Beginnen wir mit der guten Nachricht.
Strafverfolgungsbeh?rden auf der ganzen Welt haben ihre Bem¨¹hungen verst?rkt, Ransomware-Betreiber ausfindig zu machen, zu stoppen und zu verhaften sowie Darknet-Marktpl?tze, Kryptow?hrungs-Mixer und Tumbler lahmzulegen, die Bedrohungsakteuren bei der Geldw?sche helfen. Au?erdem haben Regierungen und Organisationen eine neue Widerstandsf?higkeit gegen die Zahlung von L?segeldern gezeigt. So k¨¹ndigte das Wei?e Haus vor Kurzem eine Allianz von 40?L?ndern an, die sich dazu verpflichten, niemals L?segeld zu zahlen. J¨¹ngste Berichte der Blockchain-Analysefirma Chainalysis zeigen, dass der Prozentsatz der von den Opferorganisationen gezahlten L?segelder tats?chlich zur¨¹ckgeht. All dies macht Ransomware zu einem gef?hrlicheren und weniger lukrativen Unterfangen f¨¹r Cyberkriminelle, was bedeutet, dass die H?ufigkeit von Ransomware eigentlich r¨¹ckl?ufig sein sollte.
Dies ist die schlechte Nachricht.
Nach Angaben von IBM handelt es sich bei fast einem Viertel aller Cyberangriffe inzwischen um Ransomware-Angriffe. Die durchschnittliche L?segeldforderung im Zusammenhang mit Vorf?llen, die von Arctic Wolf? Incident Response 2023 untersucht wurden, stieg auf 600.000?USD?¨C ein Anstieg von 20?% gegen¨¹ber dem Vorjahreswert von 500.000?USD.
Noch schlimmer ist, dass die oben genannten Bem¨¹hungen die Bedrohungsakteure nicht abschrecken, sondern sie eher zu Innovationen anregen. Modelle doppelter und dreifacher Erpressung sind eher die Regel als die Ausnahme. Nach Angaben des FBI haben einige Gruppen, die fr¨¹her nicht bereit waren, wertvolle Ziele wie Krankenh?user oder Kernkraftwerke anzugreifen, nun ?ffentlich verk¨¹ndet, dass diese nun legitime Ziele seien.
Laut Arctic Wolf Labs in ihrem 2024 Threats Report: “Wie das Sprichwort sagt, ist kein Tier gef?hrlicher, als wenn es in die Enge getrieben wird, und im Moment f¨¹hlen sich die Ransomware-Gruppen in die Enge getrieben. F¨¹r das Jahr 2024 erwarten wir noch h?here L?segeldforderungen, h?rtere Verhandlungen, aggressivere Rufmordversuche und ein weiteres Experimentieren mit neuen Taktiken.¡°
Angesichts der exponentiellen Zunahme von Ransomware-Angriffen und neuer Innovationen, die die Cyber-Bedrohungslandschaft gef?hrlicher denn je machen, stellt sich die Frage, wie Unternehmen sicher bleiben k?nnen. Die Antwort liegt in besseren Funktionen zur Erkennung von und Reaktion auf Bedrohungen, mit denen Sie einen Ransomware-Angriff richtig erkennen und stoppen k?nnen.
Wie Ransomware-Angriffe beginnen
In der Vergangenheit hat man sich zu sehr darauf verlassen, dass Firewalls, Intrusion Detection-Systeme und andere Perimeter-Schutzma?nahmen Ransomware stoppen k?nnen. Die Vorstellung, die B?sewichte an den Toren zu halten, ist verlockend, aber in der modernen Cybersicherheitswelt von Cloud-Umgebungen, identit?tsbasierten Anwendungen und hybriden Netzwerken ist dies auch ein Wunschtraum. Unternehmen m¨¹ssen nach einem neuen Weg suchen, denn der Versuch, Ransomware und andere Malware an den Netzwerkgrenzen zu stoppen, wird niemals ausreichen.
