Nicht wirklich überraschend reihen sich die Schlagzeilen über groß angelegte Ransomwareattacken in immer kürzeren Abständen aneinander. Jüngstes Beispiel ist der Angriff auf den Pipline-Betreiber Colonial durch einen Ableger des Ransomware-as-a-Service-Rings DarkSide, der in diesem Jahr bisher für mindestens 60 bekannte Fälle, darunter mehrere im NASDAQ gelistete Konzere, von Doppelerpressung verantwortlich war.
Und auch die Bedrohung von Unternehmen, die kritische Infrastrukturen bedienen, ist nicht neu. Im vergangenen Februar wurde eine in den USA ansässige Erdgasanlage für zwei Tage durch einen Ransomware-Angriff geschlossen, DarkSide selbst schlug Anfang dieses Jahres bei einem brasilianischen Energieunternehmen zu. Das Sophos Rapid Response Team war ebenfalls in Untersuchungen in Zusammenhang mit DarkSide-Attacken involviert und hat interessante Einsichten in die über die seit letztem Sommer besonders aktive Ransomware-Hackergruppe.
DarkSide tritt in die prominenten Fußstapfen von großen Ransomware-Betreibern wie REvil, Maze und LockBit, die mit sogenannter doppelter Erpressung Geld machen. Dabei werden Geschäftsdaten nicht nur verschlüsselt, sondern zuvor wichtige Dateien abgezogen und mit deren Veröffentlichung gedroht, wenn nicht gezahlt wird. Bei dieser Bedrohung sind auch Back-ups im Gegensatz zur „normalen“ Verschlüsselung machtlos. Das Ergebnis sind extrem hohe Lösegeldzahlung und auch DarkSide ist hier keine Ausnahme. In einem Fall, an dem Sophos Rapid Response letztes Jahr gearbeitet hatte, verlangte der Erpresserring 4 Millionen US-Dollar (die unbezahlt blieben). Über dieses Geschäftsmodell hinaus folgt DarkSide im Allgemeinen denselben Taktiken, Techniken und Verfahren wie viele andere gezielte Ransomware-Kampagnen – die Gruppe nutzt eine Mischung aus nativen Windows-Funktionen, Standard-Malware (einschließlich SystemBC) und handelsüblichen System- und Exploit-Tools wie z.B. Cobalt Strike.
Diese Strategie ist teilweise auf das Affiliate-Modell von DarkSide zurückzuführen. Die DarkSide-Schöpfer haben den anfänglichen Kompromiss zwischen dem Kompromittieren von potenziellen Zielen und der Ransomare-„Auslieferung“ an andere Hackergruppen ausgelagert, die sich auf Netzwerkpenetration spezialisiert haben und damit den „Kundendienst“ für DarkSide übernehmen. Diese Partner haben wahrscheinlich bereits Erfahrung mit anderen Ransomware-Syndikaten, was die Verwendung bekannter Tools erklärt. Wie genau die Angreifer dabei vorgehen, erklären die Experten vom Sophos Rapid Response Team in ihrem aktuellen „DarkSide-Report“.
Um einen bestmöglichen Schutz gegen solche Attacken aufzubauen, empfiehlt Sophos-Security-Experte Chet Wisniewski, sich bei der Bedrohungsanalyse von außen nach innen vorzuarbeiten und dabei wie ein Angreifer zu denken:
- Analysieren Sie alle öffentlich zugänglichen Unternehmensstrukturen, stellen Sie sicher, dass sie gepatcht sind und für jeden Remotezugriff eine Multi-Faktor-Authentifizierung erforderlich ist. Wichtig ist außerdem, dass das DMZ vom LAN isoliert ist und die Server so eingerichtet sind, das PowerShells und nicht autorisierte Binärdateien (RClone usw.) nicht ausgeführt werden können sowie Patches in möglichst kurzer Zeit, idealerweise in weniger als fünf Tagen, eingespielt werden.
- Stellen Sie sicher, dass auf allen im Netzwerk befindlichen Geräten ein erweiterter Endpoint-Schutz installiert ist, das gilt insbesondere für Server. Die meisten aktuellen Attacken geben sich nicht mit Desktop-PCs oder Laptops ab, sondern konzentrieren sie sich auf Server, da diese am seltensten rechtzeitig gepatcht werden und oftmals keine richtigen Sicherheitstools installiert haben.
- Überwachen Sie alle Protokolle und Sensoren auf anomale Aktivitäten und untersuchen Sie Warnungen oder verdächtige Aktivitäten auf ihre Ursache, auch wenn diese noch so klein erscheinen. Ohne die menschliche Wachsamkeit ist jede Serverwarnung im besten Fall eine Kompromisslösung in Sachen Sicherheit.