Ransomware: Rück- und Ausblick

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern. Eine Freigabe dieser Ressourcen erfolgt gegen Bezahlung eines Lösegeldes (engl. Ransom), das in vielen Fällen von den Betroffenen bezahlt wird, da der Leidensdruck und das Schadenspotenzial sehr hoch sind.

Ransomware-Attacken zielen auf das Sicherheitsziel der Verfügbarkeit und wurden bereits in den Jahren 2010/2011 verbreitet eingesetzt.

Bedrohungslage und Angriffsvektoren

Für Cyberkriminelle ist diese Form von Angriffen ein lukratives Geschäftsmodell und kann leider auf allen Ebenen der Systeme eingesetzt werden: Clients, Server, allen Betriebssystem-Typen etc.

In der Regel werden die Angriffe über folgende Vektoren durchgeführt:

• Spam Mail/Phishing-Mail
• Drive-By-Infektionen mittels Exploit
• Schwachstellen in Servern (z.B. mangelndes Patching)
• Zero Day Exploit auf Systemen
• Angreifbare Remotezugänge

Die Entwicklung der Ransomware-Attacken war alleine im Zeitraum 2015 – 2016 explosionsartig gestiegen. In Deutschland wurde diese Schadware in dieser Periode zehnmal häufiger durch Virenschutzprogramme detektiert. Aber auch weltweit stieg die Zahl der Detektionen um Faktor 6 an.

Präventionsmassnahmen

Es gibt auch für die Abwehr von Verschlüsselungstrojanern keine hundertprozentig wirksame Abwehr. Die nachfolgenden Massnahmen können einen möglichen Angriff verringern oder im besten Fall verhindern:

• Regelmässiges Patching (Server und Clients)
• Angriffsflächen minimieren
• E-Mail Editor (Client): Nur Text-Anzeige
• E-Mail Spam (Server): Blockierung von ausführbaren Dateiformaten (z.B. *.exe, *.scr, *.chm, *.bat, *.com, *.msi, *.jar, *. cmd, *.pif, *.scf, etc.)
• Berechtigungen auf Netzlaufwerken restriktiv handhaben
• Netzwerke segmentieren
• Remotezugänge sichern
• Sicherer Umgang mit Administrator Accounts
• Virenschutz
• Backups/Datensicherungskonzept
• Schulungen/Steigerung des Bewusstseins bei Benutzern und Benutzerinnen (Awareness)
• Verhaltensbasierende Erkennung (KI) von Schadcode
• Sandboxing (Untersuchung) von Web Traffic/Dateien
• Event Log Management und SIEM System (zur Erkennung von Unregelmässigkeiten und rückwirkende Analyse)

Bisherige Ransomware-Angriffe konnten grundsätzlich durch obenstehende klassische Abwehrmechanismen verringert oder vermieden werden, da sie eine unmittelbare «Schadenswirksamkeit» hatten. Damit ist die Zeit vom Moment des Eindringens bis zur «Detonation» gemeint. Diese Tatsache unterscheidet die bisherigen Viren von immer raffinierter werden Trojanern (siehe dazu auch Kap. «Ausblick in die Zukunft»).

Reaktionsmassnahmen

• Gemäss den Empfehlungen der Behörden und Lagezentren soll das Lösegeld NICHT bezahlt werden. Grund dafür ist die Tatsache, dass jede erfolgreiche Erpressung die Angreifer in ihren kriminellen Machenschaften bestätigt und zu neuen Attacken motiviert. Stattdessen wird empfohlen, angemessene Vorsorgemassnahmen zu ergreifen und im Schadensfall auf diese Vorbereitungen zurückgreifen.
• Im Weiteren soll Anzeige (gegen Unbekannt) erstattet werden. Die Behörden haben weiterführende Möglichkeiten für Ermittlungen, wie z.B. die Überwachung der Geldfluss von Finanztransaktionen und die Zusammenarbeit mit internationalen Fahndungsorganisationen.
• Infizierte Systeme müssen umgehend vom Netz genommen werden. Am schnellsten geht dies immer noch durch die Trennung des Netzwerkkabels vom Rechner oder durch das Abschalten (deaktivieren) von WLAN Access Points.

Welches Interesse resp. welche Motivation steckt eigentlich hinter der kriminellen Gemeinschaft, die Ransomware einsetzt? Da mittels solcher Erpressungsangriffe finanzielle Einkünfte erzielt werden können, ist sicher das finanzielle Interesse eine wichtige Motivation. Es sind aber auch ganz einfache “zerstörerische” (destruktive) Hintergründe oder Ablenkungsmanöver erkennbar.

