Ransomware Kill Chain

Teil 2: Wie Sie anhand des Modells der Ransomware Kill Chain entsprechende Gegenmaßnahmen ableiten können

Im ersten Teil unserer Serie zum Thema Ransomware Kill Chain sind wir auf die Anatomie sowie auf das damit verbundene Risiko eines Ransomware-Angriffs eingegangen. Dabei haben Sie als Unternehmen Einblick in eine Angriffsform erhalten, die deutlich von einem herkömmlichen Cyberangriff abweicht und in der Vergangenheit – gerade in den Medien – für viel Aufsehen gesorgt hat. Neben Wanna Cry sind hier weiter NotPetya und Jaff anzuführen.

Im Fall von Wanna Cry waren die Schäden stark ausgeprägt. So war sogar die Deutsche Bahn von dem Ransomware-Angriff durch Wanna Cry betroffen. Dabei diente das Exploit External Blue SMB als Einfallstor für die Attacke. Die Schwachstelle wurde zwar durch einen entsprechenden Patch durch Microsoft geschlossen und zum Download bereitgestellt. Auffällig ist aber dennoch, dass es immer noch Unternehmen gibt, die den Patch zur Beseitigung der Schwachstelle noch nicht implementiert haben.

Werden diese Versäumnisse in Unternehmen nicht nachgeholt, besteht auch weiterhin die Gefahr, dass sie in Zukunft zu den potentiellen Opfern von Cyberkriminellen werden. Im Nachfolgenden zeigen wir Ihnen, wie Sie anhand der Ransomware Kill Chain in der Lage sind, gegen diese Angriffsform entsprechende Gegenmaßnahmen einzuleiten.

Die Ransomware Kill Chain am Beispiel von Wanna Cry

Stufe 1: Tarnung und Übersendung

Angriffsstrategie:

Die Schadsoftware wird in der Regel durch den Cyberkriminellen geschickt verschleiert und das Schlüsselpaar für den Verschlüsselungsvorgang ebenfalls eingebettet . Um mit der Angriffsausführung zu beginnen, greift der Angreifer auf eine Schwachstelle zurück. Während bei herkömmlichen Ransomware-Angriffen Phishing-Mails zur Anwendung gelangen und so die infizierten Dateianhänge eingebunden oder Links platziert werden, kann wiederum bei anderen Ausprägungen auch eine Webseite sowie schadhafte Werbung als Übertragungsweg dienen. Sobald der Betroffene den Dateianhang geöffnet hat, ist der Köder des Angreifers erfolgreich gewesen. Der Fortsetzung des Angriffs steht dann nichts mehr im Weg.

Gegenmaßnahmen zur Verteidigung:

Unternehmen sollten sich zunehmend bemühen, die Gefahren, die von Ransomware ausgehen, nachvollziehen zu können. Hierzu benötigen die Verantwortlichen in Unternehmen eine gewisse Weitsicht, die Praxiserfahrungen und Wissen vereint.

Insbesondere die Weiterbildung von Mitarbeitern gehört hier zu den wesentlichen Punkten. Dies gilt vor allem für den Fall, dass eine effektive Angriffsabwehr gegenüber Ransomware im Unternehmen etabliert werden soll.

Aufgrund der Aktualität von Ransomware-Angriffen auf Unternehmen, ist dies genau der richtige Zeitpunkt, um Mitarbeiter für diese Problematik zu sensibilisieren.

Insbesondere ein Spamfilter für den E-Mail-Verkehr, kann dabei helfen, den Eingang von etwaigen schadhaften Inhalten zu verhindern. Nur so können Sie auf lange Sicht, den Zugang zu Ihrem System im Unternehmen sicherstellen.

Zur präventiven Vorbeugung bietet es sich zudem an, auf eine Sandbox-Engine zurückzugreifen, die beispielsweise mit Hornetsecurity Advanced Threat Protection optional erhältlich ist.

Dieses dort enthaltene Tool untersucht das Verhalten von E-Mail-Dateianhängen bei Öffnung und filtert sie bei einem positiven Fund heraus. So haben Mitarbeiter eines Unternehmens die Möglichkeit, Angriffe bis ins Detail nachvollziehen zu können..

