Dreigespann gegen Ransomware
Gefährliche, komplexe erpresserische Angriffe haben eine Vorlaufzeit. Hinter solchen Attacken steht ein eigenes Ransomware-as-a-Service-(RaaS-)Ökosystem in einer eigenen Cyber Kill Chain. Arbeitsteilig sind hier viele Akteure mit einbezogen. Drei Beteiligtengruppen hinterlassen ihre Spuren im externen und internen Datenverkehr.
Network Detection and Response, künstliche Intelligenz und IT-Sicherheitsexperten
Wenn Cyberkriminelle anfangen, Daten zu verschlüsseln, ist es für die angegriffenen Unternehmen meistens schon zu spät. Komplexe Ransomware nimmt schon mit dem Eindringen der Täter in das Netz ihren Lauf. Kompetente Angreifer haben Daten exfiltriert und auch Backups verschlüsselt, bevor sie das Lösegeld einfordern. Eine frühe Erkennung ist dafür notwendig. Eine Network Detection and Response (NDR) liest bereits die ersten Spuren eines Angriffs. Künstliche Intelligenz (KI) erkennt verdächtige Netzwerkaktivitäten. IT-Sicherheitsexperten analysieren Alarme, leiten die Abwehr und helfen, Angriffe nahezu in Echtzeit zu erkennen. Sie leisten zudem gute Dienste, einmal ausgenutzte Schwachstellen für die Zukunft zu schließen.
Gefährliche, komplexe erpresserische Angriffe haben eine Vorlaufzeit. Hinter solchen Attacken steht ein eigenes Ransomware-as-a-Service-(RaaS-)Ökosystem in einer eigenen Cyber Kill Chain. Arbeitsteilig sind hier viele Akteure mit einbezogen. Drei Beteiligtengruppen hinterlassen ihre Spuren im externen und internen Datenverkehr:
- Initial Access Broker (IABs)
Sie suchen im ersten Schritt mit automatisierten Tools nach Schwachstellen im Unternehmensnetz und verkaufen ihre Erkenntnisse an Hacker. Sie zielen auf offene Ports oder nicht
gepatchte, den Cyberkriminellen bekannte Schwachstellen von Anwendungen.
- Hacker
Hacker wissen, wie sie die von den IABs präsentierten Schwachstellen ausnutzen können, um tiefer in das Netz einzudringen und Malware am Endpunkt zu installieren. Diesen sprechen sie dann später von einem Command-and-Control-Server aus an. Als Experten für den unerlaubten Netzwerkzugriff nutzen sie vermeintlich legitime Tools, um die Zielsysteme einer Verschlüsselung zu erkennen. Das bösartige Nutzen dieser Tools lässt sich nur durch eine Verhaltensanalyse erkennen.
- Böswillige Datenmanager
Sie suchen schließlich nach Informationen, um sie zu verschlüsseln und zu exfiltrieren oder um damit zu drohen, diese zu veröffentlichen. Sie begutachten, welche Informationen für das Unternehmen und seine Geschäftsabläufe am wichtigsten sind und wofür die Opfer am schnellsten ein hohes Lösegeld zahlen werden.
Künstliche Intelligenz erkennt Hinweise auf einen Angriff im Netzverkehr
Alle diese Aktivitäten hinterlassen Spuren im Datenverkehr. Eine Network Detection and Response (NDR) erkennt die von der Norm abweichenden Muster durch einen anomalen Netzverkehr schon zu einem frühen Zeitpunkt. Einmal eingerichtet, hat sie mithilfe von maschinellem Lernen und künstlicher Intelligenz den gesamten internen und externen Netzwerkverkehr gescannt und den legitimen Normalzustand der Datenübertragung definiert. Danach erkennt sie automatisch, wenn der Datenverkehr von üblichen und damit in der Regel legitimen Mustern abweicht, etwa durch:
- Unbekannte Teilnehmer
Logfiles protokollieren die Interaktion mit den unbekannten Servern der Initial Access Broker.
- Unklare Herkunft
Hacker verbergen die verräterische Herkunft ihres Command-and-Control-Servers. In einem ersten Schritt agieren sie von einer gekaperten legitimen Domain und lenken dann die Antwort des angegriffenen Endpunkts auf eine bösartige IP-Adresse um. Bei komplexen Attacken generieren sie selbst per KI und Algorithmen zahlreiche Zufallsdomänen als Zieladressen, die alle auf die eigentliche Hacker-IP verweisen. Die Malware wechselt in ihrer Kommunikation zwischen diesen Domänen, um unentdeckt zu bleiben.
- Verschlüsselung
C&C-Server und von ihnen in Beschlag genommene Systeme senden ihre Daten verschlüsselt, damit Sicherheitsaudits sie nicht erkennen. Ein lang andauernder, weil verschlüsselter Datenfluss zeichnet sich durch die Metadaten zum Datenverkehr aus.
Hacker tarnen die Herkunft ihrer illegitimen Anfragen und ihrer C&C-Kommunikation.
