Ransomware ist eine der grössten Sicherheitsbedrohungen, mit welchen Unternehmen heute konfrontiert sind. Kriminelle Ransomware-Banden haben ihre Angriffstaktiken in den letzten Jahren stetig weiterentwickelt und treiben Unternehmen weiter in die Enge. So drohen sie, entwendete Daten öffentlich zu verbreiten oder im Darknet zu verkaufen. Um sich gegen immer raffiniertere Angriffe zu verteidigen, gilt es zu verstehen, wie Ransomware-Gruppen vorgehen und wie sie ihre perfiden Taktiken einsetzen. Wir bringen Licht ins Dunkel und zeigen auf, wie Sie eine Ransomware-Kill-Chain aufbrechen.
Ransomware, einst (nur) eine lästige Malware, mit der Cyberkriminelle den Zugriff auf Dateien und Daten durch Verschlüsselung einschränkten, mausert sich nun zu einer Angriffsmethode epischen Ausmasses. Während die Bedrohung durch einen permanenten Datenverlust allein schon erschreckend ist, sind Cyberkriminelle und staatliche Hacker inzwischen dermassen raffiniert, dass sie Ransomware einsetzen, um in Unternehmen, staatliche wie auch lokale Behörden, globale Infrastrukturen und Gesundheitsorganisationen einzudringen und lahmzulegen. Viele dieser Gruppen bieten ihre Dienste auch als Ransomware-as-a-Service (RaaS) an.
Die Folgen eines Ransomware-Angriffs können verheerend sein: Ausfallzeiten bringen den Geschäftsbetrieb ins Stocken, stören die Produktivität und gefährden Ihre Daten. Wenn vertrauliche Unternehmensdaten nach aussen dringen oder kompromittiert werden, schadet dies nicht nur Ihrer Reputation, sondern kann auch rechtliche Folgen nach sich ziehen. Ganz zu schweigen davon, dass Cyberkriminelle diese sensiblen Daten gegen Ihr Unternehmen verwenden oder anderweitige heimtückische Handlungen durchführen können – einschliesslich des Verkaufs vertraulicher Daten.
Ransomware-Angriffe sind komplex. Der Einbruch in Ihr IT-System kann ein Auftakt zu einem gefährlichen Katz-und-Maus-Spiel markieren. Um den Schaden zu maximieren, verteilen die Angreifer ihre schädliche Payload im Netzwerk. Anschliessend starten sie die Verschlüsselung. Wenn die Angreifer nur einen einzelnen Rechner verschlüsseln können, ist das Druckmittel nicht stark genug, um Lösegeld zu verlangen. Damit der Ransomware-Angriff erfolgreich ist, muss der Angreifer verschiedene Schritte ausführen, wie beispielsweise die Netzwerkressourcen ermitteln, sich lateral im Netzwerk bewegen usw. Diese Schritte werden oft als Cyber Kill Chain von Ransomware-Angriffen bezeichnet.
Abbildung: Ransomware Kill-Chain, Source: Akamai
Der Lichtblick: Jeder einzelne Schritt, den die Ransomware-Bande unternimmt, eröffnet Ihrem Unternehmen Chancen zur Angriffserkennung und -abwehr. Werfen wir nun einen Blick auf die Möglichkeiten, wie Sie Schäden durch Ransomware minimieren und eindämmen.
Ein Ransomware-Angriff beginnt mit einem ersten Einbruch, der häufig durch eine Phishing-E-Mail, eine Schwachstelle in der Netzwerkumgebung oder durch Brute-Force-Angriffe ermöglicht wird und so Lücken schafft, um die Abwehrkräfte von der eigentlichen Absicht des Angreifers abzulenken.
Wenn Angreifer in ein Netzwerk eindringen, haben sie im ersten Moment noch keine Kenntnis über die Netzwerkstruktur und die verschiedenen darin vorhandenen Assets. Um diese Wissenslücke zu schliessen, sind sie gezwungen, «im Dunkeln» zu sondieren und ihren Weg manuell zu «ertasten».
