Wie moderne Security-Ansätze Ransomware-Angriffe verhindern

Ransomware-Attacken sind eine reale Gefahr für Schweizer Unternehmen. Eine einzelne Ransomware-Familie ist aktuell für vier bis fünf Ransomware-Angriffe pro Woche auf Schweizer Unternehmen verantwortlich. Laut Schätzungen gibt es aber mehrere Dutzend aktive Ransomware-Gruppen - und es kommen laufend neue hinzu. 

Wie Unternehmen solche Angriffe verhindern können, wo Lösungen ansetzen sollen und wie man eingreift, sollte es doch zum Angriff kommen, erklärten Netzmedien und Trend Micro Ende Oktober in einem gemeinsamen Webinar. 

Die beiden Experten Robert Wortmann, Principal Security Strategist, und Oliver Locher, Security Sales Engineer bei Trend Micro, zeigten dabei Schritt für Schritt auf, wie so eine Attacke abläuft. Dabei handelte es sich um eine reale Attacke - einen gut untersuchten Angriff und ein Vorgehen, das auch bei anderen aktuellen Vorfällen so auftritt, wie Wortmann erklärte.

Die aktuelle Lage im Bereich Cybercrime

Die meisten Cyberattacken sind laut Wortmann mehr oder weniger rein finanziell motiviert. Diese Attacken werden generell breit gestreut und treffen daher Unternehmen verschiedenster Grössen. Der Trend-Micro-Experte verglich es mit einem Teich, in dem sich "unglaublich viele Fische" tummeln. "Da wirft man einfach die Angel hinein und schaut, was am Ende anbeisst", sagte er. Nur die wenigsten Fälle seien zielgerichtet oder mit der Absicht, zu zerstören, erfolgt.

Oft dringen Angreifer über unsichere Remote-Desktop-Verbindungen oder Logins ohne Multi-Faktor-Authentifizierung (MFA) in die Netzwerke ihrer Opfer ein. Aber auch eine MFA bietet keinen undurchdringbaren Schutz: Wortmann erwähnte Angriffe, bei denen die Cyberkriminellen über den Service Desk den zweiten Faktor zurücksetzen und ein neues Gerät registrieren konnten.

Obwohl sich die Ransomware-Schadprogramme selbst nicht so stark verändert hätten, könne man dies über die Akteure im Hintergrund nicht sagen. In den vergangenen Jahren organisierten sich die Angreifer zu regelrechten kriminellen Firmen mit teilweise zahlreichen Angestellten. Verschiedene Abteilungen kümmern sich um die einzelnen Schritte - von der Zugangsverschaffung über die Malware-Entwicklung bis zum Aufspüren neuer Opfer. "Und es gibt Playbooks, wie man Ransomware ausführt", sagte Wortmann.

Derzeit würden Ransomware-Gruppen eine grössere Fragmentierung erleben. Das bedeute, dass die Gruppen eher klein seien. Eine These der Trend-Micro-Experten dazu ist, dass die Festnahme von grossen Gruppen wie etwa Lockbit zu dieser Fragmentierung geführt habe. "Wenn man zu gross wird, haben die Verfolgungsbehörden eher einen Anhaltspunkt, sich auf wenige Gruppen zu konzentrieren", erklärte Wortmann. "Wenn alle ungefähr gleich gross sind, fällt es den Behörden deutlich schwieriger."

Die künstliche Intelligenz (KI) ist natürlich auch hier ein Thema. Der Einsatz von KI skaliere dieselben Attacken, die man bereits seit Jahren kennt. So können neu auch Personen mit geringeren IT-Fähigkeiten solche Angriffe ausführen. Dies senkt die Einstiegshürde für Ransomware-Gruppen, sodass sie in kürzerer Zeit mehr Opfer attackieren. Aber auch mit KI ist Malware gemäss den Experten noch nicht autonom.

Schritt 1: Das richtige Opfer

Die im Fallbeispiel beschriebene Firma wurde ebenfalls zufällig und nicht zielgerichtet angegriffen. Es handelt sich um eine Firma mit etwa 800 Mitarbeitenden weltweit - die meisten sind aber im DACH-Raum tätig. Zum Zeitpunkt der Attacke nutzte die Firma für gewisse Anwendungen und Daten die Cloud - aber nicht für alles. Ein Security Operations Center (SOC), Detection- und Response-Services oder etwas Vergleichbares hatte das Unternehmen nicht im Einsatz. 

Anhand der Logs des Opfers konnte Trend Micro nicht abschliessend feststellen, wie der Angriff begonnen hatte. Es sah jedoch so aus, als ob es mit Spear-Phishing anfing. Ein Marketing-Mitarbeiter sei der E-Mail zum Opfer gefallen. Über eine falsche Microsoft-Website habe sich der Mitarbeiter Anfang November 2023 mit Username und Passwort eingeloggt. Zwei Monate später fand ein anderes forensisches Unternehmen auf einem Darknet-Marketplace den Zugang zu dieser Firma. 

