Digitale Erpressung: Die drei (Killchain-) Phasen eines Ransomware-Angriffs
von Tina Siering
Ransomware-Angriffsstrategien verstehen – und abwehren
Mit der zunehmenden Digitalisierung nehmen die Gefahren der Cyberkriminalität zu. Mehr als 50 Prozent der Unternehmen und Organisationen weltweit waren bereits Ziel von Ransomware-Angriffen. Schätzungen gehen davon aus, dass Unternehmen Ransomware-Angreifern durchschnittlich über 100.000 Dollar für die Entschlüsselung ihrer Systeme zahlen. Die Kollateralschäden durch Missbrauch von entwendeten Daten lassen sich darüber hinaus schwer beziffern.
Ein unbedarfter Kick auf einen Link in einer Phishing-Mail kann Unbefugten bereits den Zugang zum Netzwerk eines Unternehmens ermöglichen. Die Eindringlinge können die IT-Umgebung dann auskundschaften, sich einnisten und letztlich die Schadwirkung entfalten. Das sogenannte Kill-Chain-Modell stellt den Ablauf dieser drei iterativen Phasen dar und teilt dabei jede Phase in eine Schleife aus Teilschritten auf. Der Begriff Kill Chain wurde aus dem militärischen Bereich adaptiert, wo er ebenfalls die Struktur von Angriffen beschreibt.
Komplexe Cyber-Angriffe, wie z. B. Ransomware-Attacken, erfolgen in der Regel fast nie automatisiert, sondern werden zu signifikanten Teilen manuell ausgeführt. Cyberkriminelle arbeiten dabei zunehmend professionell und arbeitsteilig in Gruppen mit Spezialisten für die einzelnen Teilbereiche des Angriffs. Dies ermöglicht eine höhere Effektivität sowohl für die Qualität des einzelnen Angriffs als auch in der Quantität durch parallele Angriffe mehrerer Ziele.
Für einen erfolgreichen Angriff müssen alle Zyklen der Kill Chain durchlaufen werden. Das unentdeckte Durchlaufen der vollständigen Angriffskette kann sich dabei von Tagen über Wochen bis hin zu Monaten erstrecken. Bricht die Kette an einer Stelle, scheitert der Angriff. So liefert das Modell Ansatzpunkte für Gegenmaßnahmen, die Unternehmen zum jeweiligen Zeitpunkt ergreifen können. Für jedes Glied der Angriffskette können passende Abwehrmethoden definiert werden. Je früher die Eskalationskette gebrochen wird (insbesondere vor dem „Impact“-Cycle), desto geringer der Schaden. Welche Maßnahmen Unternehmen prophylaktisch treffen sollten, erfahren Sie im Beitrag “Angriffe durch Ransomware – 5 Tipps, wie sich Unternehmen und Organisationen schützen können”.
Linktipp: Die effektivsten Detektionsmöglichkeiten innerhalb der Kill-Chain, um Cyber-Angriffe direkt in der Anfangsphase zu stoppen, zeigt Clemens Rambow, Offensive Security Experte bei Allgeier secion, im Webinar “Killing Kill Chains - Wie schütze ich mich wirksam vor Angriffen?”, das in drei Folgen im Youtube-Kanal von Allgeier secion zu sehen ist.
Die drei Phasen eines erfolgreichen Ransomware-Angriffs
Ein Angriff lässt sich in drei Phasen Intrusion, Propagation und Endgame analysieren – das sogenannte Kill-Chain-Modell oder auch Attack-Chain-Modell.