Wenn ein Unternehmen wirklich auf den Kampf gegen die Gei?el Ransomware vorbereitet sein will, muss es verstehen, wie diese Angriffe beginnen und wie Bedrohungsakteure den ersten Zugang zu seiner Umgebung erhalten. In den letzten Jahren hat die ¨¹berw?ltigende Mehrheit der Ransomware-Angriffe auf eine von zwei Arten begonnen:
Offenlegung von Schwachstellen
Von Arctic Wolf Labs analysierten Daten zufolge verschafften sich Angreifer in mehr als zwei Dritteln der von uns beobachteten Ransomware-F?lle Erstzugriff auf Umgebungen durch ?ffentliche Zug?nglichkeit, d.?h. ¨¹ber ein System, das wissentlich oder versehentlich mit dem ?ffentlichen Internet verbunden ist. Im Jahr 2023 nutzten Bedrohungsakteure in 39 % der F?lle externen Fernzugriff, w?hrend andere Formen externer Angriffe, einschlie?lich bekannter Schwachstellen und Zero-Days, 29 % ausmachten.
Bei externen Fernzugriffen handelt es sich in der Regel um identit?tsbasierte Angriffe, die darauf abzielen, das Identit?ts- und Zugriffsverwaltungssystem (Identity and Access Management, IAM) eines Unternehmens zu kompromittieren, also die Kontrolle und ?berwachung der Benutzeridentit?ten und -zugriffe innerhalb eines Systems oder Netzwerks zu erlangen. Externe Fernzugriffsangriffe k?nnen verschiedene Formen annehmen, darunter:
- Kompromittierung von Servern mit dem Remote Desktop Protocol (RDP)
- Kompromittierung von Servern mit Microsoft Active Directory
- Verwendung g¨¹ltiger Zugangsdaten, die von einem Initial Access Broker (IAB) auf einem Dark-Web-Marktplatz erworben wurden
Bei externen Exploits hingegen wird entweder eine bekannte Schwachstelle oder eine Zero-Day-Schwachstelle ausgenutzt, um Zugang zu einer Umgebung zu erhalten. W?hrend Zero-Days in den Schlagzeilen sind, machen sie nur einen kleinen Prozentsatz der F?lle aus – nur 3,4 % der von Arctic Wolf untersuchten Nicht-BEC-Vorf?lle. Das wahre Risiko liegt in der bekannten, ungepatchten Schwachstelle.
Laut dem Arctic Wolf Labs Threats Report?2024 wurde bei mehr als einem Viertel der von uns untersuchten Nicht-BEC-Vorf?lle (BEC = Business Email Compromise), von denen die ¨¹berwiegende Mehrheit Ransomware war, eine bekannte (d.?h. keine Zero-Day-)Schwachstelle ausgenutzt. Theoretisch h?tte ein effektives Patching-Programm den Angriff entsch?rfen oder zumindest den Angreifer zu einem anderen Vorgehen zwingen k?nnen.
Benutzeraktionen
Obwohl der Anteil der Angriffe geringer ist, machen Benutzeraktionen immer noch fast ein Viertel der urspr¨¹nglichen Zugangsvektoren aller Ransomware-Angriffe aus. Benutzeraktionen sind genau das, wonach es klingt: wenn einer Ihrer Mitarbeiter einen einzigen Fehler macht, der Ihr Unternehmen gef?hrdet. Das kann vom Besuch einer b?sartigen Website bis hin zum ?ffnen einer mit Fallen versehenen Datei in einer Phishing-E-Mail reichen, die es dem Bedrohungsakteur erm?glicht, sich Zugang zu Ihrer Umgebung zu verschaffen. Das Team von Arctic Wolf Labs hat vier Hauptwege identifiziert, auf denen Benutzeraktionen zu einem Ransomware-Angriff f¨¹hren k?nnen:
- Phishing
Ein Benutzer klickt auf einen b?sartigen Link und wird dazu verleitet, Anmeldedaten weiterzugeben oder einen b?sartigen Anhang in einer E-Mail herunterzuladen und auszuf¨¹hren. - Zuvor kompromittierte Anmeldeinformationen
Der Angreifer verwendet Anmeldedaten, die bekannterma?en Teil eines Datenschutzversto?es oder Credential-Dumping-Angriffs waren, aber vom betroffenen Unternehmen noch nicht deaktiviert wurden (d.?h. keine Benutzeraktion). - Herunterladen von b?sartiger Software
Ein Benutzer wird Opfer eines Drive-by-Angriffs oder einer heruntergeladenen Software mit versteckten b?sartigen Funktionen. - Andere Social-Engineering-Angriffe
Ein Benutzer wird durch einen Betrug des technischen Supports oder einen anderen Social-Engineering-Angriff neben Phishing get?uscht.