Das sind die häufigsten Erstzugangs-Techniken. (Source: Screenshot Webinar)

Der Verkäufer war ein sogenannten Initial Access Broker. Sie unternehmen keine aggressiven Attacken auf Unternehmen. Sie verschaffen sich lediglich Zugang zu den Netzwerken von Unternehmen und verkaufen diese an andere Cyberkriminelle. Deshalb können manchmal Monate zwischen dem Erstzugriff und der Datenexfiltration liegen. 

E-Mail-Security ist daher laut Locher eine wichtige Abwehr gegen solche Attacken. Die muss aber einerseits zunächst richtig konfiguriert und andererseits anschliessend ständig konfiguriert werden. So lassen sich Anomalien rechtzeitig identifizieren. BEC - Business E-Mail Compromise - sei hier ein ganz wichtiges Thema. Dabei geben sich Betrüger als vertrauenswürdige Personen wie etwa Vorgesetzte aus, um Gelder oder Daten zu stehlen. Um dies zu verhindern, sollten Unternehmen sich Gedanken dazu machen, welche Rollen worauf Zugriff haben und was nur höheren Berechtigungen vorbehalten ist. Rollen mit höheren Berechtigungen könne man dann entsprechend stärker absichern. Das System soll zudem lernen, wie Personen schreiben, damit es warnen kann, wenn eine E-Mail nicht dem Wortlaut des scheinbaren Absenders entspricht.

Schädliche E-Mails können auch von vertrauenswürdigen Absendern kommen: Als die Angreifer im System ihres Opfers waren, verschickten sie von den offiziellen Adressen Phishing-E-Mails an Tochterfirmen. "Die Opfer werden dafür hergenommen, mit einem seriösen Absender wiederum andere Opfer zu akquirieren", sagte Wortmann.

Um die Mitarbeitenden gegen Social Engineering zu wappnen, empfiehlt Locher Social-Pentesting: Externe Personen erhalten den Auftrag, zu testen, wie weit sie sich Zugang zu der Firma verschaffen können. Dabei geben sie sich beispielsweise als Mitarbeitende aus. 

Das sind die Gegenmassnahmen, um Zugänge durch Angreifer zu verhindern. (Source: Screenshot Webinar)

Ferner sollten Unternehmen die Schwachstellen ihrer Systeme kennen. Insbesondere diejenigen, die dem Internet exponiert sind, brauchen mehr Aufmerksamkeit als ein jährliches Assessment. Betrügerische Websites, wie diejenige, die in diesem Fallbeispiel eingesetzt wurde, sind oft neu registriert und noch nicht kategorisiert. "Wenn man nur die Websites blockiert, die ganz neu oder noch nicht kategorisiert sind, hat man schon einen Grossteil solcher schädlichen Websites abgefangen", erklärte Locher.

Das sind weitere Gegenmassnahmen, um Zugänge durch Angreifer zu verhindern. (Source: Screenshot Webinar)

Schritt 2: Implementierung

Wie Wortmann erläuterte, hatte die Firma die meisten Anwendungen mit MFA abgesichert. Es gab jedoch noch eine öffentlich verfügbare Citrix-VDI-Farm ohne MFA. Da noch alle historischen User Berechtigung auf diesem Citrix-Netzscaler hatten, konnten die Angreifer ohne zweiten Faktor auf das System zugreifen. Anschliessend deaktivierten sie die IT-Security.

"Als Hersteller von Security-Software müssen wir leider sagen, dass es immer irgendwie möglich ist, die Security-Software auf einem Endpunkt zu deaktivieren", sagte Wortmann. "Aber man sollte es diesen Menschen so schwer wie nur irgendwie möglich machen." Und dafür gibt es laut ihm in den allermeisten Fällen - und in diesem Fall ganz klar - Optionen. Ausserdem sollte es Lärm erzeugen, wenn so etwas passiert. Solche Alerts könnten dann beispielsweise von einem SOC aufgeschnappt werden. 

Sind kriminelle Gruppen im Netzwerk drin, schauen sie sich in einem ersten Schritt um. "Sie wollen das Active Directory kompromittieren. Sie wollen möglichst viel Druck auf das Opfer ausüben können", sagte Locher. So würden die Angreifer etwa möglichst wichtige oder möglichst viele Daten verschlüsseln wollen. 

