Ransomware Kill Chain

Teil 1: Warum Ransomware kein typischer Cyberangriff ist

Im Allgemeinen ist es so, dass die meisten Cyberangriffe im Verborgenen ablaufen. Die bei diesen Angriffsformen eingesetzte Schadsoftware wird dabei unauffällig in das Zielsystem eingeschleust. Im Normalfall bleibt auch der Datenklau unentdeckt. Dies gilt vor allem dann, wenn die Systeme unzureichend geschützt sind. Ganz anders sieht es jedoch bei Ransomware aus:

Der wesentliche Unterschied zwischen einem gewöhnlichen Cyberangriff, der auf Schadsoftware basiert und einem Angriff durch Ransomware ist der, dass Ransomware mit dem Benutzer des betroffenen Systems direkt in Kontakt tritt. Diese Vorgehensweise von Cyberkriminellen erscheint auch nachvollziehbar, wenn man bedenkt, dass der Täter die Kontrolle über das Zielsystem zu diesem Zeitpunkt bereits übernommen hat und dem Opfer den Zugriff auf die erbeuteten Daten nur durch die Zahlung eines Lösegelds anbietet.

Daneben laufen Ransomware-Attacken automatisiert ab. Wird der Prozess durch den Cyberkriminellen einmal in Gang gebracht, sind keine weiteren Befehle mehr notwendig, um das Zielsystem zu kompromittieren. Zu beobachten ist dabei, dass zunehmend Unternehmen in den Fokus von Ransomware-Angriffen geraten. Und obwohl diese Form der Cyberattacke nicht neu ist, zeigen die Ereignisse in jüngster Vergangenheit, dass eine Vielzahl an Unternehmen einem Angriff durch Ransomware nicht standhalten können. Häufig stehen die Sicherheitsbeauftragten in Unternehmen vor der Herausforderung, den Angriff frühzeitig zu erkennen.

Aus diesem Grund ist es durchaus sinnvoll, sich einmal intensiv mit Ransomware als nicht ganz typische Angriffsform auseinanderzusetzen, um so ein besseres Verständnis zu bekommen und entsprechende Maßnahmen abzuleiten.

Die Ransomware Kill Chain

Durchforstet man das Internet nach Informationen zum Thema Ransomware, stößt man nach intensiver Recherche auf Beiträge, die sich inhaltlich stetig wiederholen und zu wenig neuen Erkenntnissen führen.

Wesentlich interessanter ist daher der Ablauf von Ransomware im Live-Modus, sozusagen unter praxisnahen Bedingungen. Aus diesem Grund haben wir diesem Thema einen ganzen Webcast gewidmet, den Sie nachfolgend kostenlos abrufen können.

Die Grundstruktur eines Ransomware-Angriffs

1. Auswahl eines geeigneten Köders

Wie in der Vergangenheit häufig zu beobachten war, sind Phishing-Mails als Köder zum Einsatz gelangt. Diese waren zumeist mit infizierten Dateianhängen oder Verlinkungen zu schadhaften Webseiten versehen.

Im Posteingang angekommen, war der Empfänger lediglich noch einen Klick von der Infektion entfernt. Neben der Öffnung eines schadhaften Dateianhangs, wie z.B. einer infizierten PDF-, DOC- oder XLS-Datei, ist ebenfalls ein Drive-by-Download denkbar.

2. Die Installation der Schadsoftware auf dem Zielsystem

Grundsätzlich bleibt zu erwähnen, dass dem Cyberkriminellen eine ganze Reihe potentieller Opfer gegenübersteht. Durch die Öffnung der schädlichen Datei, hat der Täter auch diese Hürde bewältigt. Die Installation auf dem jeweiligen System erfolgt. Dabei bleibt zu erwähnen, dass die Installation unabhängig von der Aktivierung der Ransomware ablaufen kann. Die Ransomware-Attacke kann somit frühzeitig vorbereitet, aber beispielsweise erst zu einem späteren Zeitpunkt tatsächlich gestartet werden. Gemeint ist ein Zeitraum von wenigen Wochen bis zu mehreren Monaten.

3. Abruf des Verschlüsslungscodes

Nach Abschluss der Installation der Schadsoftware erfolgt der Abruf eines Schlüssels zur Verschlüsselung der Daten. Das bedeutet, dass der Schlüssel auf einem Server vorgehalten wird und für das Opfer nach Zahlung eines Lösegelds letztlich die einzige Möglichkeit darstellt, um den Zugriff auf die eigenen Dateien wiederzuerlangen. Eine Garantie hierfür gibt es allerdings nicht.

4. Durchführung des Verschlüsselungsvorgang

Im nächsten Schritt geht die Ransomware zu ihrer Kernaufgabe über. Der Prozess der Verschlüsselung beginnt. Dabei können einzelne Dateien auf einem System oder sogar mehrere Systeme innerhalb eines Unternehmensnetzwerkes verschlüsselt werden. Durch diesen Vorgang wird dem Benutzer der Zugriff zu seinen Daten verwehrt. Er wird aus seinem eigenen System ausgesperrt. Das System ist für ihn ab diesem Zeitpunkt unbrauchbar.

