Wie man eine Ransomware-Attacke frühzeitig erkennt – und erfolgreich abwehrt
von Tina Siering
Erpressungstrojaner in Form von Ransomware sind zur ernsthaften und dauerhaften Bedrohung geworden. Ende Oktober 2022 ist z. B. die Hackergruppierung Black Basta nach einem erfolgreichen Ransomware-Angriff auf den IT-Dienstleister der Deutschen Presse-Agentur (DPA) an rund 1.500 Mitarbeiterdatensätze gelangt, von denen 20 % im Darknet veröffentlicht wurden. Grund für den erfolgreichen Zugriff auf sensible Daten, wie Sozialversicherungsnummern oder Bankverbindungen: schlecht geschützte FTP-Server zur Ablage von Dokumenten. Ransomware-Attacken sind und bleiben damit eine verhältnismäßig einfache und äußerst lukrative Angriffsmethode, besonders wenn die angegriffenen Systeme schlecht geschützt sind. Wie Sie Ransomware-Attacken auf Ihr Unternehmen frühzeitig erkennen und erfolgreich abwehren, erfahren Sie in diesem Beitrag.
Ransomware – eine der gefährlichsten Bedrohungen
Ziel von Angreifern, die Ransomware einsetzen, ist die Erpressung des Dateneigentümers. Dabei werden sensible Daten verschlüsselt bzw. der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld (zumeist in Bitcoins) zu fordern.
Allerdings, und das ist besonders perfide, hängt die Freigabe der Daten vom „guten Willen“ der Cyberkriminellen ab. In vielen Fällen bleiben die Daten trotz gezahltem Lösegeld verschlüsselt. Jede Lösegeldzahlung macht somit eine Erpressung zum Erfolg für die Erpresser und motiviert diese (und andere potenzielle Angreifer!) zur Fortsetzung. Gehen Sie daher auf keinen Fall auf die Geldforderung ein, denn Sie öffnen so nur das Tor für weitere Angriffe und liefern die dazugehörige Finanzierung für weitere, anspruchsvolle Angriffstechnologien wie die neuesten Zero-Day-Exploits, die wiederholt mit einem Lösegeld beglichen werden müssen. Die Cyberkriminellen hinter der Erpressungssoftware sind zudem sehr gut organisiert und ausgestattet. Vielfach wird Ransomware zudem auf Crimeware-Marktplätzen oder in Darknet-Foren als “Ransomware as a Service (RaaS)” angeboten.
Im aktuellen Ransomware Report von Sophos, dem eine Befragung von 5.600 IT-Entscheidern mittelständischer Unternehmen aus 31 Ländern vorausging, zeigt sich das aktuelle Ausmaß der Bedrohung:
- 66 % der befragten Unternehmen wurden 2021 Opfer eines Ransomware-Angriffs. Im Vergleich zu 2020 bedeutet das einen Anstieg von 78 %!
- 65 % der Ransomware-Angriffe führten zu einer Datenverschlüsselung.
- 46 % der betroffenen Unternehmen zahlten das geforderte Lösegeld.
- 99 % erhielten einen Teil der verschlüsselten Daten zurück, 61 % der verschlüsselten Daten wurden nach der Lösegeldzahlung wiederhergestellt.
- Nur 4 % der Unternehmen konnten nach der Zahlung auf alle Daten zugreifen.Die durchschnittliche Lösegeldzahlung beträgt – bereinigt um Extremwerte – 812.360 US-Dollar.
- Die höchsten Lösegelder werden von Unternehmen aus den Bereichen Fertigung und Versorgung gezahlt: 2 Millionen US-Dollar waren hier eine gängige Summe.
- 90 % der Unternehmen wurden in der Betriebsfähigkeit beeinträchtigt, 86 % verzeichneten Geschäftseinbußen und Umsatzverluste. Die durchschnittlichen Kosten für die Behebung eines Ransomware-Angriffs belaufen sich auf 1,4 Millionen US-Dollar.
- Es dauert durchschnittlich einen Monat, bis nach einem Angriff der Geschäftsbetrieb wieder vollständig aufgenommen werden kann.