Die Absicherung Ihrer Umgebung zum Schutz vor Ransomware vor allen Arten von Cyberangriffen zahlt sich aus, da die gleichen Angriffsvektoren f¨¹r den Erstzugriff bei vielen anderen Formen von Cyberangriffen verwendet werden, einschlie?lich BEC und Malware.
Wie sich Ransomware-Angriffe verbreiten
Sobald sich ein Bedrohungsakteur einen ersten Zugang zu Ihrer Umgebung verschafft hat, beginnt er sofort mit der n?chsten Phase seines Angriffs: der ?seitlichen Bewegung¡°.
Seitliche Bewegungen sind Taktiken, die Bedrohungsakteure anwenden, um in verschiedene Teile des Systems oder tiefer in das System einzudringen, um Daten zu blockieren und/oder zu exfiltrieren und ihren Ransomware-Angriff durchzuf¨¹hren.
Die seitliche Bewegung ist eine weitaus fortgeschrittenere Technik, bei der es darauf ankommt, Sicherheitsl?sungen zu umgehen, indem man schnell umschwenkt und mehrere Wege nutzt, um zum Ziel zu gelangen. Ransomware dringt in der Regel ¨¹ber ein einzelnes kompromittiertes System ein (z. B. einen Benutzerendpunkt wie einen Desktop oder einen ungesch¨¹tzten Server mit Internetanschluss). Sie sendet dann eine Nachricht an einen Command-and-Control-Server (C2-Server), der sie anweist, bestimmte Dateitypen zu verschl¨¹sseln, die sensible Gesch?ftsdaten enthalten k?nnen. Sobald dieser Prozess in Gang gesetzt ist, ist alles m?glich. Im Folgenden finden Sie einige g?ngige Techniken der seitlichen Bewegung, die von Bedrohungsakteuren bei Ransomware-Angriffen eingesetzt werden, um das C2-Stadium zu erreichen.
Pass-the-Hash
Wenn ein Benutzer in einer Windows-Umgebung ein Passwort erstellt, wird es gehasht und an einem von mehreren Orten gespeichert, z.?B. in Active Directory. Bei dieser Technik der seitlichen Bewegung durchsucht der Angreifer den aktiven Speicher, um den Passwort-Hash eines Benutzers zu stehlen und ihn zur Authentifizierung durch das System zu leiten, wodurch im Grunde eine neue Benutzersitzung im selben Netzwerk erstellt wird.
Dateilose Malware
Selbst Unternehmen, die sorgf?ltig Firewalls der n?chsten Generation und Whitelists f¨¹r Anwendungen einsetzen, entgehen diese ?Zero Footprint¡°-Angriffe, da sie nie auf der Festplatte landen, sondern im Arbeitsspeicher eines Systems abgelegt werden, wodurch sie schwer zu erkennen sind und sich schnell und weit verbreiten k?nnen. PowerShell wird h?ufig verwendet, um Code in eine aktuell ausgef¨¹hrte Datei einzuschleusen, so dass die Malware innerhalb eines als gut bekannten Prozesses ausgef¨¹hrt wird. Oder der Code kann direkt in den Speicher geladen und von dort aus ausgef¨¹hrt werden. Typisch f¨¹r die Persistenz ist, dass der Persistenzmechanismus in der Registrierung enthalten ist, die dann beim Start ¨¹ber einen Dienst ausgef¨¹hrt wird, sodass kein Bestandteil der Malware jemals in einer Datei gespeichert wird, um die Erkennung durch Antivirus-Software zu vermeiden.