5. Lösegeldforderung

Nun erscheint eine entsprechende Benachrichtigung auf dem Bildschirm des Betroffenen. Hierzu wird einfach der Desktophintergrund durch Abbildung mit Zahlungsaufforderung sowie weiterführenden Anweisungen ausgetauscht. Sobald dieser Vorgang abgeschlossen ist, müssen die Angreifer nur noch darauf warten, dass das jeweilige Opfer die Lösegeldzahlung vornimmt.

Die Kopplung der Lösegeldforderung an eine Deadline ist ein probates Mittel der Cyberkriminellen, um den Druck auf die Betroffenen zu erhöhen. Dabei erfolgt die Zahlung häufig über Bitcoins. Hierbei handelt es sich um eine Online-Währung, die zunehmend aufgrund der mangelnden Transparenz in die Kritik gerät. Denn die Funktionsweise von Bitcoins sowie ähnlicher Kryptowährungen trägt letztlich dazu bei, dass die Empfänger des Geldes nur selten ausfindig gemacht werden können. Sollten die Inhaber der Systeme bis zum Zeitpunkt der Deadline keine Zahlung getätigt haben, erhöht sich entweder die Lösegeldforderung oder es wird mit dem Löschvorgang von Dateien begonnen.

Nicht selten sind die Opfer auf ihre Daten angewiesen. Dies gilt insbesondere für Unternehmen, die täglich auf Kundendaten (Adressdaten, Rechnungen, Projektdaten, etc.) zurückgreifen müssen. Häufig richten gerade Ransomware-Attacken immense Schäden an und führen manch ein Unternehmen sogar in die Insolvenz. Auch wenn Experten und Ermittlungsbehörden von einer Zahlung abraten, so ist die Entscheidung hin zur Lösegeldzahlung bei der Mehrzahl der Unternehmen menschlich durchaus nachvollziehbar. Sie befinden sich nach einem Ransomware-Angriff in einer Notsituation.

Diesen Umstand wissen die Cyberkriminellen natürlich für sich auszunutzen. Sie warten nur darauf, dass das Lösegeld von den Betroffenen gezahlt wird, um im Anschluss den Opfern einen Link zum Schlüssel selbst oder zu einem Entschlüsselungsprogramm zu Verfügung zu stellen. Dies geschieht allerdings auf freiwilliger Basis, d.h. ohne Garantie.

Weitere Informationen in unserem Blog

Clop, Clop! Eine TA505 HTML Malspam Analyse

Clop, Clop! Eine TA505 HTML Malspam Analyse

Das Hornetsecurity Security Lab zeigt eines der aktuellen Vorgehen der Betreiber hinter der Clop Ransomware. Die skizzierte Infektionskette beginnt mit einer E-Mail mit einem bösartigen HTML-Anhang. Dieser Anhang leitet das Opfer zu einem XLS-Dokument um, das den Get2-Loader enthält. Dieser Loader installiert dann einen Remote Access Trojaner (RAT) auf dem System, der dazu dient, das Netzwerk des Opfers auf den Einsatz der Clop vorzubereiten vorzubereiten. Am Ende des Angriffes steht die Verschlüsselung sovieler Rechner im angegriffenen Unternehmen wie möglich um ein möglichst hohes Lösegeld zu erpressen. Zu diesem Zweck drohen die Angreifer auch mit der Veröffentlichung gestohlener Daten, falls das Lösegeld nicht bezahlt wird.
Cyberangriffe auf Automotivesektor nehmen Fahrt auf

Cyberangriffe auf Automotivesektor nehmen Fahrt auf

Autonomes Fahren, Elektromobilität, vernetzte Autos und Carsharing – die Automobilindustrie befindet sich im Umbruch. Neue Technologien und digitalisierte Prozesse bringen den Automotive-Unternehmen zudem zahlreiche Vorteile, um zum einen den neuen Kundenanforderungen gerecht zu werden und zum anderen im intensiven Wettbewerb bestehen zu können. Jedoch birgt die fortschreitende Digitalisierung der Branche nicht nur Vorteile, sondern bietet Hackern eine immer größere Angriffsfläche. Und diese versuchen Cyberkriminelle intensiv auszunutzen: Die Security-Analysten des Hornetsecurity Security Labs stellten fest, dass der Automotive-Sektor, nach der Energie- und Logistikbranche, eine der weltweit meistangegriffenen Branchen des vergangenen Jahres ist…

Besuchen Sie unsere Wissensdatenbank

Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Ransomeware Kill Chain gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie IT-Security, Bitcoin Mining, Social Engineering, DDoS-Attacken, Cryptolocker Virus, Phishing, Brute-Force-Angriffe, GoBD, Cyber Kill Chain und Ransomware.