Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Ransomware-Angriffe – Unvorbereitete Unternehmen zahlen hohen Preis

By:
Gérard Bauer
October 25, 2016

Großer Schaden und hohe Verluste durch Ransomware: Was mit unzähligen und scheinbar willkürlichen Attacken auf Privatnutzer begann, ist inzwischen zu einer ernstzunehmenden Bedrohung für die Wirtschaft geworden. Cyberkriminelle nehmen bei ihren Angriffen immer häufiger Unternehmen und Organisationen ins Visier, um große Lösegeldsummen von den Geschädigten zu erbeuten – und keine Branche ist immun dagegen. Die Gründe dafür sind vielfältig.

Noch nie war es für Hacker so einfach wie mithilfe von Ransomware, die Datenbestände anderer schnell und einfach zu Geld zu machen. Zugleich ist das Risiko gesunken, überhaupt erwischt zu werden. Auch sind keine komplexen kriminellen Netzwerke erforderlich, um im Extremfall ganze Wirtschaftszeige durch Ransomware lahmzulegen. Was Angreifer lediglich tun müssen: Daten verschlüsseln, die für Unternehmen existenziellen Wert haben, und für deren Freigabe ein Lösegeld erpressen – ganz ohne Mittelsmänner und Komplizen.

Zwar versprechen einige Hersteller klassischer IT-Sicherheitslösungen Schutz vor bekannten Ransomware-Varianten wie Locky, TeslaCrypt oder CBT-Locker. Allerdings äußern sich viele Experten in diesem Punkt kritisch. Warum? Die größten Herausforderungen, die sich für die IT-Sicherheit rund um das Thema Ransomware stellen, beginnen bereits damit, die tückische Schadsoftware rechtzeitig im eigenen Netzwerk aufzuspüren.

Schritt für Schritt in die Tiefen fremder Netzwerke

Grundsätzlich gibt es verschiedene Wege, auf denen Ransomware in ein Firmennetzwerk gelangen kann, um seine schadhafte Wirkung zu entfalten. Entscheidend ist dabei oftmals, welche Sicherheitshürden zu überwinden sind. Während die frühen Varianten der Schadsoftware aufgrund unzureichender Abwehrsysteme oftmals unbehelligt den Haupteingang passieren konnten, setzen ihre modernen Nachfolger vermehrt auf die Nebeneingänge. Als potenzielles Risiko im Kontext des Konzepts „Bring Your Own Device“ (BYOD) gelten beispielsweise mobile Endgeräte, die Mitarbeiter am Wochenende außerhalb des Firmennetzwerks privat nutzen und zu Wochenbeginn wieder mit dem Firmennetzwerk verbinden. In dieser Situation besteht erhöhte Gefahr für einen Malware-Befall und erhöhter Bedarf nach einer effektiven IT-Sicherheitslösung, die den erforderlichen Schutz für die vorhandenen Datenbestände gewährleistet. Eine noch größere Gefahr geht von Phishing-Versuchen via E-Mail aus, die auf beruflich genutzte Mail-Accounts geschickt werden. Oft verlinken diese auf vermeintlich vertrauenswürdige oder harmlos wirkende Websites und Anzeigen, wobei sie tatsächlich verdeckte Angriffe ausführen. Vor diesem Hintergrundbedarf es umfangreicher Benutzerschulungen und Trainings sowie eines besonders umsichtigen Verhaltens in puncto IT Security.

Allerdings steht im Sicherheitskonzept vieler Unternehmen die Prävention am Netzwerkperimeter im Fokus, wodurch sich die Problematik noch weiter verschärft, falls es Schadsoftware tatsächlich gelingt, die Eintrittsbarrieren zu überwinden. Denn wer als Angreifer einmal durch eine Sicherheitslücke geschlüpft ist, kann so lange Schaden anrichten, bis der Angriff entdeckt und das Ausmaß bilanziert sind. Sobald die Ransomware in ein Netzwerk eingedrungen und aktiv geworden ist, verbindet sie sich mit dem Server und erhält einen Verschlüsselungs-Key. Das ist genau jener Schlüssel, den die Hacker ihren Opfern später gegen das gezahlte Lösegeld aushändigen. Nachdem also die Serververbindung zustande gekommen und der Code erstellt worden sind, beginnt die Schadsoftware damit, nach Dateien zu suchen und möglichst viele innerhalb kürzester Zeit zu verschlüsseln: Daten, Verzeichnisse, Laufwerke und andere Zugänge. Mehr noch: Oftmals ist dieser Vorgang bereits in vollem Gange, noch bevor die IT Security-Teams wirksam einschreiten und die Verschlüsselung während der aktiven Angriffsphase stoppen können. Als Konsequenz geraten die zuständigen IT-Sicherheitsteams und Netzwerkadministratoren unter Druck, die rasant fortschreitende Verschlüsselung von Dokumenten im Netzwerk umgehend zu unterbinden.

Um die richtigen Konsequenzen aus erfolgreichen Ransonware-Angriffen der Vergangenheit zu ziehen, hat beispielsweise Microsoft den Verlauf einer großen Angriffswelle durch eine Ransonware-Variante namens Samas im Detail analysiert. Bei der Rekonstruktion der Wege, die sich Samas durch die Netzwerke großer US-Unternehmen gebahnt hatte, wurde deutlich, dass die Software mit einem ausgeprägten Verständnis für die Praxis von File Sharing und Datenspeicherung zu Werke gegangen war. Einmal ins Netzwerk gelangt, ermittelte das Programm zielsicher Schwachstellen im Netzwerk. Sobald ein günstiges Ziel identifiziert war, richtete die Schadsoftware einen Tunnel ein, über den der Angreifer schrittweise die volle Kontrolle über das Netzwerk gewann. Still und leise konnten so aus der Deckung heraus Nutzerdaten gefunden und gekapert sowie weitere Ransomware-Dateien gestreut werden.

