Ransomware: Immer schneller, versteckter und schlimmer

Für Unternehmen haben sich Ransomware-Angriffe von einem Ärgernis zu einer erheblichen finanziellen Belastung und einer großen Gefahr für Infrastrukturen entwickelt. [...]

Roman Borvits, Senior Systems Engineer, F5. (c) F5

Die aktuelle Krise führt zu mehr Cyberangriffen – das bestätigt eine Studie von F5 Labs. Auch Attacken durch Ransomware sind gestiegen. Dabei treten die Schadprogramme nicht nur häufiger auf, sondern werden von Angreifern auch auf immer raffiniertere Weise eingesetzt: Ransomware breitet sich schneller aus, bleibt gleichzeitig länger unerkannt und trifft seine Ziele schlussendlich härter.

Dies liegt daran, dass die Angreifer ihre Fähigkeiten zunehmend verbessern. Außerdem gibt es inzwischen Tausende von Ransomware-Varianten mit Namen wie Ryuk, Dreamon, Ragnar Locker, Crysis, RansomEXX, Clop, Netwalker, WastedLocker, Egregor, Netwalker, Nefilim, CryptoMix, Sodinokibi, SymmyWare und DoppelPaymer.

Wie Ransomware schneller wurde

Die neuen Ransomware-Angriffe werden dadurch schneller, dass sie Abkürzungen nutzen und unnötige Schritte einsparen. Zum Beispiel kostet es viel Zeit, eine Multi-Gigabyte-Datei mit einem 4096-Bit-Schlüssel und AES-256 zu verschlüsseln. Ein Trick besteht darin, die Verschlüsselung großer Dateien zu überspringen – in der Hoffnung, dass das Opfer dies nicht bemerkt. Ein anderer Trick ist die Verschlüsselung eines Teils der Datei. Dies reicht häufig aus, um beim Zugriff einen Fehler zu verursachen.

Weitere Szenarien umfassen die Überprüfung des physischen Speicherorts, an dem die Infektion ausgeführt wird. Falls sie sich nicht in einem Zielland befindet, kann sie sich selbst löschen und woanders weitermachen.

Ransomware kann sich auch von internen Netzwerkknoten aus verbreiten, wie Windows-Domänencontroller. Da diese mit den meisten internen Systemen interagieren, sind sie ausgezeichnete Ausgangspunkte für die schnelle Verbreitung von Malware.

Darüber hinaus scheint Ransomware oft deshalb so schnell zuzuschlagen, weil sie eine ganze Weile inaktiv bleiben kann. In dieser Zeit schleicht sie sich herum, um nach dem besten Angriffspunkt zu suchen. Die Schadprogramme können währenddessen Backup-Restore-Punkte beeinträchtigen und Papierkörbe leeren, um Bemühungen zur Wiederherstellung der Daten zu vereiteln. An einem festgelegten Datum tritt dann die Ransomware in Aktion und beginnt, alles auf einmal zu verschlüsseln.

Wie Ransomware sich besser versteckt

Wenn Schadprogramme nach dem Laden inaktiv bleiben, täuschen sie damit Antiviren-Filter, die davon ausgehen, dass Malware sofort mit der Ausführung beginnt. Moderne Ransomware schaltet sogar Antivirenprogramme ab, wenn dies möglich ist. Ansonsten verschleiert oder verschlüsselt sie sich selbst und entpackt sich nur in den Speicher, um die Festplatten-Scan-Tools zu umgehen.

Beim Prozess zur Verschlüsselung der Unternehmensdaten ist es hilfreich, ihn aus technischer Sicht zu betrachten. Nachdem die Datei in den Speicher geladen und verschlüsselt wurde, lässt sich die Originaldatei auf verschiedene Arten ersetzen:

  • Schreiben der neuen verschlüsselten Daten in die Originaldatei selbst.
  • Speichern der verschlüsselten Datei als neue Datei, löschen des Originals und umbenennen der verschlüsselten Datei entsprechend dem Original.
  • Speichern der verschlüsselten Datei als neue Datei und verwenden der integrierten Funktion zum Umbenennen und Überschreiben von Dateien, um das Original zu ersetzen.

Die Anti-Ransomware-Funktion „Controlled Folder Access“ von Microsoft Defender kann diese Vorgänge melden und blockieren. Doch neuere Ransomware-Varianten nutzen einen Trick namens RIPlace. Dieser verwendet eine alte Windows-Funktion, um die umbenannte und überschriebene Datei unbemerkt von Controlled Folder Access auszuführen.

Ransomware kann die Systemleistung während der Verschlüsselung merklich verlangsamen. Neue Varianten verbergen dies durch die Anzeige gefälschter Fehlermeldungen. Darüber hinaus versuchen viele Varianten, die eingebauten Windows-Werkzeuge und -Funktionen für Scannen und Zielsuche zu nutzen. Dadurch reduzieren sie die Anzahl der erkennbaren Malware-Komponenten, die im Netzwerk ausgeführt werden.