Dieses Herumschnüffeln sollte ebenfalls Lärm erzeugen. Wenn viele seltsame Aktivitäten durch das Sicherheitssystem verzeichnet werden, muss dies einen Alarm generieren. "Nach dem Motto: Viel Kleinmist macht eben auch Grossmist", sagte Locher. Genau das sollte ein Extended-Detection-Response-System in der heutigen Zeit leisten können.

In einem nächsten Schritt versuchen die Angreifer, sich Persistenzen zu verschaffen, für den Fall, dass sie den initialen Zugriff verlieren. Das geschieht laut Wortmann oft über ungeschützte Clients oder Serversysteme. In dem beschriebenen Beispiel breiteten sich die Angreifer auf verschiedenen Clients, unter anderem auf einem Printserver, "der seit eh und je keinen Schutz hatte", aus. 

Ein 7-stelliges reines Passwort könne mit modernen Tools und GPU-Bruteforce in wenigen Minuten oder Stunden geknackt werden, wie Wortmann erklärte. Passwortsicherheit ist also weiterhin wichtig. Zwölf Buchstaben plus Sonderzeichen seien schon relativ schwierig - aber nicht unmöglich - zu cracken. 

Nachdem das Unternehmen die Eindringlinge entdeckte hatte, kam ein neues Problem auf - kein technisches, sondern ein organisatorisches. Es gab nie Konversationen darüber, wer in so einem Fall entscheiden darf oder wann die Firma vom Netz gehen soll, um sich zu schützen. 

Eine Verschlüsselungsnachricht von Angreifern. (Source: Screenshot Webinar)

Die Mitarbeitenden warteten auf den Geschäftsführer - und in der Zwischenzeit wurde bereits ein Teil der Infrastruktur verschlüsselt. Wenn man erkenne, dass ein Angreifer die Shadow Copies - also die vom System erstellten Snapshots - löscht oder dies auch nur versuche, sei dies ein klarer Hinweis darauf, dass jemand den letzten Schritt eines Angriffs vorbereite. "Selbst da hätte man noch eine gewisse Handlungsgewalt", sagte Wortmann.

Im Fallbeispiel dauerte es nach der Incident Response drei Wochen, bis das Unternehmen wieder online war. Der komplette Wiederaufbau der IT dauert aber meistens sechs bis sieben Monate in einem absoluten Notfallbetrieb. "Das wird ganz oft unterschätzt", sagte Wortmann.

Schritt 3: Lessons Learned

Locher nannte danach einige wichtige Barrieren für Angreifer:

• Temper Protection für sicherheitsrelevante Prozesse wie Antivirus
• 24/7-Security-Monitoring mit zentraler Logdatenerfassung, im Idealfall mit SOC-Service im Hintergrund. Logs helfen, zu identifizieren, was wirklich betroffen ist und wie die Angreifer sich Zugang verschafft haben.
• Endpoint Detection & Response (EDR), der bei zu vielen auffälligen Aktionen einen Alarm generiert sowie eine Aktion startet und beispielsweise einen kompromittierten Endpunkt isoliert oder deaktiviert
• Network Detection & Response (NDR), der laterale Bewegungen feststellen kann und Bewegungen von und zu Systemen ohne Agenten erkennt

Der Trend-Micro-Experte hob zudem drei wichtige Punkte hervor. 

• Unternehmen sollten bereits vor einer Attacke einen Incident-Response-Plan definieren. Dieser muss Schritt für Schritt beschreiben, wie man im Falle einer Attacke vorgeht. Dieser Plan sollte auch beinhalten, wer verantwortlich ist und wie es weitergeht, nachdem man das Unternehmen vom Netz genommen hat. 
• Unternehmen sollten Online- und auch Offline-Backups machen. Die Offline-Backups müssen an einem externen Ort gelagert werden, sodass die Angreifer wirklich keinen Zugriff darauf haben. 
• Und Unternehmen sollten Logs sammeln und diese in Echtzeit auswerten, um Anomalien und somit potenziell auch Attacken zu erkennen. 

Die Experten gaben eine Übersicht über die Elemente, die Unternehmen kontinuierlich mittels Tools und Discovery-Massnahmen überwachen sollten. Die Ergebnisse könnten dann in einem Index zusammengeführt werden, der die Schwachstellen im System reflektiert. 

IT-Security ist aber kein Status, den man erreicht und dann hat man die Aufgabe erledigt - Sicherheit ist ein Prozess, an dem man dranbleiben muss. Locher wies Unternehmen darauf hin, dass die im Plan beschriebenen Prozesse immer auf dem aktuellen Stand gehalten werden müssen. Nur so sei man jederzeit bereit für den Ernstfall. 

Hier geht es zur vollständigen Videoaufzeichnung des Webinars.

Der Kenncode lautet: 7B@0@5uU

Und die Slides der Präsentation können Sie hier als PDF herunterladen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.