Die neueste Ausgabe der englischsprachigen Reihe seiner „Playbooks for Defenders“ hat Sophos veröffentlicht. Mit dem Titel „How Ransomware Attacks“ beschreiben die SophosLabs detailliert, wie unterschiedliche Ransomware-Varianten ihre Opfer angreifen und welche Vorsichtsmaßnahmen zum Schutz zu treffen sind. Das Kompendium richtet sich speziell an IT- sowie Security-Fachleute und ist eine Ergänzung zum jüngsten Sophos Threat Report 2020. Analysiert werden elf der gängigsten und beständigsten Ransomware-Familien, darunter Ryuk, BitPaymer und MegaCortex.
Im neuesten Playbook for Defenders beschreiben die SophosLabs detailliert, wie Ransomware versucht, unbemerkt an der Security vorbei zu schlüpfen. Meist nutzen die Angreifer dafür vertrauenswürdige und legitime Prozesse, um dann über interne Systeme eine maximale Anzahl von Dateien zu verschlüsseln sowie Backup- und Wiederherstellungsprozesse zu deaktivieren, bevor ein IT-Sicherheitsteam einschreiten kann. Die wichtigsten Kapitel des Kompendiums umfassen:
Ransomware wird typischerweise auf eine von drei Arten verteilt: Als Kryptowurm, der sich schnell auf andere Computer repliziert, um eine maximale Wirkung zu erzielen (z.B. WannaCry). Eine weitere Variante ist Ransomware-as-a-Service (RaaS), der verstärkt im Dark Web als Distributions-Kit verkauft wird (z.B. Sodinokibi). Die dritte Art der Verteilung erfolgt mittels eines automatisierten, aktiven gegnerischen Angriffs, bei dem Angreifer die Ransomware nach einem automatisierten Scan von Netzwerken für Systeme mit schwachem Schutz manuell einsetzen.
Kryptographisches Code Signing
Kryptographische Code Signing Ransomware mit einem gekauften oder gestohlenen legitimen Zertifikat versucht Sicherheitssoftware davon zu überzeugen, dass der Code vertrauenswürdig ist und keine Analyse benötigt.
Um Privilegien beziehungsweise Zugriffsrechte zu erhöhen, nutzen Angreifer leicht verfügbare Exploits wie EternalBlue. Auf diese Weise kann der Angreifer Programme wie Remote Access Tools (RATs) installieren, Daten anzeigen, ändern oder löschen sowie neue Konten mit vollen Benutzerrechten erstellen und Sicherheitssoftware deaktivieren.
Bewegung im Netz
Angreifer nutzen die seitliche Bewegung bei ihrer Jagd im Netzwerk nach Datei- und Backup-Servern, um die volle Wirkung des Ransomware-Angriffs zu entfalten. Dabei bleiben sie unter dem Radar, quasi unbemerkt. Innerhalb einer Stunde können Angreifer ein Skript erstellen, um die Ransomware auf vernetzten Endpunkten und Servern zu kopieren und auszuführen.
Dateiserver sind oft nicht mit der Ransomware infiziert. Stattdessen läuft die Attacke typischerweise auf einem oder mehreren kompromittierten Endpunkten, wobei ein privilegiertes Benutzerkonto missbraucht wird Der Zugriff kann auch über das Remote Desktop Protocol (RDP) oder via Remote Monitoring and Management (RMM)-Lösungen erfolgen.
Es existiert eine Reihe von unterschiedlichen Methoden zur Dateiverschlüsselung, einschließlich des einfachen Überschreibens des Dokuments. Die meisten Methoden werden durch das Löschen des Backups oder der Originalkopie ergänzt, um den Wiederherstellungsprozess zu verhindern.
Tipps zum Ransomware-Schutz
Folgende Tipps helfen Unternehmen, die Bedrohungslage durch Ransomware in den Griff zu bekommen:
- Überprüfung, ob man über einen vollständigen Bestand aller mit dem Netzwerk verbundenen Geräte verfügt und ob alle Sicherheitssoftware-Lösungen, die man auf diesen Geräten verwendet, auf dem neuesten Stand ist.
- Installation der neuesten Sicherheitsupdates auf allen Geräten im Netzwerk.
- Patchen aller Computer gegen die von WannaCry verwendete EternalBlue-Schwachstelle.
- Regelmäßig Backups der wichtigsten und aktuellsten Daten auf einem Offline-Speicher.
- Administratoren sollten die Multi-Faktor-Authentifizierung auf allen Managementsystemen aktivieren, um zu verhindern, dass Angreifer Sicherheitsprodukte während eines Angriffs deaktivieren.
- Die Strategie eines mehrschichtigen Sicherheitsmodells ist die beste Vorgehensweise zur Vorbeugung.
- Geeignete Security-Lösungen: Sophos Intercept X bietet Schutz für Endgeräte, indem diverse Next-Generation-Technologien kombiniert werden, um Malware-Erkennung, Exploit-Schutz sowie eine Endpoint Detection and Response (EDR) bereitzustellen. (rhh)