Ransomware zählt nach wie vor zu den größten Cyberbedrohungen. Die Angreifer nutzen dabei verschiedene Taktiken, Techniken und Verfahren.
Die Kenntnis der verschiedenen Angriffsmethoden und -phasen ist eine wichtige Voraussetzung für Unternehmen, um geeignete präventive Maßnahmen zu ergreifen, mit denen sie ihr Sicherheitsniveau deutlich erhöhen können.
Das BSI stuft in seinem Lagebericht 2023 Ransomware als die Hauptbedrohung im Cyberraum ein. Dabei passen die Angreifer ihre Methoden kontinuierlich an, so wird derzeit vermehrt auch legitime Software zur Verbreitung von Malware genutzt. Durch die missbräuchliche Nutzung vorhandener Unternehmenstools können Angreifer länger unentdeckt bleiben und ihre Privilegien dann sukzessive erweitern. Verstärkt greifen sie dabei auf Ransomware-as-a-Service (RaaS) zurück, sodass sie keine eigene Malware mehr erstellen müssen. Damit entfällt ein Prozess, der Fähigkeiten, Ressourcen und Zeit erfordert. Folglich kommen auch immer mehr potenzielle Angreifer ins Spiel – verbunden mit einer erhöhten Gefährdungslage.
Wenn Angreifer legitime Tools missbräuchlich verwenden, ist es unwahrscheinlich, dass herkömmliche Lösungen für die Sicherung von Endgeräten sie erkennen, es sei denn, es sind Analysefunktionen für ungewöhnliche Logins, für die Ausweitung von Berechtigungen, für die Ausführung von Programmen oder für andere riskante Aktivitäten vorhanden.
Analyse der Angriffskette
Ransomware-Angreifer nutzen unterschiedliche Varianten zur Infiltration von legitimer Software oder einer Software-Supply-Chain. Dabei sind vor allem die folgenden typischen Angriffsszenarien und -phasen anzutreffen.
Erstinfektion: Für die Erstinfektion werden verschiedene Angriffswege genutzt. Dazu zählen etwa bekannte Schwachstellen und Anfälligkeiten (Common Vulnerabilities and Exposures – CVEs), die Veränderung oder Manipulation der Cookies von Web Sessions der Benutzer sowie der Versand von Phishing-E-Mails mit der Aufforderung, legitime Anwendungen herunterzuladen.
Persistenz: Angreifer verwenden auch legitime Software, um Hintertüren für die Persistenz oder Command-and-Control (C2)-Server einzurichten. Auf diesem Weg können sie eine MFA umgehen oder bestehende Sicherheitstools verändern beziehungsweise deaktivieren, um eine Entdeckung zu vermeiden.
Viele Softwareprogramme laufen standardmäßig auf einem Computer. Wenn Angreifer diese Programme infiltrieren, können sie sicherstellen, dass ihre bösartigen Programme ebenfalls ausgeführt werden. Selbst legitime, in das Betriebssystem integrierte Tools wie LOLBins (Living Off the Land Binaries) können böswillig genutzt werden, um die Spuren der Angreifer zu verwischen, die Persistenz aufrechtzuerhalten oder die Rechte zu erweitern.
Rechteerweiterung: Windows-Betriebssysteme sind durch die Benutzerkontensteuerung (User Account Control – UAC) geschützt, eine native Sicherheitsfunktion zum Schutz vor bösartiger Software und nicht autorisierten Änderungen. Wenn normale Geschäftsanwender versuchen, ein Programm als Administrator auszuführen, werden sie von der UAC aufgefordert, die Anmeldedaten eines Administrators einzugeben, bevor sie Änderungen vornehmen können. Obwohl die meisten heute bekannten Ransomware-Programme keine Administratorrechte benötigen, um Daten zu verschlüsseln, versuchen Angreifer oft, die UAC zu umgehen, um ihre Zugriffsmöglichkeiten zu erhöhen.
Seitwärtsbewegung: Viele Tools können unbeabsichtigt eine böswillige Ausweitung von Berechtigungen und Seitwärtsbewegungen ermöglichen. AdFind, ein kostenloses Command-Line-Tool zum Durchsuchen des Active Directory (AD), ist dabei eine beliebte Variante. Ein weiteres Beispiel ist das Tool AdvancedRun, das eine Rechteerweiterung ermöglicht, indem die Einstellungen vor der Ausführung einer Software geändert werden.
Verschlüsselung: Sie kann sowohl als Werkzeug als auch als Waffe eingesetzt werden. Verschlüsselungstools sind wichtig, um Daten vor unbefugten Benutzern zu schützen. Dieselben Tools können aber auch als Ransomware verwendet werden. Zudem können Angreifer diejenigen Benutzer kompromittieren, die einen rechtmäßigen Zugriff auf verschlüsselte Daten haben, um die Verschlüsselung zu umgehen.
Datenabfluss: Ransomware-Angreifer verwenden oft legitime Backup-Tools oder ähnliche Programme für die Daten-Exfiltration. Beispiele dafür sind Discord, eine beliebte Kommunikationsplattform, oder Rclone, ein Command-Line-Programm zum Synchronisieren von Dateien mit Cloud-Speichern.
Ransomware-Abwehr über den Angriffslebenszyklus hinweg
Klar ist, dass die Fokussierung von Ransomware-Angreifern auf legitime Software eine große Gefahr darstellt. Allerdings können sich Unternehmen mit einem identitätszentrierten Defense-in-Depth-Ansatz auch zuverlässig vor Ransomware schützen. Dabei ist die Nutzung fundamentaler Lösungen für die Endgerätesicherheit unerlässlich. Dazu gehören unter anderem Endpoint Detection and Response (EDR), Antivirus (AV) und Next-Generation Antivirus (NGAV), E-Mail-Sicherheit und Patching. Am wichtigsten ist jedoch die Anwendungskontrolle. Letztlich spielt es keine Rolle, ob es sich um RaaS, polymorphe Malware oder eine andere bösartige Ransomware-Variante handelt: Wenn sie nicht ausgeführt werden kann, kann sie auch keine Ransomware installieren.
Andy Thompson, Research Evangelist bei CyberArk