Nutzen Sie diesen Umstand für sich, indem Sie einen Täuschungsservice – beispielsweise auf der Basis der Akamai Guardicore Segmentation – einsetzen. Dieser lockt Angreifer in Honeypot-Server und überwacht deren Aktivitäten gesondert. Wenn ein Angreifer in das Netzwerk eindringt und versucht, mit einer Brute-Force-Strategie an die SSH-Anmeldedaten eines Linux-Servers zu kommen, dann wird diese Anomalie identifiziert und der Angreifer wird an einen dynamisch generierten Honeypot weitergeleitet. Zudem überwacht die Akamai-Lösung die gesamte Kommunikation in Ihrem Netzwerk und verfügt über integrierte Detektoren, die Scans erkennen und Sie benachrichtigen. So verhindern Sie die Verbreitung der Malware, bevor sie beginnt.
Sobald ein Angreifer Zugriff auf das Netzwerk und Kenntnis seiner Topologie erlangt hat, wird er dies nutzen, um sich lateral im Netzwerk zu bewegen und die Infektions- und Verschlüsselungspunkte zu maximieren.
In der Regel beabsichtigen die Angreifer, die Kontrolle über einen Domänenkontroller zu übernehmen und die Anmeldeinformationen zu kompromittieren, bevor sie das Backup suchen und verschlüsseln. Ihr Ziel: Verhindern, dass das Opfer die Daten wiederherstellen kann. Die seitliche Bewegung ist somit für den Erfolg eines Angriffs entscheidend. Wenn sich die Malware nicht über ihren Landepunkt hinaus verbreiten kann, ist sie nutzlos. Daher ist die Verhinderung der seitlichen Ausbreitung zur Angriffsabwehr von entscheidender Bedeutung. Nutzen Sie deshalb Sicherheitslösungen, die solche lateralen Bewegungen einschränken und damit das Ausmass des Angriffs minimieren.
Die Erkennung und Verhinderung von Seitwärtsbewegungen innerhalb Ihres Netzwerks lässt sich auf zwei Hauptbereiche reduzieren - erstens: Reduzierung des ursprünglichen Angriffsvektors und zweitens: Begrenzung der Ausbreitungswege.
Sie können dazu die Anzahl der dem Internet ausgesetzten Server begrenzen, das Patch-Management optimieren und so die Angriffsfläche verkleinern. Zudem sollten Sie Ringfencing praktizieren, um die Ausbreitungspfade zwischen Anwendungen zu reduzieren. Regelmässige (offline) Backups Ihrer Daten helfen Ihnen nach einer erfolgreichen Angriffsabwehr wieder online zu gehen, ohne einen weitreichenden Datenverlust hinnehmen zu müssen.
Wie Sie laterale Netzwerkbewegung effizient blockieren, erfahren Sie in unserer Fünf-Schritte-Infografik:
In den letzten Jahren haben Angreifer ihre Erpressungstaktiken angepasst und damit begonnen, vertrauliche Dateien ihrer Opfer zu verbreiten und als zusätzliches Druckmittel zu benutzen. Angreifer versuchen, sich im Netzwerkrauschen zu verbergen, während sie die Daten aus dem Unternehmen extrahieren. Die gute Nachricht: In dieser Phase können sie oft noch erkannt und blockiert werden.
Angreifer verwenden meist öffentliche Tools, um Daten aus dem Netzwerk zu entwenden. Eine sehr häufige Option sind öffentliche Hosting-Dienste wie MEGA, Dropbox und Google Drive. Die Herausforderung bei der Überwachung dieser Domains besteht darin, dass sie innerhalb des Netzwerks auch rechtmässig verwendet werden. Beispielsweise kann der Zugriff auf die MEGA-Domain über einen Browser durchaus als legitim angesehen werden.
Dagegen würde der Zugriff mithilfe des Dienstprogramms rclone, das von mehreren Angriffsgruppen aktiv für die Datenextraktion genutzt wird, als schädlich eingestuft. Minimieren Sie dieses Risiko, indem Sie den Zugriff auf solche Domains auf allen Endpunkten, die diesen nicht benötigen, blockieren. Erlauben Sie hingegen den Zugriff über genehmigte Anwendungen wie Browser.
Wie Sie mit Akamai Guardicore Segmentation die Auswirkungen von Ransomware-Angriffen auf Ihr Unternehmen minimieren und Ihre wertvollen Assets schützen können, erfahren Sie in unserem ausführlichen Whitepaper.