Intrusion (Zugang zum System)
- Teilphasen: Recon – Weaponize – Deliver – Evade – Execute
- Ausführung: manuell und teilautomatisiert#
- Dauer: Stunden
Um Zugang zu einem System zu erlangen, versuchen Angreifer, einen Nutzer dazu zu verleiten, Schadcode auf dem System auszuführen. Üblicherweise kommt dabei nicht eine „einzelne Schadsoftware“ zum Einsatz, sondern es werden im Angriffsverlauf (über Tage bis Wochen) unterschiedliche Schadsoftware-Tools und vorhandene Mechanismen der angegriffenen Umgebung selbst in Kombination eingesetzt. Am häufigsten geschieht dies über Phishing-Kampagnen, die Nutzer durch Vorspiegelung falscher Tatsachen zu verhängnisvollen Aktivitäten bringen sollen (Social Engineering). Ausgangspunkt für Phishing-Angriffe sind meist Informationen über die Personal- und Organisationsstruktur eines Unternehmens. Das können Organigramme sein, die die Organisation des Unternehmens mit Ansprechpartnern und Zuständigkeiten darstellen. Stellenanzeigen liefern Angreifern neben Adressen des Personalmanagements u. U. zusätzlich Angaben zur IT-Infrastruktur des Unternehmens. Auch soziale Netzwerke zur Pflege beruflicher Kontakte können Cyberkriminellen nützliche Insider-Informationen bieten. Anders als bei betrügerischen Spam-E-Mails handelt es sich bei Ransomware-Angriffen also um Attacken auf ein zuvor ausgewähltes Ziel.
Nach dem Auskundschaften („Recon“) wird ein Angriff aufgesetzt („Weaponize“) und auf den Weg gebracht („Deliver“). Dies kann beispielsweise in Form eines kompromittierenden Attachments oder eines Links in einer irreführenden E-Mail mit gefälschtem Absender sein. Dringt der Schadcode an Sicherheitsmaßnahmen vorbei („Evade“) und wird von einem Nutzer unwissentlich ausgeführt, kann er im angegriffenen System sein Werk beginnen („Execute“).
Wenn in dieser Abfolge für den Angreifer etwas schiefgeht, muss er zum Durchlaufen der „Intrusion“-Schleife neu ansetzen. Die Hacker haben nun eine Backdoor im angegriffenen System. Damit haben sie den Fuß in der Tür, um zunehmende mehr Kontrolle über das System zu gewinnen und es als Brückenkopf in die weitere IT-Umgebung zu nutzen. Der Schadcode versucht sich ggf. im System zu verankern, um einen Neustart zu überleben (Persistence) oder lädt automatisiert weiteren Schadsoftware nach. Hat die Schadsoftware es geschafft erfolgreich einen Kommunikationskanal nach außen aufzubauen, erfolgt der Übergang zur zweiten Schleife „Propagation“, in der es darum geht, die Kontrolle über das System auszuweiten.
Propagation (Ausbreitung)
- Teilphasen: C&C – Discover – Escalate – Gain – Move
- Ausführung: überwiegend manuell
- Dauer: Tage bis Wochen
War die „Execute“-Phase erfolgreich, fließt Command-and-Control-Traffic („C&C“), d. h., die Schadsoftware übermittelt ausspionierte Daten zum Täter. Dies können zunächst z. B. Nutzername, Berechtigungen und Informationen über die Windows-Version und Antivirus-Software des Systems sein. Die Schadsoftware kann nun regelmäßig neue Aufgaben vom Server des Angreifers abrufen und auf dem kompromittierten System ausführen.
In dieser Etappe werden Playbooks durchgespielt – das sind Bedienungsanleitungen, wie man einen Angriff in einer Systemumgebung ausbreitet. Solche Playbooks werden von Hackergruppen im Internet gehandelt. Häufig basieren sie auf der Software Cobalt Strike, die für Test und Simulation von Angriffen zum Nutzen für Unternehmen gedacht ist, aber auch von tatsächlichen Angreifern genutzt wird.
