Der Siegeszug von Ransomware-Angriffen

Montag, 26. Oktober 2020 von Tilly Holland

DST_image_600x600_ransomware

Cybersecurity-Angriffe haben während der Coronavirus-Pandemie stark zugenommen. Es ist jetzt wichtiger denn je, dass Organisationen und Einzelpersonen sich der Schritte bewusst sind, die sie unternehmen können, um das Risiko, ein Ziel zu werden, zu mindern. Die Situation hat sich so verschlimmert, dass das Büro für Terrorismus- und Finanzaufklärung des US-Finanzministeriums eine Reihe von Empfehlungen herausgegeben hat, um Einzelpersonen und Unternehmen bei der Bekämpfung von Ransomware-Angriffen zu unterstützen.

In Verbindung mit dem National Cybersecurity Month möchten wir diesen Blog nutzen, um Sie auf die Empfehlungen aufmerksam zu machen und den neuesten Ransomware-Bedrohungsbericht 2020 von CrowdStrike vorzustellen. 

Bevor wir in die Tiefen der beiden Hinweise eintauchen, halten wir es für sinnvoll, hervorzuheben, was das US-Finanzministerium als Ransomware definiert. 

Laut Finanzministerium ist Ransomware definiert als "eine Form von bösartiger Software ("Malware"), die den Zugriff auf ein Computersystem oder Daten blockiert, oft durch Verschlüsselung von Daten oder Programmen auf IT-Systemen, um von den Opfern Lösegeldzahlungen im Austausch für die Entschlüsselung der Informationen und die Wiederherstellung des Zugriffs der Opfer auf ihre Systeme oder Daten zu erpressen. In einigen Fällen drohen die Täter zusätzlich zu dem Angriff mit der Veröffentlichung sensibler Dateien der Opfer, bei denen es sich um Einzelpersonen oder Unternehmen handeln kann." 

Die Bedeutung der Advisories (Empfehlungen)

Die beiden Organisationen, die die Advisories herausgeben, sind das Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums und das Office of Foreign Assets Control (OFAC) des Finanzministeriums. 


 1. Das FinCen-Advisory trägt den Titel: "Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom payments." Ziel des Advisory ist es, "Informationen über die Rolle von Finanzintermediären bei Zahlungen, Ransomware-Trends und -Typologien sowie damit zusammenhängende finanzielle Warnsignale bereitzustellen. Es bietet auch Informationen zur effektiven Meldung und Weitergabe von Informationen im Zusammenhang mit Ransomware-Angriffen." 


Finanzintermediäre spielen eine wichtige Rolle, wenn es darum geht, zu verhindern, dass Geld unter Zwang den Besitzer wechselt. Wie bei der Standard-Betrugserkennung wird in dem Advisory erklärt, dass von den Intermediären erwartet wird, dass sie durch aktive Erkennung verdächtiger Transfers eingreifen und alle versuchten Transaktionen durch entsprechend kategorisierte SARs-Einreichungen melden. Die FinCEN-Beratung hat zehn "Red Flags" für Intermediäre zur Verfügung gestellt, die sie in ihre Algorithmen integrieren können, um diesen Organisationen zu helfen, Zahlungen unter Nötigung zu identifizieren. 


2. Die OFAC-Beratung trägt den Titel: "Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments." Das Advisory zielt darauf ab, "die Sanktionsrisiken hervorzuheben, die mit der Erleichterung von Ransomware-Zahlungen im Namen von Opfern verbunden sind, die Ziel bösartiger cyber-gestützter Aktivitäten sind." 


Unabhängig davon, unter welchem Zwang ein Unternehmen steht, wenn es von Cyberkriminellen angegriffen wird, ist es letztendlich für jedes OFAC-Risiko verantwortlich, das durch die Überweisung von Geldern entsteht. 


 Wenn ein Unternehmen beispielsweise aus einem Impuls heraus handelt und Geld mit einem Hacker austauscht, können unabhängig vom Kontext OFAC-Strafen anfallen. Der Angriff kann zwar bei der Bewertung des OFAC-Risikos berücksichtigt werden, schützt die Organisation aber nicht davor, letztendlich zur Verantwortung gezogen zu werden. 


Warum werden sie benötigt? 