Trotz der besten Schutzmassnahmen sind Sicherheitslücken unvermeidlich. Deshalb brauchen Sie eine Verteidigungsstrategie, die die Wirksamkeit eines Angriffs minimiert und die Ausbreitung innerhalb Ihres Netzwerks verhindert.
Wir haben eine solche Ransomware-Abwehrstrategie in fünf Punkten zusammengefasst:
| 1. Vorbereiten | Sie brauchen eine Lösung, die es Ihnen ermöglicht, alle in Ihrer IT-Umgebung laufenden Anwendungen und Systeme zu identifizieren. Dank dieses detaillierten Einblicks können Sie kritische Anlagen, Daten und Backups schnell zuordnen und Schwachstellen und Risiken erkennen. Wenn Sie sich ein vollständiges Bild Ihrer Netzwerkumgebung machen, sind Sie in der Lage, schnell zu reagieren und im Falle einer Sicherheitsverletzung Regeln zu aktivieren. |
| 2. Verhindern | Ihre Sicherheitslösung sollte es Ihnen ermöglichen, Regeln zu erstellen, um gängige Ransomware-Verbreitungstechniken zu blockieren. Durch softwaredefinierte Segmentierung können Sie Zero-Trust-Mikroperimeter um kritische Anwendungen, Backups, Dateiserver und Datenbanken herum erstellen. Darüber hinaus können Sie auch Segmentierungsrichtlinien erstellen, die den Datenverkehr zwischen Benutzer*innen, Anwendungen und Geräten einschränken und so letztlich Versuche von Quereinsteigern blockieren. |
| 3. Erkennen | Implementieren Sie eine Lösung, die Sie über alle Zugriffsversuche auf segmentierte Anwendungen und Backups informiert. Diese blockierten Zugriffsversuche liefern Hinweise auf Seitwärtsbewegungen. Ausserdem sollten Sie eine reputationsbasierte Erkennung einbauen, die vor der Präsenz bekannter bösartiger Domänen und Prozesse warnt. Durch die schnelle Erkennung von Angriffen, die den Perimeter erfolgreich durchbrochen haben, können Sie die Verweildauer minimieren und Angreifer abfangen, bevor sie Schaden anrichten können. |
| 4. Abhilfe schaffen | Entscheidend ist die automatische Einleitung von Massnahmen zur Eindämmung von Bedrohungen und zur Quarantäne, sobald ein Angriffsversuch erkannt wird. Wenden Sie Isolationsregeln an, die eine schnelle Abschaltung der betroffenen Netzwerkbereiche ermöglichen, während Segmentierungsrichtlinien den Zugriff auf kritische Anwendungen und System-Backups blockieren. |
| 5. Wiederherstellung | Schliesslich benötigen Sie Visualisierungsfunktionen, die phasenweise Wiederherstellungsstrategien unterstützen, bei welchen die Konnektivität schrittweise wiederhergestellt wird, wenn verschiedene Bereiche des Netzwerks als «unbedenklich» eingestuft werden. |
Tabelle: Die 5-Punkte-Abwehrstrategie gegen Ransomware-Angriffe
Sie sehen: Um ihr Ziel zu erreichen, müssen Angreifer verschiedene Angriffsphasen durchlaufen. Jede dieser Phasen bietet Ihnen die Möglichkeit, die damit verbundenen schädlichen Aktivitäten zu blockieren und zu erkennen. Mit unseren Cyber Defence Services sowie den Segmentierungslösungen von Akamai können Verteidiger in jedem Stadium einer Ransomware Kill Chain Abwehrmassnahmen ergreifen, um ungewöhnliches Verhalten zu erkennen und Angreifer zu stoppen.
Dies ist auch eine Forderung von NIS2. Sie fordert die Umsetzung ganzheitlicher und strenger Sicherheitskontrollen, um Risiken zu verringern und Cybersicherheitsschäden an Systemen und Daten zu verhindern. Die Anforderungen adressieren auch den Schutz vor Ransomware, Phishing und unbefugtem Zugriff.
Stoppen Sie Ransomware! Gerne zeigen wir Ihnen, wie Sie Ihr Netzwerk mit unseren Managed Detection & Response Services und Akamai Guardicore Segmentation optimal absichern und laterale Bewegungen verhindern.
Bildlegende: mit DALL-E generiertes Bild