Stufe 2: Download und Ausführung

Angriffsstrategie:

Von Wanna Cry unabhängige Ransomwarestämme benötigen lediglich einen Klick, um ein Exploit auszuführen. Daneben wird der Payload der Malware über das TOR-Netzwerk heruntergeladen und auf dem Zielsystem installiert. Durch die Nutzung des EternalBlue Exploits im SMB-Protokoll ist es möglich, die Schadsoftware unbemerkt einzuschleusen. Gleichzeitig versucht der betroffene Rechner, bis zu 10 weitere Systeme über den SMB-Port zu erreichen. Dieses Verhalten ist für viele Clients nicht ungewöhnlich, weshalb herkömmliche Antivirenprogramme die Infektion zunächst nicht erkennen.

Gegenmaßnahmen zur Verteidigung:

Bei der Ausführung von Schadsoftware, werden Prozesse durchgeführt, die von den herkömmlichen Abläufen abweichen. Sobald solche Abweichungen von Benutzern eines Systems oder Netzwerks wahrgenommen werden, heißt es: Strom aus! Rechner vom Netz! Die Sensibilisierung der Mitarbeiter bei auftretenden Veränderungen im System ist für ein nachhaltiges Reporting elementar. Denn auf dieser Basis können die entsprechenden Notfallmaßnahmen umgehend eingeleitet werden. Dies beinhaltet ebenfalls die Aktualisierung von Sicherheits-Patches. Gleiches gilt für die stetige Aneignung von Wissen hinsichtlich neuer Bedrohungen. Dadurch können Unternehmen wesentlich frühzeitiger auf einen „worst case“ reagieren.

Stufe 3: Verschlüsselung

Angriffsstrategie:

Auch der Verschlüsselungsvorgang bei Wanna Cry unterschiedet sich nicht wesentlich von dem einer anderen Ransomware. Ziel ist auch hier die Verschlüsselung des Systems, damit der Betroffene nicht mehr auf seien Dateien zugreifen kann. Das System des Betroffenen ist folglich unbrauchbar. Jede Datei wird mit einem separaten symmetrischen AES-Schlüssel verschlüsselt. Zudem wird jeder benutzte AES-Schlüssel separat mit einer 2048bit RSA Public-Key-Encryption verschlüsselt. Dieser Vorgang macht die Datenwiederherstellung für den Anwender unmöglich.

Gegenmaßnahmen zur Verteidigung:

Die Hauptproblematik bei den jeweilig unterschiedlichen Ransomwarearten liegt darin, dass es für eine Vielzahl der Angriffe keine entsprechenden Decryptor gibt – so wie es auch lange Zeit bei Wanna Cry der Fall gewesen ist. Lediglich ein Frühwarnsystem bietet Unternehmen die Möglichkeit, den Vorgang verschiedener Systeme im Netzwerk zwar nicht ganz zu verhindern, jedoch deutlich einzuschränken. Exemplarisch ist hier Advanced Threat Protection anzuführen. Mit Hilfe von Hornetsecurity ATP können Sie polymorphe Viren in E-Mails rechtzeitig aufspüren. Dadurch kann ein „worst case“ mit größerem Ausmaß deutlich eingeschränkt werden.

Stufe 4: Die Verbreitung von WannaCry

Angriffsstrategie:

Im Vergleich zu anderen Formen, nutzt Wanna Cry als Einfallsvektor ungepatchte Systeme, die über den EternalBlue Exploit im SMB-Protokoll die Ransomware folglich auf Netzwerkebene verbreiten. Hierbei handelt es sich um eine zusätzliche Verbreitungsmethode. Denn normalerweise verbreitet sich Ransomware ebenfalls lokal über die einzelnen, freigegebenen Netzwerkfestplatten.

Gegenmaßnahmen zur Verteidigung:

Die Kontrolle des Netzwerkverkehrs – insbesondere des Datenaustausches – kann effektiv dazu beitragen, Angriffe dieser Art einzuschränken. Im Vordergrund steht die Beschränkung der Zugriffsrechte.

Hierbei handelt es sich um eine zentrale Verteidigungsstrategie gegen Wanna Cry. Insbesondere das Zugreifen von Arbeitsplatzrechnern auf sensible Unternehmensdaten im Netzwerk kann durch ein entsprechendes Zugangsmanagement zielgerichtet beschränkt werden.

Die Zugangsrechte sollten hierbei immer derart ausgestaltet sein, dass nur die Dateifreigaben erfolgen, die für die Erledigung des täglichen Aufgabenbereichs der Mitarbeiter auch wirklich benötigt werden.