Kerberoasting
Kerberos ist ein Authentifizierungsdienstprotokoll in Windows-Umgebungen. Es soll Benutzer und Ger?te mit geheimen Schl¨¹sseln anstelle von Klartextpassw?rtern sch¨¹tzen und nutzt verschl¨¹sselte Tickets, die zur Verifizierung zwischen Benutzer und Authentifizierungsdienst ¨¹bermittelt werden. Beim Kerberoasting, das auch als Pass-the-Ticket bezeichnet wird, stiehlt der Angreifer eines dieser Tickets und entschl¨¹sselt es mithilfe spezieller Hacking-Tools, um das Passwort des Benutzers offenzulegen und Zugriff auf das Benutzerkonto zu erhalten.
Wie ein Ransomware-Angriff in der realen Welt aussieht
Die Experten unserer Triage Security- und Incident Response-Teams verf¨¹gen ¨¹ber umfangreiche Erfahrungen bei der Reaktion auf Ransomware-Angriffe und deren Abwehr. So k?nnen sie ein klares Bild davon zeichnen, wie ein typischer Ransomware-Angriff ablaufen kann:
Schritt 1
Der Bedrohungsakteur sendet eine Phishing-E-Mail an einen Benutzer. Der Benutzer ?ffnet die E-Mail und klickt auf den b?sartigen Link, wodurch die an die E-Mail angeh?ngte Malware ausgef¨¹hrt wird.
Schritt 2
Die Malware nimmt Kontakt mit dem C2-Server des Angreifers auf, kopiert Code in den Arbeitsspeicher und f¨¹hrt ihn aus.
Schritt 3
Die Malware bleibt in der Umgebung ¨¹ber einen legitimen Dienst bestehen, der nun einen in einem Registrierungsschl¨¹ssel versteckten Code ausf¨¹hrt (dateilose Malware).
Schritt 4
Der Angreifer entnimmt die Hashes per LSASS-Dump (Zugriff auf Anmeldeinformationen) aus dem Systemspeicher. Mithilfe des Hashs f¨¹r ein Administratorkonto, das von einem IT-Mitarbeiter verwendet wird, erstellt der Angreifer dann ein gef?lschtes Kerberos-Ticket, um den Hash des Unternehmensadministrators zu erhalten.
Schritt 5
Der Angreifer nutzt den Hash des Unternehmensadministratorkontos unter Verwendung von Pass-the-Hash (seitliche Bewegung), um einen DCSync-Angriff durchzuf¨¹hren (zur Rechteerweiterung). Ein DCSync-Angriff gibt sich als Dom?nencontroller aus – Server, die in Microsoft-Umgebungen verwendet werden, um Netzwerksicherheitsanforderungen aus dem gesamten Netzwerk zu authentifizieren. In diesem Fall gew?hrt der DCSync-Angriff dem Bedrohungsakteur Zugriff auf die gehashten Passw?rter aller Benutzer in der Dom?ne. Von diesem Punkt an haben sie vollen Zugriff auf die Umgebung und k?nnen ihre Ransomware einsetzen.
Wie man einen Ransomware-Angriff erkennt und stoppt
Wenn die L?segeldforderung auf den Bildschirmen in Ihrem Unternehmen erscheint, ist es bereits zu sp?t, den Angriff zu stoppen. Die ordnungsgem??e Erkennung und Eind?mmung eines Ransomware-Angriffs muss weiter oben in der Kill Chain beginnen.
Stufe 1: Erster Zugang
Um einen Ransomware-Angriff in diesem Stadium zu verhindern, m¨¹ssen Sie sich vor allem um Ihr Cybersecurity-Grundger¨¹st k¨¹mmern.
