Vor drei Jahren trieb die Ransomware WannaCry ihr Unwesen und richtete große Verwüstungen auf Computern weltweit an. Hunderttausende Rechner in mehr als 150 Ländern waren im Mai 2017 mit der Ransomware infiziert. Und sie ist weiterhin aktiv.
Aus diesem Anlass besprechen drei Cyber-Security-Experten von Fortinet, welche Rolle Ransomware in der Vergangenheit gespielt hat, wie sie heute funktioniert und was sie für zukünftige Entwicklungen erwarten.
Fortinet brachte drei Mitglieder seines FortiGuard Labs-Teams – Derek Manky, Aamir Lakhani und Douglas Santos – zu einem digitalen Interview über Ransomware zusammen. Zu dritt diskutierten sie, welche Bedrohung von Ransomware ausgeht, wie sie sich entwickelt hat und welche Trends sie im nächsten Jahr erwarten.
Wie sieht die Ransomware-Landschaft heute aus? Ist sie immer noch eine Hauptbedrohung?
Derek Manky (im Bild): Ransomware zählt sicher zu den Angriffsarten, die das Sicherheitspersonal nachts wach halten. Diese Art der Bedrohung zeigt keine Anzeichen einer Abschwächung. Wenn es darum geht, sich gegen Ransomware zu verteidigen, sind Security Tools nur so gut wie das Team, das sie handhabt. Alles, von Konfigurationsfehlern bis hin zum Wildwuchs verschiedener Lösungen, kann die Abwehrmechanismen der Security von Unternehmen schwächen, diese Cyber-Attacken zu erkennen und zu verhindern. Insbesondere bei Ransomware ist jedoch der menschliche Faktor das größte Problem.
Douglas Santos: Dem stimme ich zu. Aber es gibt noch andere Dinge, die hier mit reinspielen, wie zum Beispiel der Mangel an Transparenz und Kontrolle, den die meisten der Unternehmen mitbringen, die Opfer dieser Angriffe geworden sind. Angesichts der Zahl der neuen Zero-Day-Schwachstellen und der Water-Hole-Angriffe, bei denen diese Zero-Day-Exploits ausgenutzt werden, könnte der nächste große Hack nur einen Website-Besuch entfernt sein. Selbst wenn die neuesten Sicherheitsmaßnahmen vorhanden sind, müssen Sie sich bei einem Zero-Day-Angriff auf alle drei Säulen einer robusten Cyber-Sicherheitsarchitektur – Menschen, Prozesse und Technologie – verlassen können, um die Bedrohung zu identifizieren, sobald sie auftritt.
Aamir Lakhani: Ransomware ist keine besonders komplexe oder ausgeklügelte Malware. Allerdings macht sie das noch viel gefährlicher, denn die Angreifer brauchen nur wenig Know-how. Ransomware-Toolkits können einfach aus dem Internet heruntergeladen und mit minimalen Programmierkenntnissen modifiziert werden. Der Großteil dieser Ransomware-Software wird in großen Unternehmen wahrscheinlich nicht funktionieren, weil Sicherheitsinstrumente sie abfangen und blockieren. Angesichts der neuen Situation, in der heute jeder arbeitet – mit unerfahrenen Remote-Mitarbeitern, überlasteten IT-Teams und neuen, weitgehend ungetesteten Security-Richtlinien – ist es sehr wahrscheinlich, dass Organisationen plötzlich angegriffen werden. Was die Menge betrifft, so gibt es andere Bedrohungen, die möglicherweise stärker verbreitet sind. Ransomware ist jedoch eine der größten Bedrohungen, was die Auswirkungen auf ein Unternehmen angeht, denn ein einziger Ransomware-Angriff kann ein Unternehmen komplett lahmlegen.
Warum sind mangelnde Cyber-Hygiene und der „Faktor Mensch“ weiterhin die Hauptchance für einen erfolgreichen Ransomware-Angriff?
Aamir Lakhani (im Bild): Traurig, aber wahr: Die meisten Angriffe könnten vermieden werden. Unternehmen tun sich häufig schwer damit, Geräte zu patchen. Natürlich ist dies nicht immer ihre Schuld. Patches müssen getestet werden und das kann in großen und komplexen Umgebungen viel Zeit in Anspruch nehmen. Häufig verfügen die Nutzer über administrative Rechte auf ihrem System, damit die Belastung und die Kosten für das Management und das IT-Support-Personal verringert werden. Doch das macht es schwierig, Patches und Updates zu automatisieren. In großen, mobilen Umgebungen kann es aufgrund von geografischen Unterschieden dann schwierig sein, Nutzer zur Anwendung von Patches überhaupt zu bewegen. Wenn diese Probleme jedoch gelöst würden, wäre die meiste Ransomware einfach nicht effektiv.
Derek Manky: Das Problem ist nicht das allgemeine Sicherheitsbewusstsein, sondern das tatsächliche Handeln. Zusätzlich zu den Massenangriffen, die sich gegen jedermann richten, werden E-Mails auch sehr raffiniert verfasst, um einzelne Personen in einer Firma gezielt anzugreifen. Dies geschieht entweder direkt oder durch eine neue Technik, bei der Phishing-E-Mails in einen aktiven E-Mail-Thread eingefügt werden, um so die Wahrscheinlichkeit zu erhöhen, dass der Thread angeklickt wird. Diese Art von Angriff wird als Spearfishing bezeichnet. Wenn das Ziel ein Mitglied der C-Suite ist, spricht man von „Whale Phishing“. Aber unabhängig davon, wer das Ziel ist, alle sind anfällig dafür, eine sorgfältig gestaltete Phishing-E-Mail zu erhalten und darauf hereinzufallen – wenn man nur abgelenkt genug ist.