Wie Ransomware schlimmer wurde

Gegen Ende 2019 fügte die Ransomware Maze eine neue Funktion hinzu: Erpressung durch Datenlecks. Diese Malware kann nicht nur alle Daten verschlüsseln, sondern auch vertrauliche Daten stehlen. Das hat sich bei Cyberkriminellen schnell durchgesetzt.

Eine häufige Reaktion auf Ransomware sind forensische Untersuchungen der Binärdatei. Diese liefern manchmal den verwendeten Schlüssel, um die Dateien ohne Lösegeld wieder freizuschalten. Zusätzlich lassen sich Informationen über Ransomware an Security-Experten weitergeben, um neue Abwehrmechanismen zu entwickeln.

Manche Ransomware reagiert mit Selbstzerstörung darauf. Wenn der Dienst, der das Programm ausführt, stoppt, stürzt der Rechner ab. Dadurch kann der Speicher nicht mehr gelesen werden. Moderne Ransomware läuft auch nicht mehr weiter, wenn sie sich innerhalb einer virtuellen Umgebung oder eines Debuggers befindet. Der Code kann auch Analysetools in die Irre führen. Einige Varianten aktivieren sich erst, wenn der Angreifer einen Entsperrcode sendet. Dies erschwert es, das Programm zu erfassen und zu analysieren.

Moderne Ransomware stoppen

Eine praxisnahe Schulung des Sicherheitsbewusstseins ist ein wichtiger erster Schritt, reicht aber alleine nicht aus. Dieser ist durch technische Maßnahmen zu ergänzen. Schließlich muss Ransomware-Code erst in die Systeme gelangen. Dies erfolgt: (1) durch Phishing; (2) durch unbefugten Zugriff, etwa Erraten/Diebstahl von Anmeldedaten oder Eindringen über einen vertrauenswürdigen Dritten; und (3) durch Ausnutzung bekannter Schwachstellen. Daher sollten Unternehmen:

  • Ihre Angriffsfläche untersuchen und inventarisieren, um die Gefährdung zu erkennen.
  • Downloads und Mailverkehr entschlüsseln, analysieren und blockieren.
  • Eine starke Authentifizierung implementieren.
  • Die Sicherheitsvorkehrungen der Drittanbieter überprüfen und deren Zugang auf ein Minimum beschränken.
  • Schwachstellen patchen, insbesondere wenn sie durch bekannte Exploits bereits ausgnutzt werden.

Sobald Ransomware in die Systeme gelangt, müssen tiefgehende Abwehrmaßnahmen greifen. Die Malware zielt häufig auf Domänencontroller, daher sind diese zu härten und zu patchen. Da Angreifer versuchen, Windows-Funktionen zu nutzen, sollten Tools wie PowerShell, Nltest, PsExec, McpCmdRun und WMic über Gruppenrichtlinien eingeschränkt werden. Ein Zugriff durch Systemadministratoren und Power-User reicht ohnehin aus.

Es ist auch wichtig, den Zugang zu internen Dateisystemen einzuschränken, insbesondere wenn jeder Mitarbeiter des Unternehmens darauf zugreifen kann. Infiziert Ransomware den Rechner eines Nutzers, kann sie alle entsprechenden Dateien im File-System verschlüsseln und/oder auslesen. Nach Möglichkeit sind alle veralteten Versionen des Server Message Block (SMB) zu entfernen oder zu deaktivieren, damit Ransomware sie nicht nutzen kann.

Die Auswirkungen von Ransomware einschränken

Ransomware kann Terabytes an Daten auslesen. Daher müssen Unternehmen den ausgehenden Datenverkehr einschränken oder überwachen. Das erfordert den Einsatz von SSL-Entschlüsselung und -Überwachung. Eine frühe Entdeckung des Angriffs ist entscheidend. Dies ermöglichen Lösungen für Erkennung und Schutz von Endpunkten sowie Überwachung und Schutz des Netzwerks. Zudem müssen Unternehmen kritische Systeme und Daten sichern und offline speichern, um sie vor Angreifern zu verstecken.

Wer Opfer von Ransomware wird, sollte die Strafverfolgungsbehörden informieren. Dies trägt dazu bei, die Täter vor Gericht zu bringen und mögliche Compliance-Verstöße wie das Bezahlen von Lösegeld zu vermeiden. Selbst wer das Lösegeld zahlt, sollte alle möglicherweise gefährdeten Systeme wieder völlig neu aufbauen, damit sie sauber sind. Mit Hilfe von Vorlagen lassen sie sich schnell konfigurieren. Und schließlich ist ein Plan für die Reaktion auf Zwischenfälle vorzubereiten und umzusetzen, damit jeder weiß, wen er benachrichtigen muss und was zu tun ist, wenn die Angreifer zuschlagen.

*Roman Borovits ist Senior Systems Engineer bei F5.


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*