- Benutzerschulung: Ein Schulungsprogramm zur St?rkung des Sicherheitsbewusstseins, das auf h?ufige Ber¨¹hrungspunkte, aktuelle Themen und schamfreie Phishing-Simulationen eingeht, kann Ihre Mitarbeiter darauf vorbereiten, Social-Engineering-Angriffe wie Phishing zu erkennen und zu neutralisieren, sodass Fehler bei Benutzeraktionen in Ihrem Unternehmen drastisch reduziert werden und Angreifer sich gar nicht erst Zugriff verschaffen k?nnen.
- Schwachstellen-Management: Proaktives Risikomanagement durch Patchen und Behebung bekannter Schwachstellen kann Ihre Angriffsfl?che verkleinern und es f¨¹r Bedrohungsakteure schwieriger machen, einen gangbaren Weg in Ihre Umgebung zu finden.
- Ganzheitliche Sichtbarkeit: Ein Mangel an Sichtbarkeit erm?glicht es Ransomware-Angriffen, unbemerkt zu bleiben und Unternehmen erheblichen Schaden zuzuf¨¹gen. Die ?berwachung von Protokollen ist entscheidend, um Angriffe im Fr¨¹hstadium zu erkennen. Dazu geh?ren Protokolle von Intrusion-Detection-Systemen (IDS), Network-Detection-and-Response-Systemen (NDR), Endpoint-Detection-and-Response-L?sungen (EDR), Firewalls, Identity-and-Access-Management-Systemen (IAM), E-Mail-Diensten (z. B. zur ?berwachung von Zugriffs?nderungen und zur Erstellung von Filterregeln) und Cloud-Diensten, die die Umgebung Ihres Unternehmens ¨¹ber Ihre eigene Infrastruktur hinaus erweitern.
- Identit?tskontrollen: Der Faktor Identit?t hat sich zu einem wichtigen Teilbereich der modernen Cybersecurity entwickelt. Aus dem Data Breach Investigations Report?2023 von Verizon geht hervor, dass 74?% aller Datenschutzverst??e auf menschliches Versagen zur¨¹ckzuf¨¹hren sind, das hei?t, dass Menschen entweder durch Fehler, Missbrauch von Berechtigungen, Social Engineering oder gestohlene Zugangsdaten involviert sind, wobei die letzten drei direkt das Management (und Fehlmanagement) von Benutzeridentit?ten beinhalten. Angreifer sind geschickt darin, Anmeldeinformationen aufzusp¨¹ren und zu nutzen, mit denen sie sich dann bei Diensten anmelden und unbemerkt in den IT-Umgebungen ihrer Opfer bewegen k?nnen. Die Multi-Faktor-Authentifizierung ist ein wirksames Mittel zur Abwehr von Angriffen. So kann eine wirksame MFA beispielsweise dazu beitragen, die ?bernahme von Konten zu verhindern, die einigen Ransomware-Angriffen zugrunde liegt.
Sehen Sie einen Erstzugriff in unserer Ransomware-Zeitleiste an.
Stufe 2: Seitliche Bewegung
Wenn Bedrohungsakteure in Ihre Umgebung eindringen und sich einen ersten Zugang verschaffen k?nnen, z?hlt jede Sekunde. In diesem Stadium ist es wichtig, dass Sie ungew?hnliche Aktivit?ten schnell erkennen und darauf reagieren k?nnen, bevor sie Schaden anrichten k?nnen.
Managed Detection and Response
Hier ist eine 24×7-?berwachung, Erkennung und Reaktion durch geschultes Sicherheitspersonal entscheidend. Ohne die M?glichkeit, Ihre gesamte Umgebung – Endger?te, Netzwerk und Cloud – in Echtzeit zu ¨¹berwachen, sind Bedrohungsakteure im Vorteil.
