Blog - article

Neue Ransomware zielt auf Unternehmen

By:
Angela Heindl-Schober
May 13, 2016

Wenn Sie als Spezialist für Informationssicherheit arbeiten, verbringen Sie wahrscheinlich einen beträchtlichen Teil Ihrer Zeit mit dem Kampf gegen Ransomware. In einem bereits veröffentlichten Beitrag haben wir uns mit den grundlegenden Aspekten und den wirtschaftlichen Bedingungen befasst, die hinter dem Aufstieg dieser besonderen Art von Malware stehen. Das Wichtigste daraus in Kürze: Es geht dabei im Kern um Profitabilität, denn Ransomware benötigt kein komplexes Ökosystem, damit gestohlene Informationen zu Geld gemacht werden können. Außerdem ist praktisch jede Art von Daten für diese Angriffsform leichte Beute.

Während frühe Versionen von Ransomware noch auf einzelne Computernutzer zielten, entwickelt sich das Angriffsmodell nun rapide weiter: Es wurde erfolgreich für Attacken gegen Unternehmen adaptiert. Damit hat sich im wörtlichen Sinne der Einsatz erhöht, denn wenn Daten auch gegen Ransomware geschützt werden müssen, zieht dies tiefgreifende Änderungen an den aktuellen Security Best Practices nach sich.

Ransomware trifft APT

Ransomware kombiniert mit APT (Advanced Persistent Threats) – für Cybersecurity-Spezialisten hört sich das vielleicht nach einem Monster-Film aus den 50ern an. Unglücklicherweise wird dieser Horror aber bereits Wirklichkeit. Neue Untersuchungen von Microsoft über die Ransomware-Familie “Samas” (auch als “MSIL“ bekannt) lassen bereits deutlich zielgerichtetere und beharrlichere Vorgehensweisen von Erpressern gegen Unternehmen erkennen.

Eine Samas-Operation beginnt damit, dass Kriminelle mit einem ganz gewöhnlichen Vulnerability-Scannern nach potenziellen Opfern suchen. Sobald sie eines ausgemacht haben, wird es interessanter. Die Angreifer machen sich dann ein Tunneling-Tool namens reGeorg zunutze. Sie benutzen den Tunnel, um mit seiner Hilfe verschiedenste Software im attackierten Netz auszuführen und sich so eine möglichst breite Basis für einen strategischen Einsatz von Ransomware zu verschaffen.

Waren sie mit diesen ersten Zugriffsschritten erfolgreich, fangen die Angreifer von bereits kompromittierten Maschinen Credentials ab, um noch tiefer ins Netz des Opfers vordringen zu können. Daraufhin verbreiten sie Malware auf immer mehr Systemen, wozu sie das altbekannte Windows-Internals-Tool „PsExec“ einsetzen.

In diesem Stadium nimmt das Vorgehen eine noch heimtückischere Wendung, denn im nächsten Schritt scannen die Angreifer das Netzwerk und die kompromittierten Geräte nach Sicherheitskopien. Finden sie Backup-Dateien, löschen sie diese, noch bevor sie mit der Verschlüsselung von Informationen beginnen.

Die Verteidigung anpassen

Die Weiterentwicklung der Ransomware vom Niveau einfacher Malware hin zu gezielteren und hartnäckigeren Attacken hat erhebliche Auswirkungen darauf, wie Sicherheitsteams Maßnahmen zur Schadensminderung planen sollten. Traditionell war ein solider Backup-Plan ein Dreh- und Angelpunkt im Kampf gegen Ransomware. Wer die von Kriminellen verschlüsselten Daten einfach aus Backups ersetzen kann, gegen den haben Möchtegern-Erpesser keine Handhabe.

Mit Samas aber machen sich die Angreifer nun die Mühe, schon vor der Verschlüsselung Backups aufzuspüren und zu zerstören. Derzeit scheint diese Strategie noch auf lokale Sicherheitskopien beschränkt zu sein, aber sie ließe sich auch auf Backups in der Cloud ausdehnen. Jene Credentials nämlich, die die Kriminellen in anderen Angriffsphasen an sich bringen und nutzen, verschaffen ihnen möglicherweise auch den Zugang zu externen Datenspeichern.

Gut ist allerdings, dass diese komplexen Angriffsmodelle den Sicherheitsteams auch reichlich Gelegenheit bieten, die Bedrohungen zu erkennen, noch bevor Schaden entsteht. Nach außen gerichtete Tunnel wie die von reGeorg sind die Basis für allerlei Remote-Unfug, der durchaus auffällt, wenn man weiß, worauf man zu achten hat. Auch der Missbrauch von Credentials und die interne Verbreitung von Malware hinterlassen Spuren auffälligen Verhaltens, die ein internes Traffic-Monitoring erfassen kann.

In dieser Hinsicht ist Ransomware gegen Unternehmen eine neue Erscheinungsform eines Trends, der von anderen Bedrohungen her schon bekannt ist. Threats starten oft als Massenphänomene, die sich gegen so viele Opfer wie möglich richten, damit die Cyber-Kriminellen Geld en gros abschöpfen können. Wenn die kriminellen Techniken dann heranreifen und schließlich auch auf Unternehmen zielen, sehen sich die Angreifer genötigt, mit größerer Geduld und Beharrlichkeit vorzugehen, um innerhalb der Organisationen Informationen von besonders hohem Wert ausfindig zu machen.

Ob die Daten nun gestohlen oder zwecks Erpressung verschlüsselt werden sollen – der Fokus auf kritische Informationen und Systeme bleibt dabei derselbe. Es überrascht nicht, dass Ransomware die gleichen Evolutionsschritte durchmacht wie andere Bedrohungen. Am Ende mag Zerstörung statt Diebstahl stehen, aber die strategische Grundlage ist gleich.

Dies wiederum ist von Vorteil, denn es bedeutet, dass auf beide Fälle auch die gleichen Abwehrstrategien anwendbar sind. Die Kriminellen werden weiterhin durch die Vordertür eindringen, aber wer auf die Spuren ihres Vorrückens achtet, kann sie rechtzeitig stoppen – noch bevor Schaden entsteht.

Lesen Sie auch:Ransomware: A Formidable Enterprise Threat

About the author

Angela Heindl-Schober

Angela Heindl-Schober is EMEA Director Field & Channel Marketing at Vectra Networks with 19 years of experience in the IT and technology-focused marketing of US IT companies.

Most recent blog posts from the same author

Artificial intelligence

Insider Threats: Spotting “the Inside Job“

December 14, 2015
Read blog post
Cybersecurity

Wie Cyber-Kriminelle in Unternehmensnetzen Angriffe vorantreiben

June 22, 2017
Read blog post
Cybersecurity

Schwachstelle Rechenzentrum: Virtuelle Umgebungen forcieren Datenklau

December 19, 2016
Read blog post