Ein Ransomware-Angriff zielt auf die Monetarisierung eines erfolgreichen Angriffs ab. Sobald sich die Angreifer zu erkennen geben, setzen sie ihre Opfer unter solch enormen Druck, dass das die Zahlung von Lösegeldforderungen oft als einzige Lösung erscheint. Dabei nutzen sie eine mehrstufige Strategie, bekannt als Multi-Extortion-Strategie, die in Abhängigkeit von der Anzahl der eingesetzten Teilstrategien auch als Double- oder Triple-Extortion-Strategie bezeichnet wird. Diese Strategien umfassen folgende Schritte:
- Verschlüsselung von Daten und Systemen: Die Ransomware verschlüsselt Daten. Die Angreifer bieten Unterstützung bei der Entschlüsselung der unbrauchbar gemachten Daten und der Wiederherstellung der Windows-Dienste an oder das Schließen des Einfallstors.
- Exfiltration sensibler Daten: Angreifer entwenden sensible Informationen wie Firmengeheimnisse, Benutzerdaten und Kundendaten. Sie drohen, diese bei Nichtzahlung zu veröffentlichen oder zu verkaufen, um den Ruf des Unternehmens zu schädigen.
- DDoS-Angriffe bei Nichtzahlung: Wenn das Lösegeld nicht bezahlt wird, drohen regelmäßige Distributed-Denial-of-Service-Angriffe (DDoS).
Ein solcher Angriff kann dazu führen, dass wichtige Serverdienste, Programme und Unternehmensdaten oder direkt die VM-Container unbrauchbar werden. Das Ziel der Angreifer ist erreicht, wenn die Handlungsfähigkeit des Unternehmens zum Erliegen kommt, was den Weg zurück zur Normalität langwierig und kostspielig macht. Dies zeigt, wie wichtig es ist, das Unternehmen vor Betriebsunterbrechungen zu schützen. Wir unterstützen Sie gerne dabei, geeignete Schutzmaßnahmen zu ergreifen und zeigen im Folgenden, wie die erfolgreichsten Ransomware-Gruppen vorgehen, damit Sie Ihre Cyber-Abwehrstrategie besser auf die aktuelle Lage ausrichten können.
Die Digitalisierung von Geschäftsprozessen, die Einführung von Kryptowährungen und das TOR-Netzwerk (Onion-Routing) ermöglichen weitgehend anonymisierte Angriffe und Lösegeldforderungen. Seit 2017, als die Lösegeldforderungen im Durchschnitt zwischen 501 und 2000 US-Dollar lagen, sind sie stetig gestiegen. Im ersten Quartal 2022 betrug die durchschnittliche Lösegeldzahlung bereits 211.529 US-Dollar, während sie im Jahr 2022 auf 570.000 US-Dollar anstieg. Laut dem IT-Sicherheitsbericht des BSI verursachten Ransomware-Angriffe allein in Deutschland im Jahr 2022 einen Schaden von 202 Milliarden Euro; bis September 2023 waren es bereits 203 Milliarden Euro.
Was ist ein Exploit bei Ransomware und wie kann man sich schützen?
Angreifer nutzen sogenannte sogenannte Zero-Day-Exploits, also Softwarelücken, um über das Internet erreichbare Server zu übernehmen oder greifen durch Social-Engineering und Phishing-Kampagnen Systemzugänge ab. Ein Exploit ist eine Schwachstelle, die es Angreifern ermöglicht, Schadsoftware nachzuladen und sich in Ihr IT-System einzunisten. Zero-Day bezeichnet den Zeitraum, in dem der Administrator reagieren kann, um die Lücke durch einen Sicherheitspatch zu schließen – für einen Zero-Day-Exploit kann es also im schlimmsten Fall noch keinen Patch geben.
Exploits erfordern nicht immer einen Benutzer, um Opfer von Ransomware zu werden. Sie können gezielt auf spezifische Server wie Mail- oder Webserver eingesetzt werden, oder Angreifer locken Mitarbeiter auf manipulierte Seiten, um Zero-Click-Angriffe wie Drive-by-Downloads durchzuführen.
Zu den erfolgreichsten Gruppen, die diese Techniken perfektioniert haben, zählen Lockbit 3.0, AlphV (BlackCat), CLOP, Conti, Blackbasta, Prevail, REvil, Akira, Royal und viele mehr. Diese Angriffe folgen in der Regel einem bestimmten Muster, dem Lockheed Martin’s Cyber-Kill-Chain-Modell, weshalb es sich lohnt, sich mit dieser Bedrohung auseinanderzusetzen.
Detaillierte Kenntnisse über Angriffsabläufe, eingesetzte Tools und Angriffsvektoren wie Pass-the-Ticket, Pass-the-Hash, Pass-the-Session und Golden Tickets sind entscheidend. Diese Informationen helfen Ihnen, die passenden Schutzmechanismen zu implementieren und Ihr Unternehmen vor Betriebsunterbrechungen zu bewahren.
