Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher. Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschrittliche Methoden eingesetzt oder die Aktivitäten von einem menschlichen Kontrolleur gelenkt.
Bei diesen Attacken verbringen die Angreifer deutlich mehr Zeit mit der Erkundung, um geschäftskritische Ressourcen für die Verschlüsselung zu identifizieren. Da diese Ressourcen – etwa das Active Directory – für die Business Continuity und den täglichen Betrieb unerlässlich sind, sind Unternehmen eher bereit, für deren Wiederherstellung zu zahlen als bei Endpunktsystemen, die relativ einfach wiederherzustellen sind.
„Angreifer, die die gesamte Active Directory-Serverinfrastruktur verschlüsseln, können ein viel höheres Lösegeld verlangen, und das Unternehmen muss zahlen oder es verliert Geld, Zeit und Ressourcen bei dem Versuch, den Betrieb wiederherzustellen“ kommentiert Jens Wollstädter, Regional Manager DACH von Attivo Networks. „Darüber hinaus exfiltrieren diese Angreifer oft Daten und drohen mit deren Veröffentlichung – oft in Kombination mit einer zweiten Lösegeldforderung, um diese Veröffentlichung zu verhindern.“
Ransomware 2.0 kommt in vielen Varianten, sechs davon haben sich im Laufe der vergangenen Monate besonders hervorgetan:
- Conti
- Hive
- DarkSide
- Lockbit 2.0
- BlackMatter
- IcedID
Conti ist eine von Menschen betriebene Ransomware-as-a-Service (RaaS), die bei Angreifern sehr beliebt ist. Bis zum dritten Quartal dieses Jahres lag Conti beim Marktanteil an erster Stelle. Im Herbst wurde die Bedrohung so groß, dass in den USA das FBI, die NSA und die CISA eine gemeinsame Ransomware-Beratung veröffentlichten, um Unternehmen dabei zu helfen, ihr Risiko einer Kompromittierung zu verringern. Conti arbeitet mit einer doppelten Erpressungstechnik, bei der sich der Schädling seitlich im Netzwerk ausbreitet, bis er die Anmeldedaten von Domain-Administratoren erlangen kann.
Hive ist ein weiteres Beispiel für eine von Menschen betriebene Ransomware mit doppelter Erpressung. Sie ist relativ neu auf der Bildfläche und wurde erstmals im Juni 2021 entdeckt. Aber sie hat sich schnell entwickelt: Nur zwei Monate später, im August, wurden 30 Opfer gemeldet. Die rasche Verbreitung dieser Ransomware führte zu einer weiteren FBI-Warnung.
DarkSide, die Gruppe hinter dem diesjährigen Colonial-Pipeline-Angriff, ist eine osteuropäische Hackergruppe, die hauptsächlich mit Ransomware und Erpressung arbeitet. Der Angriff auf die Colonial Pipeline war für viele kritische Infrastrukturen ein Alarmsignal. Er zwang das Unternehmen, den Betrieb für mehrere Tage einzustellen, und führte zum Verlust von mehr als 100 GB an Unternehmensdaten. DarkSide nutzt häufig den Diebstahl von Anmeldeinformationen, den Zugriff auf Active Directory (AD) und die Ausweitung von Berechtigungen, um seine Ziele zu erreichen.
LockBit 2.0 ist ein weiteres Beispiel für RaaS mit doppelter Erpressung und nutzt Active Directory-Gruppenrichtlinien, um die Netzwerkverschlüsselung zu automatisieren. Die extrem schnelle und effiziente Verschlüsselung ist eines der Markenzeichen von LockBit 2.0, das derzeit auf Platz vier der Marktanteile rangiert. Der bekannteste LockBit 2.0-Angriff war der Accenture-Hack, bei dem rund 2.500 Computer betroffen waren. Die Täter forderten 50 Millionen Dollar für die Rückgabe der gestohlenen Informationen.
BlackMatter ist eine weitere RaaS-Variante und vereint Elemente von DarkSide, REvil und LockBit zu einer leistungsfähigen Kreation. BlackMatter hat es im Allgemeinen auf kritische Infrastrukturen abgesehen, geht aber über den Transport- und Energiesektor hinaus und greift auch den Lebensmittel- und Landwirtschaftssektor an. Zu seinen Taktiken gehören das Ausspähen von Anmeldeinformationen und das Angreifen von Active Directory.
IcedID ist ein modularer Banking-Trojaner, der es auf die Finanzdaten der Benutzer abgesehen hat und gleichzeitig als Mittel zum Herunterladen anderer bösartiger Programme dient, darunter beliebte Hacker-Tools wie CobaltStrike. Zudem ist IcedID in mehreren aktuellen Ransomware-Angriffen aufgetaucht. IcedID wird allgemein als geistiger Nachfolger von Emotet angesehen, einem anderen weit verbreiteten Trojaner, der über Spam-E-Mails verbreitet wird.
Ransomware 2.0-Angriffe können laut Attivo Networks recht gut analysiert werden, indem man ihre Techniken auf dem MITRE ATT&CK Framework abbildet, um zu verstehen, wie sie funktionieren. Anschließend findet man in MITRE Shield dann die entsprechenden Abwehrtechniken, um sie zu bekämpfen.
MITRE ATT&CK ist ein Framework für die Beschreibung von Aktionen eines Angreifers und beschreibt deren Taktiken, Techniken und Prozeduren (TTPs). Als Ergänzung zu ATT&CK ist MITRE Shield eine kostenlose, öffentlich zugängliche Wissensdatenbank, die Daten aus aktiven Verteidigungsmaßnahmen erfasst und organisiert.
www.attivonetworks.com