Steigende Gefahr durch Ransomware
Unablehnbare Angebote
Fortsetzung des Artikels von Teil 1
Arbeitsteilung und Kartellbildung
„Ransomware steht unter einem großen Evolutionsdruck, weil viele Unternehmen inzwischen glücklicherweise tragfähige Disaster-Recovery-Konzepte haben“, sagt Carsten Hoffmann von Forcepoint. Vor diesem Hintergrund ist zunehmende Arbeitsteilung ein weiterer Trend der Ransomware-Szene: Seit 2016 hat „Ransomware as a Service“ Verbreitung gefunden. Dadurch „konnten die Entwickler wieder das tun, was sie am besten können, nämlich neue Ransomware-Varianten erstellen, und der Infektionsprozess wurde an verschiedene kriminelle Einheiten ausgelagert, die für den Zugriff auf die neuesten Builds bezahlen“, erläutert Forcepoint-Experte Robert Neumann. Diese Arbeitsteilung beschleunigte zugleich die Professionalisierung: „Die Zeiten schwacher Verschlüsselung sind längst vorbei“, sagtNeumann, „und die meisten modernen Ransomware-Familien verwenden jetzt ein gemeinsames Schema, das aus einem schnellen symmetrischen Verschlüsselungsalgorithmus besteht, dessen Schlüssel durch einen sicheren asymmetrischen geschützt ist. Dies stellt sicher, dass sich, sobald Schattenkopien gelöscht und Inhalte verschlüsselt sind, keine Dateien in angemessener Zeit ohne den richtigen Schlüssel wiederherstellen lassen.“
Zur raschen Professionalisierung hat auch beigetragen, dass die Ransomware-Entwickler in puncto Handwerkszeug aus dem Vollen schöpfen können. Kriminelle haben, wie zum Beispiel Trend Micro betont, nicht nur eine Fülle frei zugänglicher Pentesting-Tools wie Mimikatz und BloodHound zur Verfügung, sondern auch Zugriff auf Angriffswerkzeuge wie etwa EternalBlue der NSA, einst von der Hackergruppe The Shadow Brokers in Umlauf gebracht. Zeitgleich zur Aufrüstung des Waffenarsenals hat die Ransomware-Szene auch ihr Geschäftsmodell erweitert: Einige Erpresserbanden exfiltrieren inzwischen Datenbestände vor der Verschlüsselung und drohen dann mit deren Veröffentlichung („Doxxing“): „Während in den Vorjahren Ransomware-Angreifer nur selten durch Exfiltration von Daten auffielen, war 2020 eine Verbreitung von Ransomware mit Datenleck-Erpressungstaktiken durch mehrere eCrime-Gruppen zu beobachten“, berichtet Crowdstrike.
Diese „Zwei zum Preis von einer“-Erpressung per Exfiltration und Verschlüsselung gibt es laut Crowdstrike-Report seit Mai 2019, doch im Laufe des Jahres 2020 habe das Vorgehen enorm Fahrt aufgenommen. Angreifergruppen haben laut den Forschern im Darknet dedizierte Data-Leak-Sites eingerichtet, wo sie die Interna zum Kauf anbieten. Andere Angreifer wiederum nutzen laut Neumann gekaperte Facebook-Accounts, um ihre Opfer via Facebook-Ads bloßzustellen und so zu Lösegeldzahlungen zu animieren. Das Vorgehen: Man veröffentlicht zunächst weniger sensible Daten, nur um zu zeigen, dass man es kann; mit der Zeit steigt dann die Kritikalität der unerwünschten Veröffentlichungen. Eine Nichtzahlung endet mit Verkauf oder Versteigerung der Interna. Manche Ransomware-Akteure exfiltrieren dabei laut Crowdstrike „nur“ ein paar GByte Daten, andere hingegen entwenden Hunderte GByte. Die Security-Forscher berichten zudem, dass die Angreifer Mitarbeitern der Opferorganisation sogar auch telefonisch nachstellen, um sie zur Kooperation zu drängen. Oder man nutzt entwendete Credentials für weitere Schadaktionen, um auf diese Weise den Druck zu erhöhen. Eine weitere Spielart: Die Kriminellen drohen mit einem DDoS-Angriff (Distributed Denial of Service), wenn das Unternehmen nicht zahlt. Auch dies kann – gerade für kleinere Unternehmen ohne DDoS-Abwehrinfrastruktur – eine existenzielle Bedrohung darstellen.
Während manche Angreifergruppen Ransomware as a Service für Erpressungen nach dem Prinzip „Kleinvieh macht auch Mist“ nutzen, investieren andere also inzwischen enorm in von langer Hand vorbereitete Angriffe. Schließlich müssen die Kriminellen dabei das in aller Regel gut geschützte Ziel zunächst infiltrieren (beispielsweise mittels Spear-Phishing oder Zero-Day), dann dessen Netzwerk nach kritischen Datenbeständen durchforsten (Reconnaissance), mittels Privileg-Eskalation Zugriff auf die Server erlangen, die Daten – mitunter an Überwachungslösungen vorbei – auf eigene Server überspielen (Exfiltration), um dann erst die Datenpools zu verschlüsseln. Und im Nachfeld gilt es auch noch, die erbeuteten Schätze zu sichten und für die Doxxing-Dramaturgie zu arrangieren. Den hier betriebenen Aufwand der Kriminellen – und die Expertise, die dahinter steckt – kannte man bislang eher von APT-Gruppen (Advanced Persistent Threat) aus dem „regierungsnahen“ Umfeld. Aber das eine schließt das andere ja nicht aus.
Ein weiterer Aspekt, der die Lage verschärft, sollte dem Connaisseur von Mafia-Epen italo-amerikanischer Bauart ebenfalls bekannt vorkommen: Familien schließen sich zu Kartellen zusammen. „Im Juni 2020 wurde das selbsternannte ,Maze-Kartell’ gegründet, als [die Ransomware-Gruppen] Twisted Spider, Viking Spider und die Betreiber der LockBit-Ransomware offenbar eine Vereinbarung zur geschäftlichen Zusammenarbeit trafen“, berichtet Crowd-strike. So seien Leaks, die mit Viking Spiders Ransomware RagnarLocker in Verbindung standen, auf Twisted Spiders Leak-Site erschienen, während Maze begonnen habe, Ransomware mittels Virtualisierungssoftware auszubringen. Diese Taktik gehe auf Viking Spider zurück. (Maze kündigte Ende 2020 an, man löse die Gruppe auf; Forscher gehen aber davon aus, dass die Gruppe unter dem Namen Egregor weiter tätig ist.)
- Unablehnbare Angebote
- Arbeitsteilung und Kartellbildung
- Gegenmaßnahmen
Lesen Sie mehr zum Thema