In den letzten 12 Monaten haben Schwere und Raffinesse von Ransomware-Angriffen in verschiedenen Branchen weiter zugenommen. Der jüngste Angriff auf Universal Health Services (UHS) erinnert uns daran, dass keine Organisation vor Ransomware sicher ist. Laut dem CrowdStrike Threat Report 2020 hat die Cyberkriminalität in diesem Jahr eine dunkle Kehrtwende vollzogen: Sie hat es nicht mehr nur auf große Regierungseinrichtungen abgesehen, sondern auch auf Bildungseinrichtungen sowie unterbesetzte und überlastete öffentliche Einrichtungen. 


Ransomware-Angriffe auf Organisationen wie das Gesundheitswesen, Behörden und Bildungseinrichtungen haben zugenommen, was höchstwahrscheinlich auf die schwächeren Cybersecurity-Kontrollen der Opfer und die Sensibilität der Daten zurückzuführen ist. Ohne adäquate Backupsysteme und Fähigkeiten zur Reaktion auf Vorfälle sind kleine Unternehmen und öffentliche Einrichtungen leichte Ziele für Cyberkriminelle. Im Gegensatz zu großen staatlichen Unternehmen, die sich damit abgefunden haben, ins Visier böser Akteure zu geraten, und die über die finanziellen Mittel und qualifizierten Ressourcen verfügen, um Maßnahmen zu ihrem Schutz zu ergreifen, ist es für typische Organisationen und Einzelpersonen, die versuchen, ihren primären Geschäften nachzugehen, eine ganz andere Sache.


Neue Ransomware-Techniken 

Der CrowdStrike-Bedrohungsbericht hebt einige neue Trends bei Ransomware-Taktiken hervor. Dazu gehören: 


Der Versuch, Sicherheitsprodukte zu beenden  

Cyberkriminelle versuchen nun, Sicherheitssoftware zu entfernen, z. B. Endpunktschutzprodukte oder SIEM-Alarmforwarder (Security Information and Event Management). Zu den öffentlich verfügbaren Dienstprogrammen für diesen Zweck gehören PCHunter, ProcessHacker, PowerTool x64, GMER, Total Uninstall Portable und Defender Control. 


Verwendung von kompromittierten Websites, die das WordPress CMS hosten 

Crowdstrike hat festgestellt, dass 2019 eine Zunahme von Cyberkriminellen zu verzeichnen war, die kompromittierte Websites nutzen, auf denen einzelne WordPress Content Management Systeme (CMS) gehostet werden. Die Websites wurden genutzt, um Malware zu verbreiten (REvil, MUMMY Spider's EMOTET und Qakbot). Darüber hinaus waren bestimmte Websites, die von den Schwachstellen von WordPress betroffen waren, auch in Credential Harvesting-Operationen verwickelt. CrowdStrike "identifizierte außerdem mehrere bösartige Phishing-Seiten, die sich als Microsoft Office 365 Landing Page ausgeben sollten. Die meisten dieser Seiten wurden auf legitimen Domains gehostet, die wahrscheinlich durch Sicherheitslücken in CMS-Plugins kompromittiert wurden."

Dropper Document Builders und Distributionsdienste 

Ende 2019 wurde die Entwicklung zahlreicher Dropper-Dokumentenfamilien mit den Namen Gemini, Leo und Virgo festgestellt. Diese bösartigen, makroaktivierten Dokumente ermöglichen die Verteilung mehrerer Malware-Varianten von einem einzigen Dokument aus, was den Diebstahl von Informationen ermöglicht. 

E-Mail-Thread-Hijacking 

Diese neue Art der Cyberkriminalität nutzt E-Mail-Inhalte aus, die zuvor vom E-Mail-Harvester-Modul von Emotet gesammelt wurden. Nachdem der E-Mail-Inhalt eines Opfers gestohlen wurde, identifiziert die Malware E-Mail-Threads anhand der Betreffzeile (z. B. Re:) und formuliert eine Antwort auf den Thread. Diese Taktik erhöht die Wahrscheinlichkeit, dass ein Empfänger einen bösartigen Anhang öffnet (oder auf einen Link klickt), da der Absender eine Person zu sein scheint, mit der er zuvor kommuniziert hat, und die Betreffzeile mit einem früheren Gesprächsfaden übereinstimmt, den er mit dieser Person hatte. 

Andere Ransomware-Techniken 

Phishing-Angriffe: Kampagnen, die Opfer dazu verleiten, eine bösartige Datei herunterzuladen oder eine bösartige Website zu besuchen, Remote-Desktop-Protokoll-Endpunkte und Softwareschwachstellen auszunutzen oder "Drive-by"-Malware-Angriffe zu implementieren, die bösartigen Code auf legitimen Websites hosten.


