Anfang März hat das BSI gemeinsam mit dem BKA Empfehlungen zum Umgang mit Lösegeldforderungen mit Erpressungstrojanern herausgegeben. Wenig überraschend erneuerte das BSI die von vielen Experten seit Jahren ausgegebene Empfehlung, sich aus Prinzip nicht auf Lösegeld-Zahlungen einzulassen.
Gleichzeitig lässt das Aufkommen von Malware-as-a-Service die Menge an erfolgreichen Ransomware-Attacken stark ansteigen. Das Geschäftsmodell Ransomware scheint also weiterhin zu funktionieren und lässt darauf schließen, dass immer noch viele Opfer bezahlen, um wieder an ihre Daten zu gelangen. Was also ist die beste Taktik, sich gegen die neuen Ransomware-Angreifer zu schützen?
Ransomware-Angreifer sind grundsätzlich darauf aus, durch ihre illegalen Machenschaften Geld zu erpressen. Das stimmt zwar meistens, aber nicht immer. Angreifer nutzen ihren neu erschwindelten Netzwerkzugang manchmal auch dazu, Daten zu stehlen. Doch egal, welche Motivation ein Angreifer hat, eine Ransomware von Grund auf zu programmieren ist kompliziert und benötige viel Zeit und Erfahrung. Um eine erfolgreiche Ransomware zu coden wird ein ganzes Team an Hackern benötigt, die die verschiedenen Stufen der ‚Kill-Chain‘ im Detail verstehen. Bevor es also daran geht, Netzwerke zu infiltrieren und Daten zu verschlüsseln oder zu stehlen, müssen diese Gruppen Zeit und Geld investieren, um ihre Angriffswerkzeuge zu erstellen. Einige findige Gruppen lassen sich ihre Entwicklungsarbeit seit einiger Zeit sogar bezahlen und bieten ihre Ransomware anderen, weniger versierten Gruppen als Malware-as-a-Service im Darknet zur Nutzung an. Tatsächlich fielen die meisten Infektionen mit Ransomware im Jahr 2019 auf die Ransomwares Sodinokibi und Ryuk, die beide in die Kategorien der Malware-as-a-Service fallen.
Unprofessionelle Hacker sind der Worst Case der Ransomware
Die beständige Flut an Ransomware-Angriffen durch Malware-as-a-Service hat einen unschönen Nebeneffekt: Von amateurhaften Hackern schlecht konzipierte Ransomware-Attacken machen es unwahrscheinlicher, dass man wieder an seine Daten kommt. Bisher veröffentlichte Umfragen zeigen, dass Ransomware-Hacker in den meisten Fällen, insbesondere bei großen Angriffen, nach der Zahlung einer Cryptowährung durch das Opfer tatsächlich Entschlüsselungswerkzeuge bereitstellen. Das ist auch sinnvoll, denn würden sie diese nicht schicken, ist es weniger wahrscheinlich, dass ihr nächstes Opfer bezahlt. Dass trotz Zahlung kein Entschlüsselungstool geschickt wird oder nur ein unzureichendes, kommt vor allem bei den Gruppen vor, die weniger bekannte Tools verwenden und sich mit ihren Angriffen auf kleinere Unternehmen und normale Verbraucher richten. Die Verschlüsselung von Dateien auf einem Server ist nämlich keinesfalls einfach. Ist die Ransomware-Forderung technisch schlecht konzipiert, können große Dateien bei der Entschlüsselung beschädigt werden. Auch ist es ist möglich, dass Daten bei der Entschlüsselung verloren gehen. Egal ob Großunternehmen oder Max Mustermann, amateurhafte Hacker sind damit nicht nur ein Problem für Betroffene, sondern auch für die besser organisierten kriminellen Gruppen, denen das Geschäft durch diese unprofessionellen Hacker vermiest wird.
Möglichkeiten, sich gegen Ransomware zu schützen
Die beste Taktik gegen Ransomware – ob professionell oder amateurhaft – ist natürlich sich entsprechend zu schützen.
