In einer Ausgabe der englischsprachigen Reihe „Playbooks for Defenders“ zu Beginn des Jahres 2020 hat Sophos einen Beitrag veröffentlicht mit dem Titel „How Ransomware Attacks“. Darin beschrieben die SophosLabs detailliert, wie unterschiedliche Ransomware-Varianten ihre Opfer angreifen und welche Vorsichtsmaßnahmen zum Schutz zu treffen sind. Das Kompendium richtet sich speziell an IT- sowie Security-Fachleute und ist eine Ergänzung zum Sophos Threat Report 2020. Elf der gängigsten und beständigsten Ransomware-Familien, darunter Ryuk, BitPaymer und MegaCortex werden darin analysiert.

In einem "Playbook for Defenders" beschreibt das SophosLab detailliert, wie Ransomware unbemerkt versucht, an Sicherheitsmaßnahmen vorbei zu schlüpfen. Meist nutzen die findigen Angreifer vertrauenswürdige und legitime Prozesse, um später über interne Systeme eine maximale Anzahl von Dateien zu verschlüsseln bevor ein IT-Sicherheitsteam einschreiten kann. Zum Teil werden sogar Backup- und Wiederherstellungsprozesse zuvor deaktivieren. Ein wichtiges Kapitel des Kompendiums beschäftigt sich mit der Verteilung von Ransomeware auf eine von drei typischen Arten:

• Als Kryptowurm, der sich schnell auf andere Computer repliziert, um eine maximale Wirkung zu erzielen (z.B. WannaCry).
• Ransomware-as-a-Service (RaaS), der verstärkt im Dark Web als Distributions-Kit verkauft wird (z.B. Sodinokibi).
• Verteilung mittels eines automatisierten, aktiven gegnerischen Angriffs, bei dem Angreifer die Ransomware nach einem automatisierten Scan von Netzwerken für Systeme mit schwachem Schutz manuell einsetzen.

Kryptographisches Code Signing

Kryptographische Code Signing Ransomware mit einem gekauften oder gestohlenen legitimen Zertifikat versucht Sicherheitssoftware davon zu überzeugen, dass der Code vertrauenswürdig ist und keine Analyse benötigt.

Um Privilegien beziehungsweise Zugriffsrechte zu erhöhen, nutzen Angreifer leicht verfügbare Exploits wie EternalBlue. Auf diese Weise kann der Angreifer Programme wie Remote Access Tools (RATs) installieren, Daten anzeigen, ändern oder löschen sowie neue Konten mit vollen Benutzerrechten erstellen und Sicherheitssoftware deaktivieren.

Bewegung im Netz

Angreifer nutzen die seitliche Bewegung bei ihrer Jagd im Netzwerk nach Datei- und Backup-Servern, um die volle Wirkung des Ransomware-Angriffs zu entfalten. Dabei bleiben sie unter dem Radar, quasi unbemerkt. Innerhalb einer Stunde können Angreifer ein Skript erstellen, um die Ransomware auf vernetzten Endpunkten und Servern zu kopieren und auszuführen.

Dateiserver sind oft nicht mit der Ransomware infiziert. Stattdessen läuft die Attacke typischerweise auf einem oder mehreren kompromittierten Endpunkten, wobei ein privilegiertes Benutzerkonto missbraucht wird Der Zugriff kann auch über das Remote Desktop Protocol (RDP) oder via Remote Monitoring and Management (RMM)-Lösungen erfolgen.

Es existiert eine Reihe von unterschiedlichen Methoden zur Dateiverschlüsselung, einschließlich des einfachen Überschreibens des Dokuments. Die meisten Methoden werden durch das Löschen des Backups oder der Originalkopie ergänzt, um den Wiederherstellungsprozess zu verhindern.

Tipps zum Ransomware-Schutz

Folgende Tipps helfen Unternehmen, die Bedrohungslage durch Ransomware in den Griff zu bekommen:

• Überprüfung, ob man über einen vollständigen Bestand aller mit dem Netzwerk verbundenen Geräte verfügt und ob alle Sicherheitssoftware-Lösungen, die man auf diesen Geräten verwendet, auf dem neuesten Stand ist.
• Installation der neuesten Sicherheitsupdates auf allen Geräten im Netzwerk.
• Patchen aller Computer gegen die von WannaCry verwendete EternalBlue-Schwachstelle.
• Regelmäßig Backups der wichtigsten und aktuellsten Daten auf einem Offline-Speicher.
• Administratoren sollten die Multi-Faktor-Authentifizierung auf allen Managementsystemen aktivieren, um zu verhindern, dass Angreifer Sicherheitsprodukte während eines Angriffs deaktivieren.
• Die Strategie eines mehrschichtigen Sicherheitsmodells ist die beste Vorgehensweise zur Vorbeugung.
• Geeignete Security-Lösungen: Sophos Intercept X bietet Schutz für Endgeräte, indem diverse Next-Generation-Technologien kombiniert werden, um Malware-Erkennung, Exploit-Schutz sowie eine Endpoint Detection and Response (EDR) bereitzustellen. (rhh)