Schema Großwildjagd: Cyberkriminelle nehmen gezielt große Unternehmen ins Visier, um höhere Lösegelder zu fordern. 

Partnerschaften und gemeinsame Nutzung von Ressourcen: Einige Cyberkriminelle nutzen gemeinsame Ressourcen, um die Effektivität ihrer Ransomware-Angriffe zu erhöhen. Einige Beispiele sind der Austausch von Ransomware-Exploit-Kits, die vorgefertigte bösartige Codes enthalten. Einige Gruppen tauschen Ratschläge, Code, Trends und Techniken aus, um ihre Erfolgsquote zu erhöhen. 

Doppeltes Erpressungsschema: Dabei werden sensible Daten aus den Zielnetzwerken entfernt, die Systemdateien verschlüsselt und Lösegeld gefordert. Die Kriminellen drohen dann, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer das Lösegeld nicht zahlt.


Wie können Unternehmen Ransomware verhindern? 

Cyberkriminalität wird so lange zunehmen, wie die Hintermänner mit den Angriffen Geld verdienen. Es ist wichtiger denn je, Maßnahmen zu ergreifen, die sicherstellen, dass Unternehmen in einer hervorragenden Position sind, um sich gegen Ransomware zu verteidigen. Im Folgenden finden Sie die Top-Tipps von CrowdStrike zum Schutz Ihres Unternehmens in der Zukunft. 


Implementieren Sie Programme zur Sensibilisierung der Benutzer: Der Endbenutzer bleibt ein kritisches Glied in der Kette zur Verhinderung von Sicherheitsverletzungen. Ihr Unternehmen sollte Programme zur Sensibilisierung der Benutzer initiieren, um die anhaltende Bedrohung durch Phishing und ähnliche Social-Engineering-Techniken zu bekämpfen.

Stellen Sie engagierte Sicherheitsexperten ein oder suchen Sie eine Partnerschaft mit einer externen Lösung: Die Verteidigung gegen hochentwickelte Bedrohungen erfordert ausgereifte Prozesse und effektive, engagierte Sicherheitsexperten. Wenn Ihr Unternehmen nicht in der Lage ist, einen solchen Experten intern einzustellen, sollten Sie, wenn möglich, eine externe Lösung wählen. 

Konfigurieren Sie Ihre Sicherheitskontrollen und setzen Sie sie in der gesamten Unternehmensumgebung ein: Erfolgreiche Einbrüche ereignen sich oft dort, wo Sicherheitskontrollen vorhanden waren, die einen Angriff hätten abwehren können, dies aber aufgrund mangelnder Konfiguration durch die Organisation nicht taten. Maximieren Sie den Schutz, den Sie durch die vorhandenen Sicherheitskontrollen haben. 

Richten Sie eine Zwei-Faktor-Authentifizierung ein: Cyberkriminelle sind geschickt darin, auf gültige Anmeldeinformationen zuzugreifen und diese zu nutzen, um zu einer tiefgreifenden Kompromittierung zu führen. Alle Benutzer sollten eine Zwei-Faktor-Authentifizierung einrichten, um es Kriminellen zu erschweren, privilegierten Zugriff zu nutzen, um ihre Ziele zu erreichen. Das Problem des Schutzes von Identitäten wird dadurch jedoch nicht vollständig gelöst. Daher sollten Sie nach einem robusten Prozess für die Verwaltung von privilegiertem Zugriff suchen, der den Schaden begrenzt, den Angreifer anrichten können, wenn sie sich Zugang verschaffen, und die Wahrscheinlichkeit von Seitwärtsbewegungen verringert.

Wie Ontrack helfen kann 

Wenn bösartiger Code Ihr System infiziert und Geld erpresst, können die Gesamtauswirkungen - Ausfallzeiten, Reputationsschäden und das Lösegeld selbst - katastrophal sein.


Sammlung von proprietären Tools entwickelt, um Daten aus mit Ransomware verschlüsselten Dateien wiederherzustellen. Obwohl jeder Ransomware-Vorfall einzigartig ist und in seiner Komplexität variiert, ist eine Datenwiederherstellung oft möglich. Obwohl wir nicht garantieren können, dass eine Wiederherstellung von Ransomware möglich ist, können wir eine kostenlose Beratung für Unternehmen garantieren, um unsere Prozesse durchzugehen und festzustellen, wie die besten Ergebnisse aussehen könnten.


Um mehr zu erfahren, besuchen Sie unsere Website