Douglas Santos: Wenn wir vom Faktor Mensch sprechen, verweisen wir nicht nur auf vermeintlich naive Menschen, die auf Links klicken oder bösartige Dokumente öffnen. Dazu gehörten auch IT-Fachpersonal oder Führungskräfte, die diese Bedrohungen nicht verstehen oder nicht wissen, wie man sie stoppen kann. Technologien zum Schutz vor Angriffen entwickeln sich schneller weiter, als die meisten von uns in der Lage sind, sie zu verstehen und anzuwenden. Und auch der Fachkräftemangel wird immer größer. Das ist eine große Herausforderung.
Wie sehen Sie die Entwicklung von Ransomware im Jahr 2020?
Derek Manky: Wie ich für 2020 vorausgesagt habe, haben gezielte Ransomware-Angriffe zugenommen und sie werden noch schlimmer werden. Diese Attacken sind für Unternehmen aus operativer und regulatorischer Sicht teurer geworden. Zu früheren Kryptotrojanern ist das ein Unterschied wie Tag und Nacht, weil diese neuen Malware- und Ransomware-Angriffe jetzt auf bestimmte interne Systeme abzielen und speziell auf diese zugeschnitten sind. Was ebenfalls dazu beiträgt, dass Attacken mit Kryptotrojanern zunehmen, ist die leichte Verfügbarkeit von RaaS-Angeboten (Ransomware-as-a-Service), die ich vor Jahren als eine Weiterentwicklung von Kryptotrojanern vorhergesagt habe. Eine weitere Entwicklung kommt in diesem Jahr hinzu: Ransomware kommt zum Einsatz, um die günstige Gelegenheit zu nutzen, Cyber-Straftaten rund um COVID-19 zu begehen. Das zeigt: Ransomware entwickelt sich nicht nur in Richtung gezielter Angriffe weiter. Gegen eine solche breit angelegte Angriffsführung ist es viel schwieriger sich zu verteidigen.
Douglas Santos (im Bild): Ja, aber ich glaube auch, dass es eine weitere massenhaft verbreitete Ransomware wie WannaCry geben wird, einfach weil es viel mehr „wurmbare“ Schwachstellen gibt. Dazu gehören BlueKeep und die neueste in SMBv3, die als SMBGhost bezeichnet wird. Das ist meiner Meinung nach nur eine Frage der Zeit.
Aamir Lakhani: Ich denke, wir werden eine deutliche Zunahme an Ransomware-Angriffen erleben. Die COVID-19-Pandemie hat zu einer Verschiebung bei vielen Projekten geführt, aber sie hat auch die Fristen von Zeitplänen verkürzt. Das betrifft unter anderem Migrationen in die Cloud, das Ermöglichen von Fernzugriffen und eine stärkere Nutzung von webbasierten Anwendungen. Viele Menschen in der IT-Branche arbeiten unter mehr Stress und mehr Druck als vorher. Darüber hinaus stehen Branchen wie das Gesundheitswesen sowie bestimmte produzierende Unternehmen und Verkehrsbetriebe unter größerem Druck als früher, ihre Netzwerke am Laufen zu halten. Die Angreifer wissen, dass diese Branchen lieber ein Lösegeld zahlen würden, als sich mit Verzögerungen oder einem Stillstand in ihrem Betriebsablauf auseinanderzusetzen.
Wenn das Gerät eines Remote-Mitarbeiters kompromittiert werden kann, lässt sich darüber eine Leitung zurück in das Kernnetzwerk der Organisation herstellen. So kann die Verbreitung von Malware an andere Remote-Mitarbeiter ermöglicht werden. Das kann den Geschäftsbetrieb genauso unterbrechen, wie Ransomware-Angriffe auf interne Netzwerksysteme das Unternehmen lahmlegen.
Da die Helpdesks jetzt remote sind, müssen infizierte Geräte eingeschickt werden, um gereinigt und neu aufgesetzt zu werden. Das bedeutet, Endgeräte, die mit einem Kryptotrojaner oder einem Virus infiziert sind, können Mitarbeiter jetzt tagelang außer Gefecht setzen.
Cyber-Kriminelle wissen, dass Zeiten des schnellen Wandels, wie diese, für Unternehmen zu ernsthaften Beeinträchtigungen führen können. In der Eile, die Geschäftskontinuität aufrechtzuerhalten, werden Dinge wie Sicherheitsprotokolle eher übersehen. Kriminelle sind darauf erpicht, solche ungewollten Sicherheitslücken auszunutzen.
Vielen Dank für das Gespräch!
Derek Manky, Global Security Strategist, Douglas Jose Pereira dos Santos, Cybersecurity Strategist, Fortinet
Aamir Lakhani, Global Security Strategist and Lead Researcher, FortiGuard Labs
www.fortinet.de