Viele Sicherheitsteams greifen auf Tools zur¨¹ck, die sie bei dieser ?berwachung unterst¨¹tzen. Leider ist die ´¡±ô²¹°ù³¾³¾¨¹»å¾±²µ°ì±ð¾±³Ù ein weit verbreitetes Problem, das auf die vielen Fehlalarme zur¨¹ckzuf¨¹hren ist, die von diesen vorhandenen Sicherheitstools ausgel?st werden. Auch wenn k¨¹nstliche Intelligenz (KI) und maschinelles Lernen (ML) dabei helfen k?nnen, das Signal vom Rauschen zu trennen, ist menschliches Fachwissen nach wie vor unerl?sslich, um die verwertbaren Alarme aus dem Haufen herauszuheben.
Je mehr Tools ein Unternehmen hinzuf¨¹gt, desto mehr wird die unkontrollierte Verbreitung von Tools zu einem Problem. W?hrend Malware mit bekannten Signaturen von diesen Perimeter-Schutzma?nahmen erfasst wird, l?sen neue Malware-St?mme oder verd?chtiger Dateiverkehr m?glicherweise keinen Alarm aus, wenn die Tools nicht aktualisiert wurden. T?glich kann es Milliarden von Netzereignissen und Tausende von potenziell sch?dlichen Warnmeldungen geben. Unternehmen ben?tigen eine zentrale Plattform, um diese Warnungen aufzunehmen und mithilfe menschlicher Experten ¨¹bergreifend zu korrelieren und so entscheiden zu k?nnen, welche davon untersucht werden sollten.
Hier kommt die Bedrohungserkennung und -abwehr (Managed Detection and Response) ins Spiel. Die besten L?sungen arbeiten mit Ihrem vorhandenen Technologie-Stack zusammen, um Assets zu erkennen, Profile zu erstellen sowie Daten und Sicherheitsereignisse aus verschiedenen Quellen zu sammeln und so einen umfassenden Einblick, eine Rund-um-die-Uhr-?berwachung und die Erkennung komplexer Bedrohungen zu erm?glichen.
Incident Response
Die Reaktion auf Ransomware-Vorf?lle nimmt viele verschiedene Formen an, je nachdem, zu welchem Zeitpunkt das Team eingeschaltet wird. Ein guter IR-Anbieter kann sich um alles k¨¹mmern, von der Eind?mmung des Angriffs und dem Aussperren des Bedrohungsakteurs bis hin zur Wiederherstellung der Systeme und sogar Verhandlungen mit dem Bedrohungsakteur.
Ein Incident-Response-Plan f¨¹r Ransomware sollte jedoch mehr als nur die Schritte umfassen, die unmittelbar nach einem Angriff unternommen werden. Er sollte auch die Beseitigung der Ursache der Kompromittierung beinhalten, um k¨¹nftigen Missbrauch zu verhindern, eine gr¨¹ndliche Analyse der forensischen Ergebnisse gemeinsam mit Ihrem IR-Team, um Ihr Sicherheitsniveau gegen weitere Angriffe zu verbessern, und eine zus?tzliche ?berwachung gegen erneute Eindringversuche nach der Sicherheitsverletzung.
Incident Response wird von einer Vielzahl von Unternehmen angeboten, die jeweils eine Reihe von Diensten direkt f¨¹r Unternehmen oder ¨¹ber Cyber-Versicherungstr?ger anbieten. Achten Sie darauf, dass Sie einen Full-Service-Anbieter ausw?hlen, der ¨¹ber das n?tige Fachwissen verf¨¹gt, um umfassende digitale Forensik, Datenwiederherstellungsdienste und Erfahrung mit Ransomware anzubieten. Nur Full-Service-Anbieter beseitigen den Zugang des Angreifers zur Umgebung, analysieren die Ursache und das Ausma? des Angriffs und stellen den normalen Gesch?ftsbetrieb vor dem Vorfall wieder her.
Erfahren Sie, wie Concierge Security?-Experten im Rahmen des branchenf¨¹hrenden Security Operations Triage-Workflows von Arctic Wolf einen Ransomware-Angriff auf eine lokale Regierungsorganisation untersuchten, eskalierten und behoben.
