Threat Research

Cyberangriffe: Mit guter Vorbereitung ist die Schlacht schon halb gewonnen

Cybersecurity konzentriert sich hauptsächlich auf die Prävention. Und das geht am besten, wenn durch Lernen aus Vorfällen und von den Opfern solcher Attacken. Dennoch passiert es Unternehmen immer wieder, dass sie attackiert werden und die Folgen der Angriffe tragen müssen. In einem solchen Fall geht es darum, den Schaden zu minimieren und so viel wie möglich aus den bekannten Erfahrungen schon betroffener Organisationen zu lernen. Der folgende Artikel mit Empfehlungen für den Umgang mit Ransomware-Attacken gilt gleichermaßen für viele andere Arten von Sicherheitsverletzungen, etwa den Befall durch Coinminer oder Industriespionage.

Mit einem Plan ist viel gewonnen
Einen Plan für die Reaktion auf einen Vorfall (Incident Response, IR) zu haben, ist wichtig. Damit legt das IT-Security-Team die Maßnahmen fest, die im Falle einer Sicherheitsverletzung oder einem Angriff greifen müssen. Folgende Fragestellungen sind die Grundlage für einen IR-Plan:

  • Wie schwerwiegend ist der Vorfall?
  • Wo befinden sich die kritischen Systeme und wie sind sie zu isolieren?
  • Wie und mit wem soll kommuniziert werden?
  • Wer ist zu kontaktieren und welche Maßnahmen sind zu ergreifen?
  • Was ist mit den Sicherheitskopien?

Dabei sollte ein IR-Plan einfach und überschaubar sein, damit er in einer Situation mit hohem Druck leicht zu befolgen ist. Und es ist wichtig, dem verantwortlichen Team zu vertrauen, dass es selbstständig denkt und agiert. Das SANS Incident Handler’s Handbook und der Incident Response Guide von Sophos können bei der Planerstellung sehr hilfreich sein. Beide enthalten ausführliche Abschnitte zur Vorbereitung.

Hilfe anfordern
Bevor es nach einem Angriff darum geht, Computer und Systeme neu anzulegen oder wiederherzustellen oder gar ein Lösegeld auszuhandeln, sollten Unternehmen geeignete Hilfe anfragen. Die Reaktion auf Angriffe erfordert spezielle Fähigkeiten, und die meisten Unternehmen beschäftigen keine Incident-Response-Spezialisten für einen Vorfall, von dem jeder hofft, dass er nie eintritt. Ein vorausschauender Plan beinhaltet auch die Kontaktdaten von mehreren IR-Dienstleistern. Gleich mehrere Kontakte deswegen, weil die Kapazitäten der IR-Spezialisten bei häufigen oder groß angelegten Angriffen sehr schnell an die Grenzen stoßen kann. Wenn sich der Angriff gegen Server und Endgeräte richtet, z.B. bei einem Ransomware-Vorfall, sollte zunächst der Anbieter für die Endpoint-Sicherheit kontaktiert wenden, insbesondere wenn dieser einen IR-Dienst anbietet. Er verfügt wahrscheinlich über Telemetriedaten der betroffenen Umgebung und hat Zugang zu vorinstallierten Tools wie EDR/XDR, mit denen er schnell helfen kann. Übrigens: die überwiegende Mehrheit der Sicherheitsverletzungen sind auf Fehler von Menschen oder Prozessen zurückzuführen und nicht auf die Sicherheitstechnologie.

Hilfe ausweiten
In jedem Fall ist es ratsam, sich an die örtlichen Strafverfolgungsbehörden zu wenden. Mit hoher Wahrscheinlich ist mit dem Vorfall ein Verbrechen begangen worden, und möglicherweise verfügen die entsprechenden Behörden über hilfreiche Ressourcen. Selbstverständlich muss der Vorfall auch bei der Versicherungsgesellschaft für Cybersicherheit angemeldet werden, sofern eine Versicherung besteht. Im Falle einer Zusammenarbeit mit einem Technologieanbieter oder Systemintegrator kann dieser möglicherweise bei der Wiederherstellung helfen, z.B. bei den Backups.

Isolieren und eindämmen
Hier gibt es keine allgemeingültige Empfehlung, außer dass der Vorfall so gut wie möglich isoliert und eingedämmt werden sollte. Dazu gehört auch das Ausschalten der Stromversorgung, das Trennen der Internetverbindung und das Trennen der Netzwerkkabel, eine softwarebasierte Isolierung, die Anwendung von Deny-All-Firewall-Regeln und das Herunterfahren kritischer Systeme. Sollte ein noch funktionsfähiger Domänencontroller zur Verfügung stehen, gilt es, diesen wenn möglich zu erhalten, indem man den Server herunterfährt und/oder vom Netz trennt. Auch Backups sollten isoliert und vom Netzwerk getrennt sein. Darüber hinaus gilt es alle mutmaßlich kompromittierten Kennwörter zu ändern und die Konten zurückzusetzen.