Was genau macht Ransomware so gefährlich? Im Gegensatz zu anderen Formen von Malware ist Ransomware auf maximale Unsichtbarkeit optimiert. Wie bei jedem Cyberangriff gilt insbesondere bei Ransomware: Je frühzeitiger ein laufender Angriff auf ein Netzwerk erkannt wird, desto geringer ist der potenzielle Schaden. Cyberkriminelle sind Profis in der Anpassung ihrer Angriffsmechanismen an (vermeintlich) gut funktionierende IT-Sicherheitsmaßnahmen. Mit neuen Tools und iterativen Veränderungen von bestehender Malware werden kontinuierlich neue Sicherheitslücken aufgespürt und ausgenutzt, wie die relativ neue Ransomware LockFile zeigt. LockFile setzt auf die sogenannte intermittierende Verschlüsselung. Der Vorteil: Die effektivere Verschleierung und die sehr hohe Geschwindigkeit im Verschlüsselungsprozess hebeln auch äußerst zuverlässig funktionierende Sicherheitslösungen aus.
Wochenlange Downtime des Geschäftsbetriebs oder Zahlung von Lösegeld: Viele Unternehmen sind nach einem Ransomware-Angriff bereit, die teils astronomischen Summen an die Erpresserbanden zu bezahlen, denn mitunter sind die Kosten für den vollständigen Betriebsausfall schlichtweg höher und als die Lösegeldforderung. Das macht das Problem nicht kleiner, im Gegenteil: Obwohl zum einen die tatsächliche Datenwiederherstellung zuverlässiger geworden ist, wenn gezahlt wird, erfolgt zum Moment der Verschlüsselung die Androhung, vertrauliche Daten zu veröffentlichen. Selbst bei unverschlüsselten Backups erhöht dies den Druck, doch zu zahlen.
12 Tipps, um eine Ransomware-Attacke frühzeitig zu erkennen
Um einen Ransomware-Angriff erfolgreich durchzuführen, bewegen sich die Hacker entlang des Kill Chain Modells lateral durch die infiltrierten Netzwerke. Bei jedem ihrer Schritte, wie z. B. in der Rechteausweitung oder der Umgehung von Abwehrmaßnahmen, hinterlassen diese Aktivitäten Spuren im Netz. Unternehmen können Ransomware auf Netzwerkebene erkennen, indem sie Netzwerk-Traffic auf verdächtige Aktivitäten oder Anomalien hin überwachen. Für einen erfolgreichen Angriff müssen alle Zyklen der Kill Chain durchlaufen werden. Das unentdeckte Durchlaufen der vollständigen Angriffskette kann sich dabei von Tagen über Wochen bis hin zu Monaten erstrecken. Bricht die Kette an einer Stelle, scheitert der Angriff.
Bei den einzelnen Stationen in der Angriffskette gilt es daher, jenen Aktivitäten, die auf einen Angriff hindeuten könnten, besondere Aufmerksamkeit zu widmen – mit dem Ziel, Ransomware-Attacken so frühzeitig zu erkennen, dass die Angreifer keinen Schaden anrichten können. Im Folgenden stellen wir Ihnen einige Tipps vor, um Ransomware rechtzeitig zu detektieren.
1. Einfallstor E-Mails
Kompromittierte E-Mails sind ein beliebtes Einfallstor für Phishing-Attacken Cyberkrimineller, um initialen Zugriff auf ein Netzwerk zu erlangen.
Lösung: Regelmäßige Awareness Schulungen aller Mitarbeitenden sensibilisieren für das Gefahrenbewusstsein im Umgang mit E-Mails.
2. Remote Desktop Verbindungen
Remote Desktop Protocol (RDP)-Verbindungen sind praktisch für den Informationsfluss – offene RDPs ein willkommener Angriffspunkt für Cyberkriminelle!
Lösung: Geeignete Software zum Erkennen installierter RDP-Tools nutzen, um eingehende Verbindungen frühzeitig zu protokollieren und aufzuhalten.
3. Verdächtige Tasks
Nach erfolgreicher Kompromittierung sichern Hacker ihren Aufenthalt auf dem System über Tasks ab, beispielsweise in der Windows PowerShell.
Lösung: Richten Sie Ihr Monitoring auf die Windows Event IDs 4698 und 4700.
4. Nicht autorisiert eingesetzte Remote-Access-Software (RAS)
Verwendet Ihr Unternehmen keine Tools von Drittanbietern für Remote-Access? Dann ist Vorsicht geboten, wenn ein Alert ein solches Tool im Einsatz anzeigt.
Lösung: Kontinuierlich das Netzwerk auf RAS-Aktivitäten prüfen.
5. Administratorrechte
Über das Windows Local Security Subsystem (LSASS) sichern sich Cyberkriminelle oftmals Administratorrechte auf dem kompromittierten System.
