Ransomware
Keinen hohen Preis bezahlen
Fortsetzung des Artikels von Teil 1
Perimeterschutz ist nicht alles
llerdings steht im Sicherheitskonzept vieler Unternehmen die Prävention am Netzwerkperimeter im Fokus, wodurch sich die Problematik noch weiter verschärft, falls es Schadsoftware tatsächlich gelingt, die Eintrittsbarrieren zu überwinden. Denn wer als Angreifer einmal durch eine Sicherheitslücke ge-schlüpft ist, kann so lange Schaden anrichten, bis der Angriff entdeckt und das Ausmaß bilanziert wurde. Sobald die Ransomware in ein Netzwerk eingedrungen und aktiv geworden ist, verbindet sie sich mit dem Server und erhält einen Verschlüsselungs-Key. Das ist genau jener Schlüssel, den die Hacker ihren Opfern später gegen das gezahlte Lösegeld aushändigen. Nachdem also die Serververbindung zustande gekommen und der Code erstellt worden ist, beginnt die Schadsoftware damit, nach Dateien zu suchen und möglichst viele innerhalb kürzester Zeit zu verschlüsseln: Daten, Verzeichnisse, Laufwerke und andere Zugänge. Mehr noch: Oftmals ist dieser Vorgang bereits in vollem Gange, noch bevor die IT-Security-Teams wirksam einschreiten und die Verschlüsselung während der aktiven Angriffsphase stoppen können. Als Konsequenz geraten die zuständigen IT-Sicherheitsteams und Netzwerkadministratoren unter Druck, die rasant fortschreitende Verschlüsselung von Dokumenten im Netzwerk umgehend zu unterbinden.
Um die richtigen Konsequenzen aus erfolgreichen Ransomware-Angriffen der Vergangenheit zu ziehen, hat beispielsweise Microsoft den Verlauf einer großen Angriffswelle durch eine Ransomware-Variante namens „Samas“ im Detail analysiert. Bei der Rekonstruktion der Wege, die sich Samas durch die Netzwerke großer US-Unternehmen gebahnt hatte, wurde deutlich, dass die Software mit einem ausgeprägten Verständnis für die Praxis von File Sharing und Datenspeicherung zu Werke gegangen war. Einmal ins Netzwerk gelangt, ermittelte das Programm zielsicher Schwachstellen im Netzwerk. Sobald ein günstiges Ziel identifiziert war, richtete die Schadsoftware einen Tunnel ein, über den der Angreifer schrittweise die volle Kontrolle über das Netzwerk gewann. Still und leise konnten so aus der Deckung heraus Nutzerdaten gefunden und gekapert sowie weitere Ransomware-Dateien gestreut werden.
An diesem Punkt war die Attacke jedoch längst noch nicht beendet. Noch vor Beginn der eigentlichen Verschlüsselung drang Samas immer weiter in die Tiefen des Netzwerks vor und löschte dabei sämtliche auffindbaren Backup-Dateien. Eine zentrale Erkenntnis, die sich für IT-Sicherheitsexperten aus der Analyse ergab: Im Fall von Samas zeichnet sich ein allgemeines Angriffsmuster ab, das viele Ransomware-Varianten an den Tag legen. Mithilfe von Command-and-Control, Reconnaissance oder Lateral Movement-Techniken durchsetzen sie die Netzwerkstrukturen effektiv, bevor sie in einem letzten Schritt die zentralen Datenbestände identifizieren, verschlüsseln und somit die Grundlage schaffen, um hohe Lösegeldsummen vom betroffenen Unternehmen zu erpressen.
Frühwarnsysteme schaffen Reaktionszeit
Angesichts einer derart verdeckt operierenden Gefahrenquelle kommt der Reaktionsfähigkeit innerhalb des Sicherheitskonzepts eine tragende Rolle zu – zum Beispiel durch sogenannte Canary-Files-Abwehrmaßnahmen. Diese spezielle Art von Frühwarnsystem beruht darauf, dass Dateien in sogenannten Canary-Files abgelegt werden. Hierbei handelt es sich um Ordner, die keinerlei relevante Information enthalten. Stattdessen werden sie ununterbrochen auf Aktivitäten geprüft, die typisch für Ransomware sind. Wenn sich innerhalb dieser Umgebung ein Versuch abzeichnet, Dateien zu erstellen oder zu löschen, werden die Zugangsdaten des attackierten Nutzers umgehend gesperrt. Alternativ kann eine Abwehr darin bestehen, dass der Host-Computer vom Firmennetzwerk getrennt wird, falls das betroffene Unternehmen eine Form der Netzzugangskontrolle (NAC) nutzt. Einige aktuelle Ransomware-Varianten durchsuchen Daten und ganze Netzwerke in alphabetischer und entgegengesetzter Reihenfolge.
Als Schutzmaßnahme bewährt es sich daher immer wieder, die ersten und letzten Laufwerke beginnend mit den Buchstaben A, B, Z oder Y als Canary-Files in das Netzwerk einzubinden. Allerdings sollte diese Art des Umgangs mit Ransomware nicht darüber hinwegtäuschen, dass es für eine einhundertprozentige Abwehr eigentlich zu spät ist, wenn die Verschlüsselung bereits begonnen hat. Auf der sicheren Seite ist derjenige, der die Malware erkennt, bevor sie Dateien verschlüsselt. Eine Voraussetzung, um Netzwerke abzusichern, bildet ein zuverlässiges Backup- und Wiederherstellungssystem. Das umfasst Hot Backups, Cold Storage sowie cloudbasierte Backups mit Versionskontrolle.
Angesichts der komplexen Bedrohungslage durch Ransomware gilt es für Unternehmen, den Cyberkriminellen immer einen Schritt voraus zu sein. Eine Option dafür bietet der Echtzeitschutz für Netzwerke durch Verhaltensanalyse. Denn sie versetzt IT-Sicherheitsteams in die Lage, typische Aktivitäten vor der eigentlichen Ransomware-Attacke oder eine gerade stattfindende Verschlüsselung zu identifizieren und darauf hinzuweisen. Der kritische Faktor ist in jedem Fall die Zeit, die benötigt wird, um effektiv einzuschreiten. Unternehmen, die ihre IT-Abteilung mit den passenden Tools ausstatten, gewinnen genau diese Zeit und somit die Sicherheit zurück, nicht einfach von außen attackiert, gekapert und erpresst werden zu können.
Gérard Bauer ist Vice President EMEA bei Vectra Networks
- Keinen hohen Preis bezahlen
- Perimeterschutz ist nicht alles
- Ransomware Crashkurs
Lesen Sie mehr zum Thema