In der „Propagation“-Schleife erfolgt an dieser Stelle eine Bestandsaufnahme der infiltrierten Systemumgebung („Discover“) mit dem Ziel der Kontrollübernahme der Active Directorys. Weitere Angriffstools können nachgeladen, aber auch Bordmittel des Systems zu Hilfe genommen werden. In der Folge können die lokalen Zugriffsrechte für die Angreifer ausgeweitet werden („Escalate“). Damit könnten zum Beispiel von aktiven Sitzungen auf dem infiltrierten Rechner die Zugriffsberechtigungen erlangt werden („Gain“). Interessant sind hier insbesondere User, die erweiterte Berechtigungen haben. Mit den erlangten Rechten können sich die Eindringlinge auf einer höheren Systemebene weiterbewegen („Move“).
Das Ergebnis des erfolgreich durchlaufenen Zyklus „Propagation“ ist in der Regel der vom Angreifer gewünschte Zugang zum kompromittierten System mit Domain-Administrator-Berechtigung („Access“).
Endgame (Missionsziel)
- Teilphasen: Access – Collect – Exfiltrate – Manipulate – Maintain
- Ausführung: manuell, ggf. automatisiert periodisch
- Dauer: Open End
Der Angreifer ist jetzt mit der Umgebung hinsichtlich Administrationspraxis, Schutzmaßnahmen und Standort missionsrelevanter Ressourcen vertraut. Mit den erweiterten Berechtigungen kann er nun an die Umsetzung seiner Mission gehen. In der finalen „Impact“-Schleife könnte der Eindringling beispielsweise sensible Geschäftsdaten sammeln („Collect“) und aus dem System schleusen („Exfiltrate“). Er kann ferner Manipulation wie Verschlüsselung (Aktivitäten wie Ransomware-Ausführung befindet sich zumeist am Ende innerhalb der Endgame-Phase!) zur Erpressung oder Vandalismus zur Sabotage durchführen („Manipulate“). Auch Schädigung Dritter, wie Kunden oder Partnerunternehmen, ist u. U. mit unbefugt gewonnenen Daten möglich (Supply Chain Attack). Es kann auch darum gehen, möglichst lange unentdeckten Zugriff aufrechtzuerhalten (Fokus z. B. Industriespionage) und regelmäßig Daten aus dem System zu ziehen („Maintain“).
Möglich sind auch Kombinationen dieser Umtriebe mit vorangehender Maintain-Phase. Schließlich ist ein Weiterverkauf des Zugangs an meistbietende, andere Akteure (vor allem geopolitische Akteure wie Nachrichtendienste) denkbar.
Fazit
Ransomware gehört zu den gefährlichsten Formen der Cyberkriminalität. Die Täter spionieren zunächst Zugangswege zum Netzwerk aus, bevor sie einen Angriff auf eine Schwachstelle lancieren. War dieser erfolgreich, trachten die Eindringlinge nach Kontrolle über das System, bevor die eigentliche Verschlüsselungsattacke erfolgt. Das Wissen aus dem Kill-Chain-Modell hilft, derartige Angriffe mit abgestimmten Gegenmaßnahmen zu unterbinden, denn die Kriminellen sind häufig Wochen bis Monate unentdeckt im Netzwerk des Ziels aktiv.
Zeit ist also ein kritischer Faktor in der Entdeckung und Ausschaltung von Cyberbedrohungen wie Ransomware. Neben klassischen SIEM-Systemen existieren auch schlankere Methoden zur Netzwerküberprüfung, die von kĺeineren SOC-Teams betreut werden. Der Active Cyber Defense (ACD)-Service von Allgeier secion bietet so eine Lösung. Der 24/7 Managed Service ist monatlich buchbar und bietet (zu überschaubaren Kosten) einen effektiven Schutz vor Ransomware und anderen Cyber Bedrohungen. Unternehmensnetzwerke werden dabei proaktiv und kontinuierlich auf Anomalien analysiert. Im Falle einer Kompromittierung informiert das ACD-Team von Allgeier secion seine Kunden unmittelbar und gibt konkrete Handlungsempfehlungen, um Schäden durch potenzielle Angreifer abzuwenden. Setzen Sie auf eine sichere, kostengünstige und komfortablere Lösung – ganz ohne SIEM und SOC.