Lösung: Die Microsoft Attack Surface Reduction (ASR) bietet eine Regel, um die Sicherheitslücke zu schließen. Darüber hinaus verfügen viele EDR-Tools über entsprechende Alert-Einstellungen zum Schutz vor LSASS-Missbrauch.
6. Antiviren- und Sicherheitssoftware noch aktiv?
Hacker können während ihrer Angriffe Sicherheitssoftware relativ einfach deaktivieren.
Lösung: Verwenden Sie Remote Monitoring und Management (RMM)-Lösungen, um kontinuierlich die Funktionsbereitschaft Ihrer Sicherheitssoftware zu prüfen.
7. Tools für Netzwerk-Scans
Hacker orientieren sich in kompromittierten Systemen durch Netzwerk- und Port-Scan-Tools. Häufig werden hierfür Windows-eigene Lösungen wie ipconfig oder nltest.exe eingesetzt.
Lösung: Überwachen Sie kontinuierlich den Einsatz von Scan-Tools oder blockieren Sie diese komplett, wenn sie nicht benötigt werden.
8. Cobalt Strike erkennen
Cobalt Strike wurde ursprünglich für die Simulation von Cyberangriffen entwickelt. Allerdings bietet das Tool durch Automatisierungsmöglichkeiten auch für Cyberkriminelle zahlreiche Anwendungsmöglichkeiten.
Lösung: Setzen Sie EDR-Tools ein, die die Verwendung von Cobalt Strike erkennen und unterbinden.
9. Verdächtige Netzwerkaktivitäten
Per Remotezugriff ausgeführte, verdächtige seitliche Bewegungen in Netzwerken weisen auf einen akuten Angriff hin.
Lösung: Viele der besonders auffälligen lateralen Netzwerkbewegungen sind bei MITRE gelistet. Updaten Sie sich hier regelmäßig!
10. Windows-Tool unter Verdacht
Mit dem Windows-Tool PsExec können Skripte oder Befehle remote ausgeführt werden – ein beliebtes „Spielzeug“ für Hacker.
Lösung: Über die Suche nach Änderungen in der Registry oder nach bestimmten Windows-Events lässt sich die Verwendung des Tools erkennen.
11. Erhöhter Traffic
Ein aktives Ausleiten von Datensätzen zeigt sich in erhöhtem Netzwerkverkehr, u. U. zu öffentlichen IP-Adressen, in ungewöhnlichen Port-Aktivitäten und vielem mehr.
Lösung: Setzen Sie auf kontinuierliches Netzwerkmonitoring und halten Sie Ihre Firewall-Regeln aktuell.
12. Vorsicht bei Datenupload-Tools
Bordeigene Tools oder Open-Source-Software wie MS BITS, Mega oder Rclone werden von Cyberkriminellen häufig für den Datentransfer gestohlener Dateien eingesetzt.
Lösung: Blockieren Sie File-Transfer-Tools direkt oder überwachen Sie deren Einsatz engmaschig.
Fazit
Umfassende IT-Sicherheitsmaßnahmen, die sich auf mehrere Security Pfeiler stützen, sind für jedes Unternehmen unverzichtbar: Backups mit niedrigen Zeitintervallen, Netzwerksicherheit durch Segmentierung und DNS-Authentifizierung, Social Engineering-Schulungen für Mitarbeiter. Die beste Lösung ist ganzheitlich und setzt in allen Bereichen an. Der enorme Anstieg erfolgreicher Angriffe mit Ransomware verdeutlicht dabei vor allem die Dringlichkeit einer frühzeitigen Abwehr der Angriffsversuche. Unternehmen, die über einen erfolgreichen Cyberangriff rechtzeitig informiert werden wollen, haben erkannt, wie wichtig die Angreiferfrüherkennung mit Hilfe einer "Managed Detection and Response-Lösung" (MDR) ist. Mit dem 24/7 Active Cyber Defense (ACD)-Service von Allgeier secion erhalten Sie einen solchen Full Managed Service.
ACD lohnt sich insbesondere für mittelständische Unternehmen, die intern nicht über die erforderlichen personellen und finanziellen Ressourcen verfügen, um ihre Systeme rund um die Uhr selbst zu monitoren. Angesichts des akuten Fachkräftemangels besteht einer der größten Vorteile darin, dass durch die Beauftragung ein komplettes Expertenteam dauerhaft zur Seite steht, inkl. effektiver Tools und erprobter Detektierungsmethoden - und zu einer attraktiven monatlichen Servicepauschale buchbar.