Wichtig beim Einsatz von Incident-Response-Diensten, die größtenteils über das Internet erbracht werden, ist die Beratung darüber, wie betroffene Systeme und Verbindungen wieder in Betrieb genommen werden können. Sobald ein Anzeichen von Ransomware bemerkt wird, ist der Angriff in der Regel bereits abgeschlossen. Es ist jedoch wichtig, die Bedrohungsakteure vor Beginn der Wiederherstellungsarbeiten auszuschalten, damit sie nicht erneut zuschlagen können.

Kein Lösegeld zahlen
Zwar klingt die Zahlung des Lösegelds nach einem „einfachen“ Ausweg, ermutigt die Kriminellen aber zu weiteren kriminellen Taten. Außerdem sind die Zeiten, in denen das Lösegeld 500 Euro für den Entschlüsselungs-Code beträgt längst vorbei: Der Sophos State of Ransomware Report 2021 zeigt, dass mittelständische Unternehmen im vergangenen Jahr durchschnittlich 147.000 Euro Lösegeld gezahlt haben. Die Angreifer suchen zudem nach kritischen Daten, exfiltrieren diese, um sie im Darknet zu verkaufen, löschen Backups und verschlüsseln dann die Daten. Die Sophos-Studie ergab, dass nur 65 Prozent der verschlüsselten Daten nach einer Lösegeldzahlung wiederhergestellt werden konnten und mehr als ein Drittel der Daten trotzdem verloren war.

Ransomware hat, wie jede Software, Fehler und Schwachstellen. Und auch die Kriminellen die hinter der Schadware stehen, können schlechte Tage haben. Dies kann zwar gelegentlich zum Vorteil des Opfers sein, erschwert jedoch in aller Regel die Entschlüsselung der Daten. Außerdem verschwinden Ransomware-Banden plötzlich und tauchen unter neuem Namen wieder auf. Im schlimmsten Fall haben die Opfer überhaupt keinen Zugang zu einem Entschlüsselungs-Code. Zudem ist die gesetzliche Lage bei Lösegeldzahlungen weltweit unterschiedlich. Es ist deshalb ratsam, sich über etwaige Gesetze in dem Land (oder den Ländern) zu informieren, in dem eine Organisation tätig ist.

Beweise aufbewahren
Allzu oft passiert es, dass Opfer von Attacken hauptsächlich damit beschäftigt sind, ihre Systeme und Dienste so schnell wie möglich wiederherzustellen. Dabei gehen viele Informationen verloren, die dabei helfen würden, die Ursache zu ermitteln und das Ausmaß der Sicherheitsverletzung zu verstehen. Ein gutes Beispiel ist die Lösegeldforderung: Selbst wenn keine Absicht besteht, zu zahlen oder den Gegner zu kontaktieren, ist die Nachricht der Angreifer aus forensischer Sicht interessant. Dieser kann einem Incident-Response-Team Aufschluss darüber geben, mit wem sie es zu tun hat und welche Taktiken diese Gruppe üblicherweise anwendet. Sie könnte sogar einen ganz neuen Stamm von Ransomware und die verwendeten Taktiken, Techniken und Verfahren (TTPs) offenbaren.

Ein weiteres interessantes Element zur Analyse ist natürlich die Ransomware- oder Malware selbst. Der Industriestandard sieht vor, dass diese in eine Archivdatei mit dem Kennwort “virus” oder “infected” eingefügt und an einem sicheren Ort aufbewahrt werden. Die passwortgeschützte .zip-Datei kann bei Bedarf sicher an Analysten weitergegeben werden. Mit einem Reverse-Engineering kann der Modus Operandi ermittelt werden, was den Einsatzkräften und Ermittlern hilft, die Suche nach dem Schaden einzugrenzen.

Auch die Aufbewahrung der Images von Systemen und virtuellen Maschinen ist wichtig. Um wichtige Beweise im Falle einer Gerichtsverhandlung vorlegen zu können, sollten alle forensischen Beweise verschlüsselt gespeichert und der SHA256-Wert zum Zeitpunkt der Erfassung aufgezeichnet sein. So können Unternehmen auch im Falle einer gerichtlichen Prüfung von Versicherungsansprüchen Beweise vorlegen oder gegenüber einer staatlichen Stelle nachweisen, dass sie nicht gegen Offenlegungsvorschriften verstoßen haben.

