Ransomware – eine reale Bedrohung für Schweizer Unternehmen

Ransomware-Angriffe erfolgen oft nach dem gleichen Schema. Initial wird ein Zugang zum Unternehmensnetz hergestellt, zum Beispiel durch Bruteforcing externer Zugänge oder durch das Entlocken von Logindaten mittels gezieltem Phishing. Meist erfolgt dieser Hack nicht einmal durch die Ransomware-Angreifer selbst, sondern durch sogenannte Access Broker. Diese haben sich darauf spezialisiert, den unauffälligeren und damit weniger riskanten Teil der Angriffskette durchzuführen und Zugänge beispielsweise an Ransomware-Angreifer zu verkaufen.

Im zweiten Schritt bauen diese dann ihre Präsenz im Netzwerk aus, installieren Backdoors und sammeln Informationen über das Zielnetzwerk, bevor sie den eigentlichen Angriff starten. Häufig entdecken wir bei Untersuchungen, dass sich Angreifergruppen auf Daten mit Schlüsselwörtern wie beispielsweise «Finance», «HR» oder «Projects» fokussieren. Ab und zu werden deshalb Daten übersehen, die wesentlich wertvoller wären – zum Glück für das betroffene Unternehmen. Sobald die passenden Zieldaten identifiziert wurden, werden diese auf verschiedenen Cloud-Storage-Diensten gespeichert. Auch daran lassen sich Angreifer unterscheiden, denn sie verwenden oftmals unterschiedliche Portale. Solche Strategien rasch zu identifizieren, ist unerlässlich – jede Minute ist wertvoll.

Mit den Angreifern kommunizieren

Nachdem die Daten abgezogen wurden, beginnt die eigentliche Verschlüsselung. Auch hier gibt es noch Chancen, den Prozess zu unterbrechen, da die meisten Verschlüsselungsprogramme vom Angreifer manuell beziehungsweise durch Scripts ausgelöst werden müssen. Sollte es zur Verschlüsselung der Daten gekommen sein, ist der direkte Kontakt mit den Angreifern wichtig. Gehen wir davon aus, dass ein Unternehmen Opfer eines Ransomware-Angriffs wurde und die Angreifer alle beschriebenen Stufen erfolgreich durchlaufen konnten. In der Regel ist das Unternehmen nun mit einem Zeitlimit konfrontiert, sich für oder gegen die Zahlung des Lösegeldes zu entscheiden. Mit den Angreifern in Kontakt zu treten, ist in beiden Fällen ratsam, da ansonsten keine Möglichkeit mehr besteht, mehr über den Angreifer und den Angriff zu erfahren. Dabei erfährt man nicht nur «explizit» einiges, sondern noch wesentlich mehr implizit. Zum einen werden die Angreifer natürlich die Höhe der Lösegeldforderung bekannt geben. Zum anderen sind sie in der Regel auch bereit, zu beweisen, dass sie im Besitz der Daten sind und die Entschlüsselung tatsächlich durchführen können. Hierzu kann beispielsweise eine kritische Datei für einen Entschlüsselungstest verlangt werden.

Durch den Kontakt mit den Angreifern kann somit Zeit gewonnen und manchmal auch über die Lösegeldforderung verhandelt werden. Der Spielraum dabei ist sehr unterschiedlich. So bewegt sich die geforderte Summe meist zwischen 3 und 5 Prozent des erkennbaren Jahresumsatzes.

Incident Response braucht Expertise

Hinter Ransomware-Angriffen stecken professionelle Gruppen, die zahlreiche Unternehmen gleichzeitig unter Kontrolle haben. Soweit sollte es jedoch gar nicht erst kommen. Bereits bei den ersten Anzeichen gilt es, nicht lange zu zögern und Spezialisten beizuziehen. Denn einen kühlen Kopf bewahren kann nur, wer objektiv und erfahren an solche Fälle herantritt. Daher empfiehlt es sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details für die Unterstützung bei der Bewältigung eines Cyberangriffs vorab zu klären.

----------

Ransomware-Attacken vernichten oft auch Spuren vergangener Angriffe

Wenig kann das Alltagsgeschäft so dramatisch zum Stillstand bringen wie ein Ransomware-Angriff. Wie man vorgehen sollte, wenn alle Dateien verschlüsselt wurden, und weshalb eigentlich etwas ganz anderes das Schlimmste an Ransomware ist, erklärt Mathias Fuchs, Head of Investigations & Intelligence bei Infoguard. Interview: Coen Kaat

Interessieren sich Ransomware-Gangs überhaupt für kleine Schweizer KMUs?