Ausblick (Blick in die Zukunft):

Die Realität hat die Zukunftsaussichten teilweise bereits eingeholt. Ein sehr aktueller Vorfall (19.3.2019) aus Norwegen: Die Firma Norsk Hydro – einer der grössten Aluminiumproduzenten der Welt (ca. 35 Mitarbeitende in 40 Ländern) – wurde von einem globalen Ransomware-Angriff befallen, der (fast) sämtliche IT-Systeme lahmlegte.

Das perfide an den «modernen» Angriffsszenarien ist die Tatsache, dass sich die Trojaner teilweise ganz unbemerkt und ruhig in der Systemumgebung aufhalten. Sie bereiten quasi in aller Ruhe einen Grossangriff vor. Dies geschieht oft, indem die Schadware hohe (Admin)-Rechte erwirbt und die Umgebung ausspioniert. Bei der Auslösung des Angriffs fallen diesem auf «Knopfdruck» die gesamte Infrastruktur und nicht nur einzelne Netzwerksegmente oder Systemkomponenten zum Opfer.

Der israelische Anbieter von IT-Sicherheitslösungen «Check Point» hat Anfang 2018 über die neusten IT-Security Trends informiert. Zwei Themen waren fast omnipräsent: Cryptomining und Ransomware.

Cryptomining gilt als «still aber sehr gefährlich». Hinter dem Begriff verbergen sich oft unscheinbare Skripte, die jedoch grossen Finanzschaden anrichten können. Die Schadware zielt auf die Rechenleistung der Opfer ab, damit sie nach Kryptowährungen schürfen können. Diese Bedrohung ist exponentiell – wohl auch wegen des Hype von Bitcoin und anderen Kryptowährungen. Innerhalb eines Jahres (2017 – 2018) hat sich die Zahl der infizierten Unternehmen von zwanzig auf vierzig Prozent erhöht!

Cryptomining stiehlt keine Daten und verschlüsselt sie auch nicht; darum wird seine Bedrohung oft unterschätzt. Allein durch das «Anzapfen» von vorhandenen Ressourcen kann aber ein beträchtlicher Schaden entstehen – dies könnte insbesondere bei Unternehmen der Fall sein, die auf Cloud-Computing setzen.

Auch Ransomware ist natürlich weiterhin ein Thema. Das Geschäft mit Erpressungsprogrammen ist nach wie vor lukrativ. Darum werden derartige Schädlinge auch 2019 noch ein Thema bleiben. Viel schlimmer noch: Das Ransomware-Geschäft ermöglichte sogar das Aufkommen völlig neuer krimineller Industrien – wie etwa der Fall von Dr. Shifro zeigte. Der vermeintliche IT-Berater gab vor, Ransomware-Opfer helfen zu wollen, ihre Daten wieder zurückzuerhalten. Tatsächlich stand Dr. Shifro jedoch in Kontakt mit den Autoren der Erpresserprogramme und machte einen Deal mit ihnen. Er bezahlte die Lösegelder, wälzte die Kosten auf seine «Kunden» ab und verrechnete für seine Dienste eine hohe zusätzliche Gebühr!

Ein weiterer Trend, den Check Point derzeit beobachtet und als «Malware Synergy» bezeichnet: Cyberkriminelle kombinieren vermehrt Schadprogramme, um ihren Profit zu steigern: So infizieren sie etwa einen Rechner nicht nur mit einem Cryptominer. Stattdessen stehlen sie gleichzeitig auch noch sensible Daten, um diese verkaufen zu können oder installieren eine Backdoor im System. Um diese unterschiedlichen Ziele zu erreichen, finden sich Cyberkriminelle mit unterschiedlichen Spezialgebieten im Darknet zusammen.

Fazit

Die rasante Entwicklung der Angriffsmöglichkeiten der «kriminellen Industrie» lässt nichts Gutes erahnen. Die Tatsache, dass Sicherheitsunternehmen und Antivirenhersteller immer mindestens einen Schritt im Rückstand sind fordert immer raschere und präzisere Abwehrreaktionen. Es stellt sich die Frage, ob die «Abwehrindustrie» dieser Anforderung gewachsen ist?

Solange der Mensch (und nicht eine künstliche Intelligenz) an der Interaktion zwischen Mensch und Maschine beteiligt ist, bleibt er das schwächste Glied in der Kette. Wiederkehrende Bewusstseins-schulungen (Awareness) sind daher essentiell.

Quellen:

Persönliches Interview	Jens Rauch, Leiter Operations und IT-Security IBITECH AG, Münchenstein
Whitepaper	BSI: Nationales IT-Lagezentrum, Bundesamt für Sicherheit in der Informationstechnik
Whitepaper	ANSSI: Agence Nationale de la Sécurité des Systèmes d’information
Persönliche Recherche	World Wide Web https://www.inside-it.ch/articles/53956 https://www.inside-it.ch/articles/54027 https://www.checkpoint.com

---

Autor: Thomas Graber

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.