Wissen ist Macht: Kompendium zum IT-Security-Topthema Ransomware

MalwareQuerbeetSecurity TipsRansomware
ransomware

Sophos hat eine neue Ausgabe in seiner englischsprachigen Reihe der „Playbooks for Defenders“ veröffentlicht. Mit dem Titel „How Ransomware Attacks“ beschreiben die SophosLabs detailliert, wie unterschiedliche Ransomware-Varianten ihre Opfer angreifen und welche Vorsichtsmaßnahmen zum Schutz zu treffen sind. Das Kompendium richtet sich speziell an IT- sowie Security-Fachleute und ist eine Ergänzung zum jüngsten Sophos Threat Report 2020. Analysiert werden elf der gängigsten und beständigsten Ransomware-Familien, darunter Ryuk, BitPaymer und MegaCortex.

Detaillierte Einblicke in die Vorgehensweise der Kriminellen
Im neuesten Playbook for Defenders beschreiben die SophosLabs detailliert, wie Ransomware versucht, unbemerkt an der Security vorbeizuschlüpfen. Meist nutzen die Angreifer dafür vertrauenswürdige und legitime Prozesse, um dann über interne Systeme eine maximale Anzahl von Dateien zu verschlüsseln sowie Backup- und Wiederherstellungsprozesse zu deaktivieren, bevor ein IT-Sicherheitsteam einschreiten kann. Die wichtigsten Kapitel des Kompendiums umfassen:

 Verbreitung: Ransomware wird typischerweise auf eine von drei Arten verteilt: Als Kryptowurm, der sich schnell auf andere Computer repliziert, um eine maximale Wirkung zu erzielen (z.B. WannaCry). Eine weitere Variante ist Ransomware-as-a-Service (RaaS), der verstärkt im Dark Web als Distributions-Kit verkauft wird (z.B. Sodinokibi). Die dritte Art der Verteilung erfolgt mittels eines automatisierten, aktiven gegnerischen Angriffs, bei dem Angreifer die Ransomware nach einem automatisierten Scan von Netzwerken für Systeme mit schwachem Schutz manuell einsetzen.

Kryptographisches Code Signing: Kryptographische Code Signing Ransomware mit einem gekauften oder gestohlenen legitimen Zertifikat versucht Sicherheitssoftware davon zu überzeugen, dass der Code vertrauenswürdig ist und keine Analyse benötigt.

Privilegien: Um Privilegien beziehungsweise Zugriffsrechte zu erhöhen, nutzen Angreifer leicht verfügbare Exploits wie EternalBlue. Auf diese Weise kann der Angreifer Programme wie Remote Access Tools (RATs) installieren, Daten anzeigen, ändern oder löschen sowie neue Konten mit vollen Benutzerrechten erstellen und Sicherheitssoftware deaktivieren.

Bewegung im Netz: Angreifer nutzen die seitliche Bewegung bei ihrer Jagd im Netzwerk nach Datei- und Backup-Servern, um die volle Wirkung des Ransomware-Angriffs zu entfalten. Dabei bleiben sie unter dem Radar, quasi unbemerkt. Innerhalb einer Stunde können Angreifer ein Skript erstellen, um die Ransomware auf vernetzten Endpunkten und Servern zu kopieren und auszuführen.

Fernangriffe: Dateiserver sind oft nicht mit der Ransomware infiziert. Stattdessen läuft die Attacke typischerweise auf einem oder mehreren kompromittierten Endpunkten, wobei ein privilegiertes Benutzerkonto missbraucht wird Der Zugriff kann auch über das Remote Desktop Protocol (RDP) oder via Remote Monitoring and Management (RMM)-Lösungen erfolgen.

Dateiverschlüsselung und Umbenennung: Es existiert eine Reihe von unterschiedlichen Methoden zur Dateiverschlüsselung, einschließlich des einfachen Überschreibens des Dokuments. Die meisten Methoden werden durch das Löschen des Backups oder der Originalkopie ergänzt, um den Wiederherstellungsprozess zu verhindern.

Tipps zum Ransomware-Schutz

  • Überprüfung, ob man über einen vollständigen Bestand aller mit dem Netzwerk verbundenen Geräte verfügt und ob alle Sicherheitssoftware-Lösungen, die man auf diesen Geräten verwendet, auf dem neuesten Stand ist.
  • Installation der neuesten Sicherheitsupdates auf allen Geräten im Netzwerk.
  • Patchen aller Computer gegen die von WannaCry verwendete EternalBlue-Schwachstelle.
  • Regelmäßig Backups der wichtigsten und aktuellsten Daten auf einem Offline-Speicher.
  • Administratoren sollten die Multi-Faktor-Authentifizierung auf allen Managementsystemen aktivieren, um zu verhindern, dass Angreifer Sicherheitsprodukte während eines Angriffs deaktivieren.
  • Die Strategie eines mehrschichtigen Sicherheitsmodells ist die beste Vorgehensweise zur Vorbeugung.
  • Geeignete Security-Lösungen: Sophos Intercept X bietet Schutz für Endgeräte, indem diverse Next-Generation-Technologien kombiniert werden, um Malware-Erkennung, Exploit-Schutz sowie eine Endpoint Detection and Response (EDR) bereitzustellen.

Die vollständigen englischen Dokumente können hier abgerufen werden: Playbook How Ransomware Attacks und How the Most Damaging Ransomware Evades IT Security

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.