Es gibt jedoch keine universelle Lösung für alle Schwachstellen. Auch wenn Produkte wie Firewalls, Anti-Spam-Lösungen und Endpoint-Security-Systeme (mit EDR und XDR) weit verbreitet sind, erfordert ein umfassender Schutz zusätzliche Ansätze. Dazu gehören Zero-Trust-Lösungen, eine robuste Sicherheitsarchitektur, allgemeine Monitoring-Lösungen und die Einbindung der Anwender in das Cyber-Abwehr-Konzept.
Angriffserkennungssysteme nutzen Angriffsindikatoren (Indicators of Attack, IoA) und Kompromittierungsindikatoren (Indicators of Compromise, IoC), um laufende Angriffe zu erkennen. Dies gibt der IT die Möglichkeit, zu reagieren, bevor das System unbrauchbar wird. Das Aufspüren dieser Indikatoren ist die Spezialität eines SOC-Teams, das in einem Loggingsystem, das Meldungen aus zahlreichen Quellen zusammenführt, Auffälligkeiten entdeckt. Es identifiziert kompromittierte Systeme und unterstützt die IT dabei, diese zu bereinigen und das Einfallstor zu schließen, idealerweise bevor der Schaden entsteht.
Wie läuft ein Ransomware-Angriff auf einem Computer genau ab? Gibt es Muster bei Malware und worauf muss ich achten?
Die folgende Grafik zeigt vereinfacht eine typische Kill-Chain einer Ransomware-Gruppe:
Wie die Kill-Chain zeigt, folgen Ransomware-Angriffe oft einer bestimmten Kill-Chain, bei der mindestens auf eine Double-Extortion-Strategie gesetzt wird. Angreifer nutzen leistungsfähige Tools, die auch legitimen Kunden zur Verfügung stehen. Hier sind die idealisierten Abläufe und repräsentativen Tools eines Ransomware-Angriffs:
- Nutzung von Schwachstellen: Angreifer kombinieren mehrere Schwachstellen, um Rechteausweitungen bis hin zu Administrator-, System- oder Root-Rechten zu ermöglichen. Sobald sie Admin-Rechte erlangt und eine Root-Shell platziert haben, laden sie beliebigen Code aus dem Internet nach, scannen die Netzwerkumgebung und analysieren sie auf weitere Schwachstellen. Dabei überwinden sie Barrieren wie Firewalls, Anti-Viren- und EDR-Systeme, um das Active Directory (AD), das Backup-System, den Hypervisor und Ihre Daten zu kompromittieren.
- Netzwerkexpansion: Tools wie Netzwerkscanner (z.B. von SoftPerfect), Keylogger und Remote Management Lösungen wie ConnectWise helfen den Angreifern, sich im Netzwerk weiter auszubreiten.
- Passwortdiebstahl: Ein zentrales Element ist das Abgreifen von Passwörtern jeglicher Art, da sie entscheidend für den weiteren Angriff sind.
- Active Directory Kompromittierung: Wenn die Angreifer soweit gekommen sind, können sie mit Tools wie AdFind und ADRecon einen AD-Dump erstellen und die Infrastruktur analysieren. Lokale Anmeldedaten können aus der Local Security Authority (LSASS) extrahiert werden, um sie für Brute-Force- Wörterbuchangriffe zu nutzen oder um alle möglichen Passwortkombinationen auszuprobieren.
- Schwachstellenscan: Im schlimmsten Fall führen Angreifer mit einem AD-Administrator einen Schwachstellenscan mit Software zur Simulation feindlicher Angriffe, z.B. Cobalt Strike, durch, um entscheidende Netzwerkziele zu identifizieren.
- Deinstallation von Sicherheitssoftware: Angreifer deinstallieren als nächsten Schritt Endpoint-Security-Agenten, unabhängig von vorhandener Tamper-Protection, oft mit speziellen Tools (z.B. Ultimate Uninstaller.exe ;forensische AnalyseNov 2023)
- Kerberos- und RDP-Angriffe: Sobald Angreifer Zugriff auf den Windows-Server haben, nutzen sie Tools wie Process Hacker und Mimikatz, um Schwachstellen im Kerberos-Protokoll für Pass-the-Hash-Angriffe auszunutzen. Sie provozieren Administratoranmeldungen an kompromittierten Systemen, um den Zugriff auf alle Domänensysteme zu beschleunigen.
- Datenausleitung: Mit Tools wie ExMatter, MEGAsync oder SSH werden möglichst viele Unternehmensdaten exfiltriert. Angreifer erstellen im Darknet spezifische Onion-Adressen, um Daten hochzuladen und setzen einen Countdown für die automatische Veröffentlichung, sollte sich das Opfer nicht melden.