Mathias Fuchs: Kurz gesagt: Ja, denn es gibt verschiedenste Formen von Ransomware-Akteuren. Zum einen sind da die grossen, professionellen Gruppen, die sich weniger für Unternehmen interessieren bei denen sie realistisch gesehen wohl nur fünf- bis sechsstellige Beträge erpressen können. Das KMU-Segment decken daher andere ab. Diese kaufen sich von Dritten Zugänge zu Unternehmen und setzen für die Verschlüsselung oft Ransomware-­as-a-Service ein. Natür­lich verdienen die grossen «Anbieter» indirekt wieder mit, sie brechen aber nicht selbst in KMUs ein. Wie immer gilt auch hier: Keine Regel ohne Ausnahme. Es ist also niemand zu klein, um nicht Opfer von Ransomware-Angriffen zu sein.

Wie kann man sich effizient vor Ransomware schützen? Ist das überhaupt möglich?

Üblicherweise laufen Ransomware-Angriffe in drei Schritten ab: Eindringen in das Netzwerk, suchen und stehlen von Daten sowie die abschliessende Verschlüsselung und Erpressung. Je früher man die Kette unterbrechen kann, desto geringer der Schaden. Verhindern kann man ein Eindringen aber selten. In vielen Fällen die wir untersucht haben, erkannten Monitoring-Lösungen den Angriff bereits beim ersten Schritt. Aber leider hat niemand die Alarme dieser Systeme bearbeitet. Bei den Kunden, die wir aus unserem Cyber Defence Center überwachen, kam es noch nie zu einem Ransom­ware-Vorfall, da wir aktiv nach Angriffsspuren suchen.

Inwiefern kann man darauf vertrauen, dass die Erpresser die gestohlenen Daten nicht veröffentlichen – auch wenn man ein Lösegeld zahlt?

Mir ist kein Fall bekannt, bei dem Angreifer nach Bezahlung die Daten veröffentlicht hätten. Viele Opfer wollen nicht bezahlen und ändern dann leider ihre Absicht, wenn Teile der Daten veröffentlicht werden. Was sie allerdings nie wissen, ob die Daten auch wirklich gelöscht oder an Mitbewerber weiterverkauft werden, selbst wenn Lösegeld bezahlt wurde. Es muss einfach klar sein, dass man sich hier nur die Garantie erkauft, dass die Daten keiner breiten Öffentlichkeit zugänglich gemacht werden, nicht mehr und nicht weniger.

Sollte man auf eine Lösegeldforderung eingehen?

Das ist eine komplexe Frage, die man nicht mit Ja oder Nein beantworten kann. Wenn möglich versuchen wir, dies zu vermeiden. Es ist aber unsere oberste Priorität, den Schaden für das betroffene Unternehmen zu minimieren. Wenn das Lösegeld zwei Millionen beträgt, Sie aber durch die Betriebsunterbrechung jeden Tag 5 Millionen verlieren, wird das Ziel eher sein, ein tieferes Lösegeld auszuhandeln und die Entschlüssler zu kaufen. Wichtig ist, dass man das emotionslos als «Geschäftsfall» behandelt. Oftmals herrscht aber die Meinung vor, dass eine Wiederherstellung aus Backups viel länger dauert, als die Entschlüsselung. Das ist eine verzerrte Wahrnehmung, denn nicht selten sind die Entschlüssler sehr fehleranfällig und so beansprucht die Wiederherstellung auch sehr viel Zeit. Dank unserer Erfahrung können wir dem betroffenen Unternehmen hier helfen und bei den meisten Ransomware-Familien den Entschlüsselungsprozess massiv beschleunigen, wenn auf die Lösegeldforderung eingegangen werden muss.

Gibt es eigentlich etwas noch Schlimmeres als Ransomware?

Aus meiner Sicht ist das Schlimmste an Ransomware, dass sie alles andere überdeckt. Früher, als Ransomware eher Einzelrechner von Privatpersonen betraf, haben wir als Incident Responder hauptsächlich staatliche Angriffe untersucht. Heute behandeln wir vornehmlich Ransomware-Fälle. Um dem eigenen Land einen Vorteil zu verschaffen, sind Staaten aber immer noch sehr an Intellectual Property und anderen vertraulichen Informationen interessiert. Die Frage ist also: Bleiben diese Fälle unentdeckt, weil es Ransomware gibt? Sie dürfen dabei nicht vergessen, Ransomware-Angriffe sind sehr zerstörerisch und so werden ausser den eigenen oft auch Spuren vergangener Angriffe vernichtet – wodurch Ransomware also auch bei gezielteren Angriffen indirekt eine Rolle spielt.