- Brute-Force-Attacken
Angreifer probieren eine hohe Anzahl von Nutzernamen und Passwort-Kombinationen durch, um Zugriffsrechte zu erlangen. Intelligentere Attacken der IABs tarnen ihr Vorgehen, indem sie die Log-Versuche senken oder Angriffe verteilt durchführen. Diese Muster erkennt die KI ebenso wie die typischerweise kurze Dauer einer erratischen Zugriff-Session, die Protokolle und die Kommunikation des Brute-Force-Tools mit dem C&C-Server.
- Verdächtige Bewegungen im Netz
Legitime Nutzer und Applikationen kennen sich im System aus und bewegen sich gezielt dorthin, wo sie hinwollen. Ein Datenmanager, der nach wertvollen Daten oder zugleich nach zu verschlüsselnden Backups sucht, geht oft mehrere Endpunkte nacheinander ab. Oder er springt erratisch von System zu System.
- Atypische Zugriffszeiten, -orte, und -häufigkeiten
Wer in den Morgenstunden etwa mit einer ungewöhnlichen IP auf ein System zugreift, ist vielleicht ein Hacker.
- Datenabfluss
KI erkennt die Lesevorgänge, Exporte oder Kopien der böswilligen Datenmanager durch den erhöhten Datendurchsatz, den solche Prozesse verursachen.
KI und menschliche Intelligenz in Kombination
Die KI erkennt Anomalien auf der Basis einmal erhobener und durch Machine Learning ständig kontrollierter und optimierter statistischer Werte. Doch selbst ein feinkörniges Modell des Netzverkehrs kann zu Fehlalarmen führen und analysiert nicht die weitergehenden Absichten der Kill-Chain-Mitglieder.
Schon das einfache Beispiel der unbekannten IP-Adresse zeigt, dass eine KI die Expertise von Sicherheitsexperten und das Unternehmenswissen von IT-Administratoren benötigt. Ein Partner, eine neue Niederlassung oder ein Mitarbeiter im Homeoffice beziehungsweise auf Reisen erklärt und legitimiert nämlich eine auf den ersten Blick ungewöhnliche IP-Adresse aus einem anderen geografischen Raum. Ein IT-Administrator, der über das notwendige Unternehmenswissen verfügt, und der von ihm informierte Sicherheitsexperte können daher einen atypischen oder neuen, aber legitimierten Nutzerzugriff vom Hackerangriff unterscheiden.
Sie berücksichtigen bei der Analyse der Zugriffe auch Informationen, die im Netzverkehr nicht sichtbar sind – wie etwa zum neuen Standort oder zu Geräten im Homeoffice des Mitarbeiters, die nicht zentral verwaltet sind.
Künstliche Intelligenz erkennt die einzelnen Elemente einer Ransomware – vom Byte-Level bis zum großen Merkmalbündel.
Konkretes Unternehmenswissen hilft zudem, die tatsächliche Gefahr der einzelnen Ransomware-Attacke für Datensicherheit und die Verfügbarkeit der Geschäftsabläufe zutreffend zu beurteilen. Nur aufgrund dieser Basis kann ein Sicherheitsexperte wissen, welche Systeme, Applikationen und Informationen zusammenspielen, voneinander abhängig sind und weiterreichenden Zugang verschaffen. Dadurch kann er die zukünftigen Schritte eines Hackers vorwegnehmen, der mit seiner Ransomware-Attacke den größtmöglichen Schaden androhen will. IT-Sicherheitsexperten, IT-Teams und Management wissen zudem, welche Daten besonders wertvoll, welche Informationen im Notfall über Backup oder andere Wege wieder zu beschaffen sind oder für Dritte ohnehin nicht von Nutzen sind. Unter Umständen können sie so entscheiden, dass die Lösegeldforderung mangels wirklicher Drohkulisse ins Leere läuft.
Das menschliche Unternehmenswissen spielt eine entscheidende Rolle, um die Verhältnismäßigkeit von Abwehrmaßnahmen zu beurteilen. Der Angriff auf unternehmenskritische Daten, auf Informationen, die dem Datenschutz unterliegen, oder deren Verfügbarkeit für einzelne Prozesse unverzichtbar sind, erfordert eine schnellere Abwehr und rechtfertigt einschneidende Maßnahmen. Allein der Mensch kann entscheiden, ob etwa die Ultima Ratio der Ransomware-Abwehr – das Trennen von Geräten vom Netz – verhältnismäßig ist. Führt es etwa zum Abschalten lebenserhaltender Systeme im Krankenhaus, lässt es sich nicht rechtfertigen. Menschen müssen entscheiden, ob ein Angriff eine höhere Prioritätsstufe einfordert.
Der Beitrag des Menschen ist ebenso zentral, wenn es um die Abwehr von Folgeangriffen geht. Die Angreifer kehren gern an den Ort erfolgreicher Aktionen zurück, zumal wenn Hacker die Einfallstore und die bösartigen Datenmanager das Unternehmen schon kennen. Eine zukunftssichere und zugleich nachhaltige Abwehr erfordert daher ein lückenloses Schließen von Schwachstellen durch eine Root-Cause-Analyse des einmal erfolgreichen Hacks anhand des gespiegelt aufgezeichneten Netzwerkverkehrs. Gerade die Prävention durch das Nachbessern der IT-Abwehr wird aber zur Aufgabe für die menschlichen Experten.
Paul Smit, Director Professional Services bei ForeNova