Gegner und Vergeltung
In vielen Fällen stecken mehrere Gruppen hinter einem Ransomware-Angriff. Gruppe eins verschafft sich möglicherweise den ursprünglichen Zugang. Sie verkauft den Zugang an Gruppe zwei. Gruppe zwei nutzt den Ransomware-as-a-Service von Gruppe drei, um den Angriff auszuführen. Die verschiedenen Gruppen und Gruppenmitglieder sind oft über viele Länder verteilt. Es ist schwierig, den Einbruch einer einzelnen Partei zuzuordnen und das Wissen wird zudem im Chaos nach einer Attacke nicht viel helfen. Mit den Informationen aus der Lösegeldforderung und den Gemeinsamkeiten in den Taktiken, Techniken und Verfahren (TTPs) kann ein erfahrenes Incident-Response-Team in der Regel sehr schnell erkennen, mit wem sie es zu tun haben. Vom Versuch der Vergeltung, dem so genannten „Hack Back”, wird hingegen dringend abgeraten. Er ist wahrscheinlich von vornherein illegal und kann die Situation nur noch verschlimmern.

Die Rolle der Cyberversicherung
Bei einem Cyberangriff, der durch eine Cyberversicherung abgedeckt ist, wird ein Schadensregulierer der Versicherungsgesellschaft zunächst einen externen Rechtsbeistand beauftragen. Dieser organisiert interne und externe Ressourcen und koordiniert die Aktivitäten bis zur Behebung des Vorfalls. Bei einem Ransomware-Angriff umfassen diese Service-Aktivitäten in der Regel Folgendes:

  • Festlegung von Rollen und Zuständigkeiten, Ermittlung des Ausmaßes beziehungsweise der Auswirkungen, Festlegung von Kommunikationspräferenzen
  • Untersuchung und Analyse der aktiven Bedrohung, Schadensbegrenzung, Identifizierung von Indikatoren für die Gefährdung (Indicators of Compromise, IoC)
  • Falls erforderlich, die Ernennung eines Spezialisten, der bei der Handhabung und Verhandlung der Lösegeldforderung berät
  • Bei Bedarf die Ernennung eines Spezialisten, der über die Art des Datenzugriffs, der Exfiltration und der Wiederherstellung berät. Ermittlung der kostengünstigsten Methode zur Wiederherstellung der Daten (Lösegeldzahlung, Entschlüsselung, Backups usw.)
  • Durchführung von Präventivmaßnahmen, Zugriffseliminierung für die Angreifer, Festlegung eines Zeitplans für den Vorfall
  • Erstellung eines Abschlussberichts, der den Status der Umgebung, die Ursachenanalyse, die Art des Angriffs und die identifizierten Taktiken, Techniken und Verfahren der Bedrohungsakteure enthält.

Die meisten Versicherungsgesellschaften verfügen über eine „Anbieterauswahl“ von Spezialisten für jede der oben genannten Aktivitäten. Aber es lohnt sich, beim Abschluss einer Versicherung im Voraus zu klären, welche Aktivitäten und welche spezialisierten Anbieter im Falle eines Cyberangriffs abgedeckt sind. Die meisten Cyber-Versicherungen akzeptieren die Nutzung bereits bestehender Dienstleister – dennoch sollte die Kompatibilität anderer Anbieter und Dienstleister im Voraus sichergestellt sein. Denn der Austausch zwischen Sicherheitsexperten während eines Vorfalls verursacht sowohl zusätzliche Arbeit als auch ein Sicherheitsrisiko. Beispielsweise verhindert die vorhandene Lösung oft die Eskalation des Angriffs und sollte daher nicht entfernt werden.

Kommunikation aufrechterhalten
Die Kommunikation wird durch Cyberangriffe oft schwer beeinträchtigt. E-Mail-Systeme sind möglicherweise offline, elektronische Kopien von Versicherungspolicen oder IR-Pläne sind verschlüsselt und der Angreifer überwacht möglicherweise die Kommunikation. Daher ist es ratsam, eine alternative Kommunikationsmöglichkeit bereitzuhalten, z.B. eine Instant-Messaging-Anwendung. Mit einem separaten Kanal können das gesamte Team und alle anderen Beteiligten kommunizieren. Versicherungsdaten, IR-Pläne und Kontakte zu den IR-Spezialisten sollten gesondert und in physischer Form aufbewahrt sein.

Training und Übung schafft Sicherheit
Die Simulation des Ernstfalls ist eine großartige Möglichkeit, um die Reaktion auf eine Datenpanne oder ein Ransomware-Ereignis zu üben. Um die Übung realistischer zu gestalten, sollten diese z.B. um 2 Uhr morgens an einem langen Wochenende stattfinden und die Nutzung des E-Mail-Systems des Unternehmens ausschließen – auch wenn das sehr hart klingen mag, ist es dennoch sehr viel angenehmer als ein erfolgreicher, echter Cyberangriff….