwehr von komplexen Ransomware-Attacken

Ein Schutz der IT großer Unternehmen vor den komplexen digitalen Erpressungen der Gegenwart basiert dabei auf vier Säulen:

Angriffsflächen analysieren und minimieren

Gerade große Unternehmen haben oft den Überblick über die Assets in ihrer gewachsenen IT verloren, von vergessenen Systemen oder virtuellen Instanzen bis hin zur Schatten-IT. Sämtliche Endpunkte müssen aber kontinuierlich beobachtet und auf ihre Schwachstellen und deren Folgen untersucht werden. Zu einer umfassenden Abwehr gehört auch der Check der Konfiguration und ein automatisiertes Patchmanagement für alle Systeme. Vorbeugend lässt Zero Trust alle Konnektivitätsversuche von außen erst zu, wenn sie verifiziert sind.

Die Aufenthaltszeit der Angreifer senken

Je länger die Angreifer sich im Netzwerk aufhalten, desto mehr Zeit können sie in eine wirksame Drohkulisse investieren. Daher ist es umso wichtiger, schon auf die ersten Anzeichen eines Angriffes zu reagieren. Eine moderne Extended Detection and Response (XDR) beobachtet und meldet das Verhalten aller Endpunkte. Eine endpunktübergreifende Korrelation von Informationen ist ein wesentlicher Punkt, um sicherheitsrelevante Vorfälle zu entdecken.

Nofallbackups sicher verwahren und Wiederherstellung konfigurieren

Werden Notfallbackups verschlüsselt, ist das ein Vorbote für ein bevorstehendes Bekennerschreiben. Automatisierte Tools können am Entropiewert einer Datei feststellen, dass ein solcher Prozess startet. Dann kann bei entsprechender Konfiguration durch den IT-Administrator ein Tool automatisch ein temporäres Backup der unverschlüsselten Datei erstellen und an einem gesicherten Ort wiederherstellen. Für dem mobilen Arbeiten besonders ausgesetzte Dateien lassen sich auch verschärfte Backupzyklen einstellen. Als Zielort der allgemeinen Sicherung eigenen sich aber weder Schattenkopien (Volume Shadow Copies) noch andere statische Backups, denn diese haben Angreifer meistens im Blick und verschlüsseln dort gesicherte Daten gleich mit.

Externe Hilfe einbauen

IT-Administratoren können sich einen Überblick über IT-Prozesse durch Sicherheitsplattformen verschaffen, um schon früh Angriffe zu erkennen. Andererseits müssen sie mit den Informationen der IT-Abwehr arbeiten und die gegebenen Signale umsetzen. Um Alarme hinreichend zu bewerten und auch präventiv für die zukünftige Sicherheit auszunutzen, geraten selbst IT-Sicherheitsteams mit ausreichenden Ressourcen oft an die Grenzen ihrer Möglichkeiten. Verschlossen bleibt ihnen zudem der externe Überblick über die Cyberlage in der Region oder in einer Branche – sei es beim Geschäftspartner oder bei der Konkurrenz. Auf Hilfe durch Experten oder Techniken einer Managed Detection and Response können Unternehmen kaum verzichten

Ransomware abwehren ist ein Prozess

Professionelle Hacker haben einen langen Atem – auch Sicherheitsverantwortliche großer Unternehmen benötigen ihn. Erpresserische Angriffe werden nicht aufhören und für ihre Abwehr benötigen Unternehmen nicht nur die notwendige Sichtbarkeit und vielfältige, aber doch einfach zu verwaltende und handhabbare Sicherheitsplattformen ohne Unmengen von falschen Alarmen. Sie benötigen das vorausschauende Beurteilen, welche Effekte eine Schadstelle haben kann. Sie müssen Sicherheit permanent einüben, durch Pentesting oder durch Simulationen von Ernstfällen mit Einbezug der Belegschaft oder auch durch das Üben von Threat-Hunting. Nicht zuletzt gehört zur Ernstfallsimulation auch der Test der Wiederherstellungsmöglichkeiten oder auch einfach nur die Kenntnis, welche Schäden eine IT-Versicherung übernimmt. Oder im äußersten Fall ein Durchspielen und Trainieren, wie man mit Erpressern verhandelt.

Martin Zugec ist Technical Solutions Director bei Bitdefender.