Im Jahr nach WannaCry und NotPetya – seinerzeit hielten weltweite Ausbrüche innerhalb von nur Stunden Unternehmen und Medien in Atem – hat Ransomware sich leise weiter entwickelt und kommt heute als zunehmend raffiniertes Angriffszenario auf Unternehmen zu. Die „herangewachsenen“ Ransomware-Attacken zeichnen sich dadurch aus, dass sie individuell, lukrativer und diffiziler zu stoppen sind. Zudem zeigen sie verheerendere Wirkung auf ihre Opfer, als jene Attacken, die auf Email oder Exploits zur Verbreitung setzen. Und die Angriffe sind derart gestaltet, dass sie leicht zu reproduzieren sind.
Der Vorteil gezielter Attacken? Geld. Viel mehr Geld.
WannaCrys Vertrauen auf ein Exploit – gestohlen von der NSA – machte seinen Erfolg schwer zu replizieren. Zugleich hinterließ WannaCry zahllose Kopien seiner Schadsoftware – bereit zur Analyse von Forschung und Sicherheitsfirmen. Das ist Schnee von gestern: Die Kriminellen hinter den neuen gezielten Ransomware-Attacken verlassen sich auf Taktiken, die erfolgreich wiederholt werden können, verwenden Werkzeuge, die sich einfach ersetzen lassen und nutzen Ransomware, die schwer zu untersuchen ist und die eigenen Spuren verwischen kann. Während der Fußabdruck einer solchen gezielten Attacke dabei zwar winzig ist im Vergleich zu einer Spam-Kampagne oder einem Massenangriff, lässt sich hiermit mehr Geld vom Opfer erpressen, als alle WannaCry-Angriffe zusammen.
Die Anatomie eines gezielten Ransomware-Angriffs
Die Spezifikationen einer zielgerichteten Ransomware-Attacke entwickeln sich mit der Zeit, variieren von Hacker-Gruppe zu Hacker-Gruppe und lassen sich an jedes individuelle Ziel anpassen. Nichtsdestotrotz zeigen alle auffallend ähnliche Strukturen.
In einem typisch gezielten Angriff wird ein krimineller Hacker:
- sich mithilfe eines schwach gesetzten RDP (Remote Desktop Protocol) Passwortes Zugang zum System verschaffen.
- Seinen Zugang mit vollen Rechten nutzen, um die Sicherheitssoftware zu umgehen.
- Ransomware zum Laufen bringen und verbreiten, um die Dateien des Opfers zu verschlüsseln.
- Eine Notiz mit Zahlungsaufforderung gegen Befreiung der Daten hinterlassen.
- Auf Antwort des Opfers warten – via Email oder Dark Web-Webseite.
Die Gemeinsamkeit zwischen den Angriffen und den Angreifern selbst ist nicht das Ergebnis von Koordination, sondern von Fokussierung auf die Methode, die verlässlich funktioniert, und den Kriminellen gigantisch hohe Auszahlungen einbringt. Bei SamSam beispielsweise sind 50.000 US-Dollar in Bitcoins eine übliche Summe. Die Analyse von BitPaymer (einer der mysteriösesten und am höchsten entwickelten Ransomware) enthüllt alleine im letzten Monat ein „Einkommen“ von mindestens 1 Million US-Dollar.
Die Übereinstimmung erstreckt sich hierbei sogar bis in Details wie „Heute Spezialangebot“: während die Lösegeldzahlungen signifikant variieren, eröffnen die Angreifer von Dharma (auch bekannt als Crysis), SamSam und BitPaymer ihren Opfern die Möglichkeit, ein oder zwei Dateien kostenlos zu dechiffrieren. Ein Beleg der Hacker ähnlich dem „Lebendbeweis“ tatsächlicher Kidnapper.
Was ist zum eigenen Schutz zu tun?
„Auch wenn die Angreifer immer skrupelloser und die Attacken immer diffiziler werden, gilt heute genau wie gestern und in Zukunft: bevor man mit Sondertools um die Ecke kommt und wild alles durcheinander installiert: Schaffen Sie sich eine solide Grundlage, achten Sie auf regelmäßige Aktualisierungen und dann stocken Sie auf, wo es für Ihre Bedürfnisse nötig ist“, empfiehlt Michael Veit, Security Evangelist Sophos.
Im Einzelnen bedeutet das:
- RDP verschließen und einem strikten Patching-Protocol für das eigene Betriebssystem und die laufenden Programme folgen.
- Ein Mehrschichtiges Sicherheitssystem verwenden, das es dem Angreifer schwierig macht, alle Hürden zu überwinden.
- Ein gut segmentiertes Netzwerk mit nach Notwendigkeit eingerichteten Rechten (Gäste, die das W-Lan zu Besuch nutzen, benötigen keine Admin-Rechte, es reicht ein einfacher Gast-Account) aufbauen
- Regelmäßige Back-ups auf externen Systemen durchführen.
Weitere Tipps enthält der Guide „How to defend yourself against SamSam ransomware“. Die hier gegebenen Anregungen lassen sich für alle Arten von gezielten Attacken verwenden.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de