- Verschlüsselung und Löschung: Sobald die Angreifer Zugriff auf das Backup-System, den File-Server, den Hypervisor, die Endpoint-Security und das AD haben, verschlüsseln die Angreifer das System. Mithilfe von PowerShell-Scripts löschen sie Windows-Schattenkopien, Logs und andere Spuren, um jede Art der Wiederherstellung zu verhindern. Der Ransomware-Code wird getarnt, live kompiliert und gestartet, um mit datei-loser Malware (Living off the land – LOTL) patternbasierte Erkennung zu umgehen. Er wird innerhalb von Sekunden über die gesamte Infrastruktur verteilt, oft unter einer Windows-typische Prozessbezeichnung wie wie svhost.exe. Dieser Vorgang passiert so schnell, das es oft zu spät ist bis man ihn als solchen identifiziert hat.
- Erpressung und Kontaktaufnahme: Nun platzieren die Angreifer eine Readme-Datei (z.B. html, txt, angepasster Desktop-Hintergrund) auf Ihren Systemen, die Anweisungen zur Identifizierung und Kontaktaufnahme enthält und können Sie so erpressen.
Diese Schritte zeigen eindrucksvoll, wie Ransomware systematisch alle wichtigen Windows-Dienste, von Backups über Antiviren-Software bis hin zu Datenbanken, Windows-Internetdiensten oder den Storage-Bereich des ESX, wo die virtuellen Maschinen (VMs) liegen, lahmlegt und unbrauchbar macht.
Forensische Analysen belegen, dass häufig mehrere cyberkriminelle Angreifergruppen beteiligt sind. Die Angreifer brauchen für diese vielen Schritte eine gewisse Zeit –allerdings gilt auch hier: Wer zuerst kommt, malt zuerst. Diese Prozesse nehmen Zeit in Anspruch, und der eigentliche Verschlüsselungsprozess erfolgt meist zu Zeiten, in denen niemand arbeitet, wie am Wochenende oder nachts, oder zu besonders umsatzstarken Zeiten wie der Weihnachtszeit.
Welche Schutzmöglichkeiten vor einer Infektion gibt es?
Angelehnt an das APT-Lifecycle Modell, dem Defense-in-depth-Modell und der Cyber-Kill-Chain hat die New Zealand Regierung von ihrem Government Computer Emergency Response Team (GovCERT) eine Verteidigungsstrategie erarbeiten lassen, die Administratoren unterstützen soll, eine geeignete Verteidigungsstrategie zu implementieren. Diese kann der folgenden Grafik entnommen werden:
Quelle: How ransomware happens and how to stop it, CERT NZ, letzter Zugriff: 27-02-2025. https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/
Fazit
Das Verständnis der hochentwickelten Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTP) von Angreifern bei Advanced Persistent Threats (APT) befähigt IT-Verantwortliche, fundierte Entscheidungen zu treffen. Nur Organisationen, die über spezielles Wissen, geschultes Personal und geeignete Tools verfügen, können sich effektiv schützen.
Es ist daher für jedes Unternehmen essenziell, sich intensiv mit dem Thema Ransomware auseinanderzusetzen. Dabei sollten nicht nur präventive Maßnahmen gegen Ransomware-Vorfälle im Fokus stehen, sondern auch die Vorbereitung auf die Zeit nach einem Angriff. Dazu gehört das Überwachen von möglichen Datenlecks, selbst wenn primär Geschäftspartner betroffen sind. Für die strategische Ausrichtung der Cyber-Abwehr-Strategie ist es wichtig, dass die IT-Abteilung die Anatomie von Ransomware-Angriffen versteht und folgende Punkte berücksichtigt:
- Netzwerk-Topologie: Implementieren Sie eine geeignete Netzwerk-Topologie, um die kritischen Daten Ihres Unternehmens zu schützen.
- Backup-Infrastruktur: Schützen Sie Daten und Dienste durch mehrstufige Backup-Methoden an mindestens zwei Standorten. Backups sollten offline gehalten und als unveränderbare Backups (Immutable Backups) implementiert werden, beispielsweise nach dem Veeam ZTDR-Modell. Überprüfen Sie alle 3 bis 6 Monate, ob alle VMs in der Backup-Software erfasst sind.
- Zero-Trust-Ansatz: Etablieren Sie einen sicheren Schutzschild durch einen Zero-Trust-Ansatz, um zu verhindern, dass Schadcode auf Ihre Systeme gelangt.
- AD-Härtung: Führen Sie Maßnahmen zur Härtung des Active Directory durch und etablieren Sie ein Sicherheitsmodell für privilegierte Zugriffe.
XDR-/SIEM-SOAR-Systeme: Nutzen Sie ein XDR-/SIEM-SOAR-System, um Ihrem SOC-Team zu helfen, verdächtige Aktivitäten frühzeitig zu identifizieren.
Stay secured!