Am diesem Punkt war die Attacke jedoch längst noch nicht beendet. Noch vor Beginn der eigentlichen Verschlüsselung drang Samas immer weiter in die Tiefen des Netzwerks vor und löschte dabei sämtliche auffindbaren Backup-Dateien. Eine zentrale Erkenntnis, die sich für IT-Sicherheitsexperten aus der Analyse ergab: Im Fall von Samas zeichnet sich ein allgemeines Angriffsmuster ab, das viele Ransomware-Varianten an den Tag legen. Mithilfe von Command-and-Control, Reconnaissance oder Lateral Movement-Techniken durchsetzen sie die Netzwerkstrukturen effektiv, bevor sie in einem letzten Schritt die zentralen Datenbestände identifizieren, verschlüsseln und somit die Grundlage schaffen, um hohe Lösegeldsummen vom betroffenen Unternehmen zu erpressen.

Sicherheit durch Canary-Files und smarte Daten-Backups

Angesichts einer derart verdeckt operierenden Gefahrenquelle kommt der Reaktionsfähigkeit innerhalb des Sicherheitskonzepts eine tragende Rolle zu – zum Beispiel durch sogenannte Canary-Files-Abwehrmaßnahmen. Diese spezielle Art von Frühwarnsystem beruht darauf, dass Dateien in sogenannten Canary-Files abgelegt werden. Hierbei handelt es sich um Ordner, die keinerlei relevante Information enthalten. Stattdessen werden sie ununterbrochen auf Aktivitäten geprüft, die typisch für Ransomware sind. Wenn sich innerhalb dieser Umgebung ein Versuch abzeichnet, Dateien zu erstellen oder zu löschen, werden die Zugangsdaten des attackierten Nutzers umgehend gesperrt. Alternativ kann eine Abwehr darin bestehen, dass der Host-Computer vom Firmennetzwerk getrennt wird, falls das betroffene Unternehmen eine Form der Netzzugangskontrolle (NAC) nutzt. Einige aktuelle Ransomware-Varianten durchsuchen Daten und ganze Netzwerke in alphabetischer und entgegengesetzter Reihenfolge. Als Schutzmaßnahme bewährt es sich daher immer wieder, die ersten und letzten Laufwerke beginnend mit den Buchstaben A, B, Z oder Y als Canary-Files in das Netzwerk einzubinden. Allerdings sollte diese Art des Umgangs mit Ransomware nicht darüber hinwegtäuschen, dass es für eine einhundertprozentige Abwehr eigentlich zu spät ist, wenn die Verschlüsselung bereits begonnen hat. Auf der sicheren Seite ist derjenige, der die Malware erkennt, bevor sie Dateien verschlüsselt. Eine Voraussetzung, um Netzwerke abzusichern, bildet ein zuverlässiges Backup- und Wiederherstellungssystem. Das umfasst Hot Backups, Cold Storage sowie cloudbasierte Backups mit Versionskontrolle. Für sämtliche Ansätze, die IT-Sicherheitsteams dabei unterstützen, eine potenzielle Bedrohung durch Ransomware zu unterbinden, bietet der Lösungsansatz von Vectra Networks den erforderlichen Funktionsumfang. Vectra setzt auf effektive Frühwarnsysteme, die verdächtige Aktivitäten im Netzwerk wie beispielsweise Verschlüsselungen mittels Command-and-Control in Echtzeit aufspüren, anfällige Bereiche regelmäßig und umfassend scannen und typische Verhaltensmuster sämtlicher Ransomware-Varianten mithilfe automatisierter Analyse enttarnen noch bevor ein größerer Schaden entstehen kann.

Stabile Verhältnisse durch Verhaltensanalyse

Angesichts der komplexen Bedrohungslage durch Ransomware gilt es für Unternehmen, den Cyberkriminellen immer einen Schritt voraus zu sein. Eine Option dafür bietet der Echtzeitschutz für Netzwerke durch Verhaltensanalyse. Denn sie versetzt IT-Sicherheitsteams in die Lage, typische Aktivitäten vor der eigentlichen Ransomware-Attacke oder eine gerade stattfindende Verschlüsselung zu identifizieren und darauf hinzuweisen. Der kritische Faktor ist in jedem Fall die Zeit, die benötigt wird, um effektiv einzuschreiten. Unternehmen, die ihre IT-Abteilung mit den passenden Tools ausstatten, gewinnen genau diese Zeit und somit die Sicherheit zurück, nicht einfach von außen attackiert, gekapert und erpresst werden zu können.

Wollen Sie mehr über Ransomware lesen und wie man sich dagegen schützen kann? Dann laden Sie sich das Whitepaper: "Überleben in der Ransomware-Pandemie" herunter.

About the author

Gérard Bauer

Gerard Bauer is the vice president of EMEA sales at Vectra. Previously, he held several sales leadership roles at Riverbed Technology over a seven-year period, most recently as regional vice president for Southern Europe. Gerard has a proven track record in jumpstarting new regions and growing revenues in mature markets. Before Riverbed, Gerard held key sales leadership roles at NetApp including director of Eastern Europe, where he established new markets that fueled revenue growth for the company. He holds a diploma in business administration from Ludwig Maximilians University in Munich.

Author profile and blog posts

Most recent blog posts from the same author

Breach

Algorithmen als Schlüssel effektiver Hackerangriff-Erkennung

February 15, 2016
Read blog post
Breach

Hat Sandboxing als Hacker-Abwehr ausgedient?

April 18, 2016
Read blog post
Infrastructure

BGP-Piraten: “… und dieser Traffic geht nach Russland!“

December 20, 2017
Read blog post