Unter Berücksichtigung dieser Möglichkeiten, die Sicherheitsbeauftragte bzw. Netzwerkadministratoren in einem Unternehmen haben, können Ransomware-Angriffe, wie die durch Wanna Cry eingegrenzt werden.

Stufe 5: Die Lösegeldzahlung

Angriffsstrategie:

Um als betroffenes Unternehmen wieder an die Daten zu gelangen bzw. Zugang zum System zu erhalten, wird, wie wir bereits wissen, ein einzigartiger Schlüssel zur Entschlüsselung benötigt. Diesen bekommen die Betroffenen nur in Aussicht gestellt, wenn die Zahlung einer bestimmten Lösegeldsumme in einer Online-Währung (z.B. durch Bitcoin) erfolgt.

Gegenmaßnahmen zur Verteidigung:

Als betroffenes Unternehmen ist es wichtig, zu verstehen, dass die Zahlung eines Lösegelds nicht zwangsläufig zur Erlangung des Zugriffs auf die eigenen Daten führt. Ein Ransomware-Angriff ist unweigerlich eine Angriffsform mit erpresserischer Absicht. Aus diesem Grund raten wir, aber auch andere IT-Security-Experten von der Zahlung eines Lösegelds ab. Denn jede Zahlung sorgt letztlich dafür, dass die Täter Ransomware als Angriffsform – aufgrund der Lukrativität – weiter etablieren.

Ein für den eintretenden „worst case“ vorhandener Notfallplan ist daher besonders wichtig. Natürlich kann es – wenn auch nicht empfohlen – in einer solchen Situation von Relevanz sein, im Detail zu wissen, wie die Zahlung durch einen Mitarbeiter über ein Online-Bezahlsystem in der Währung Bitcoin zu erfolgen hat. Schließlich könnte dies im Idealfall den Zugriff auf die Daten bedeuten. Wesentlich wichtiger erscheint jedoch die Implementierung von Backup-Lösungen in Unternehmen, die letztlich den Verlust von Dateien bis zu einem bestimmten Grad verhindern. Hierbei kommt es natürlich auf die jeweilig gewählten Backup-Zeitpunkte sowie der Backup-Verfahren an. Erfolgt die Sicherung beispielsweise auf Magnetbänder, kann Wanna Cry darauf nicht zugreifen.

Weitere Informationen in unserem Blog

Formjacking – Die neue unsichtbare Bedrohung im Cyberspace

Formjacking – Die neue unsichtbare Bedrohung im Cyberspace

Weihnachten steht vor der Tür und schon jetzt ist sicher, dass einigen die Festtagsstimmung vergehen wird. Wenn Millionen Menschen online auf Geschenkejagd gehen, schnappt die Falle zu. Die Rede ist von der neuen unsichtbaren Bedrohung im Internet: Formjacking, auch als E-Skimming bekannt. Dabei erbeuten Hacker auf Onlineshops mit gekaperten Bezahlformularen Kreditkarten- und Bankdaten. Wie genau funktioniert das und wer steckt dahinter?
Der Hacker: Made in Hollywood?

Der Hacker: Made in Hollywood?

Ein Hacker ist klug, deutlich klüger als der Durchschnitt. Mit wenigen Klicks und ein paar Tastenkombinationen hat er sich in die Systeme von Regierungen, Behörden und großen Unternehmen gehackt. Er meidet die Öffentlichkeit und agiert im Verborgenen – so gibt es uns Hollywood jedenfalls vor. Doch das Profil der Computergenies ist um einiges facettenreicher…
Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

Wissen Sie eigentlich Ihren „Datenwert“? Bei einem Datenleck in den Systemen großer Unternehmen ist oftmals von Schäden in Milliardenhöhe die Rede. Daten zählen sogar mittlerweile zu den wertvollsten Ressourcen der Welt. Ein Kalkulator, worüber Nutzer einen pauschalen Wert ihrer Daten errechnen können, vermittelt jedoch einen ganz anderen Eindruck: Demnach bleibt der „Preis“ für die Informationen der User immer unter einem Dollar. Doch warum ist das so und lässt sich der Wert von diesem „Rohstoff“ überhaupt konkret bestimmen?

Besuchen Sie unsere Wissensdatenbank

Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Ransomware Kill Chain gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie DDoS-Attacken, Cryptolocker Virus, Phishing, Brute-Force-Angriffe, GoBD und Cyber Kill Chain.