- Schulungen: Ein wichtiges Element einer jeden Sicherheitsstrategie ist seit jeher die Schulung der Mitarbeiter beim Erkennen potenzieller Bedrohungen. Nach wie vor benötigen Angreifer für einen erfolgreichen Angriff aktuelle Logindaten von Benutzern im Netzwerk ihres als Ziel ausgewählten Unternehmens. Phishing-E-Mails waren in der Vergangenheit oft recht unbeholfen zusammengeschustert und relativ einfach zu erkennen. Doch die Angreifer haben gelernt und zielgerichtete Phishing-E-Mails sind heute selbst für Experten auf den ersten Blick kaum noch zu erkennen. Nur eine gut geschulte Belegschaft wird in der Lage sein, verdächtige E-Mails zu erkennen und die IT-Sicherheit zu verständigen. Aufmerksame Mitarbeiter wechseln ihr Passwort regelmäßig oder nutzen konsequent die VPN-Verbindung für die Nutzung des Remote Desktop.
- Sicherheitsnetz: Eine effektive Strategie, die die Angriffskosten für Cyberkriminelle in die Höhe treibt, erfordert ein komplettes Sicherheitsnetz, das aus modernen Sicherheitslösungen besteht. Es hat im Idealfall mehrere Ebenen und setzt neueste Erkennungs- und Reaktionstechnologien (Endpoint Detection & Response – EDR) für die Endpunkte der gesamten Infrastruktur eines Unternehmens ein. Neueste Entwicklungen in diesem Bereich bedienen sich zudem des Maschinellen Lernens und der Automatisierung, um die überlasteten SOC-Teams bei der Priorisierung von Sicherheitswarnungen zu unterstützen. Dies ist insbesondere für kleinere Unternehmen ein wichtiger Faktor, da sich diese Organisationen im Normalfall keine großen SOC-Teams leisten können und die Algorithmen dabei helfen, kleinere Teams effektiver zu machen.
- Asset Management: Bevor Unternehmen den Schritt gehen können, neueste Technologien zur Erhöhung ihrer Sicherheit einzusetzen, müssen im ersten Schritt die Hausaufgaben erledigt werden. Angreifern reicht ein einzelnes verwundbares Objekt im Netzwerk aus, um es als Brückenkopf für komplexere Angriffe zu nutzen. Es ist deshalb unerlässlich, ein ordentliches Asset-Management zu betreiben, das jederzeit auf dem aktuellen Stand ist. Erst wenn man alle Objekte in der Infrastruktur kennt, kann man diese sichern und mit Sicherheitspatches auf dem neuesten Stand halten.
- Notlösung Entschlüsselungstools: Sollte doch einmal ein Angriff erfolgreich sein, können unter Umständen Entschlüsselungstool dabei helfen, wieder an die durch Ransomware verschlüsselten Daten zu gelangen, ohne horrende Lösegelder zu bezahlen. Solche Tools werden im Allgemeinen in Zusammenarbeit von Anbietern von IT-Security-Lösungen und den international agierenden Behörden wie Europol oder dem US-Amerikanischen FBI erstellt. Ein in Zusammenarbeit mit Bitdefender. veröffentliches Entschlüsselungstool kann beispielsweise die von GandCrab verschlüsselten Daten wieder entschlüsseln. Diese Tools sind normalerweise kostenfrei und werden auf entsprechenden Portalen, wie etwa dem „No More Ransom Project“ veröffentlicht.
Die ewige Frage, ob man nach einem Angriff auf seine Daten zahlen sollte oder nicht, bleibt weiterhin bestehen. Der Trend von Malware-as-a-Service senkt die Wahrscheinlichkeit zu bezahlen noch weiter, da auf die weniger professionellen Gruppen, die diese Ransomware im Baukaustenprinzip nutzen, kein Verlass ist. Durch diese neuartigen Angreifer und die Flut an Angriffen ist es für Unternehmen wichtiger denn je sich adäquat abzusichern. Neben der Schulung der Mitarbeiter ist hier eine mehrschichtige Sicherheitslösung für Unternehmen ein Muss. Denn richtig gerüstet stellt sich die Frage erst gar nicht, ob bezahlt werden soll oder nicht.