Ökosystem des organisierten Übels: Wie sich Unternehmen gegen Ransomware wappnen
Anzeige
Ransomware-Attacken sind für Kriminelle hoch attraktiv, denn sie bringen oft schnelles Geld. Zudem wurde es in den letzten Jahren immer leichter, Angriffe durchzuführen – das Darknet bietet auch für technisch Unbedarfte alles dafür Nötige, bis hin zur Ransomware-Attacke als Dienstleistung. Umso wichtiger werden umfangreiche Detection- und Response-Fähigkeiten in den Unternehmen. Secureworks Taegis XDR™ ermöglicht es Sicherheits-Teams, mit Ransomware und anderen Sicherheitsvorfällen auf Basis umfassender Erkenntnisse souverän umzugehen. Mit Funktionen wie erweitertem Log-Speicher, Suchaufträgen, benutzerdefinierten Berichten und Unterstützung frei gestaltbarer Use Cases erhalten Security-Analysten mehr Möglichkeiten, aktiv Untersuchungen anzustellen und proaktiv nach Bedrohungen in Ihrer Umgebung zu suchen.
In einer Unternehmenslandschaft sind heute in Bezug auf Ransomware drei typische Herausforderungen erkennbar: fehlende Sicht – also eine Blindheit gegenüber Bedrohungen, mangelnde Fähigkeit, Vorfälle richtig zu priorisieren, und – last but not least – sehr starke, gut organisierte Gegner.
Ransomware in Deutschland, Österreich und der Schweiz (DACH)
Eine Auswertung der Sicherheitsvorfälle durch die Securewoks Incident-Response-Teams ergab, dass die DACH-Region oft nicht direkt im Fokus der Angreifer steht, jedoch durch Angriffe auf global agierende Unternehmen dennoch häufig betroffen ist.
Zwei Beispiele aus Deutschland, die Secureworks kürzlich beobachtet hat
Im ersten Fall wurde das Unternehmen über eine Niederlassung in England angegriffen. Über eine Phishing E-Mail gelang es den Angreifern, dort eine Emotet-Malware zu platzieren. Mit den laufenden Datenbewegungen gelangte der Schädling auch in die deutsche Niederlassung. Dort wurde schließlich die Ryuk Ransomware ausgebracht. Ein EDR/XDR-System (Endpoint Detection and Response/Extended Detection and Response) war nicht eingerichtet.
Auch im zweiten Fall lief der Angriff über eine Phishing E-Mail, diesmal allerdings initial in Deutschland. In Folge konnten die Kriminellen zunächst Qakbot Malware und anschließend Cobalt Strike im Netzwerk einrichten. Die Ausbringung von Ransomware konnte hier durch den Einsatz eines EDR/XDR-Systems verhindert werden. Die auf die Kompromittierung folgenden Aktivitäten der Bedrohungsakteure konnten damit rechtzeitig sichtbar gemacht und schließlich geblockt werden.
Das Ransomware-Ökosystem
Kriminelle streben nach finanziellem Gewinn. Wie Wasser folgen sie dem Weg des geringsten Widerstands. Was ein Angreifer für wertvoll hält, unterscheidet sich sehr oft von dem, was Unternehmen für wertvoll halten. Personenbezogene Daten, kommerziell sensible Daten, Computing-Kapazitäten, Netzwerk-Bandbreite, Zugänge zu Kunden, Partnern oder Lieferanten stehen bei den Angreifern hoch im Kurs.
Ransomware-Akteure haben ihr unseliges Business im Laufe der Zeit deutlich weiterentwickelt: von der einfachen Erpressung durch Verschlüsselung bis hin zur Mehrfacherpressung durch sogenannte „Name-and-Shame“-Techniken. Die Erpresser stehlen dabei zusätzlich sensible Daten und drohen mit Publizierung auf einem öffentlich zugänglichen Portal im Darknet. Soziale Medien und Presse werden dabei gerne eingebunden, um den Druck weiter zu erhöhen. Secureworks überwacht laufend alle gängigen Portale und beginnt oft schon seine Analysen, bevor der entsprechende Kunde anruft.
Die Akteure
Die kriminellen Akteure arbeiten in der Regel in gut organisierten, finanziell getriebenen Partnerschaften. Die erste Gruppe sind die „Initial Access Broker“. Sie verschaffen ihren Kunden gegen Bezahlung den initialen Zugang zu einem Opfer, etwa durch das Erforschen von Security-Schwachstellen dort und den Einsatz von Zero-Day-Exploits. Entwickler und Operatoren, die zweite Gruppe, sind für alles Geschäftliche zuständig. Die Entwickler schreiben den Code der Ransomware und der Verschlüsselungssoftware. Operatoren verkaufen ihre Ergebnisse entweder direkt oder bieten sie als Ransomware-as-a-Service in Form einer Dienstleistung an. „Affiliates“, die dritte große Gruppe, arbeitet eng mit den Operatoren zusammen und führt letztlich den konkreten Angriff aus.
Das typische Ransomware-Playbook
Für den ersten Zugang nutzen die kriminellen Akteure immer wieder gerne eine Reihe von „üblichen Verdächtigen“: Remote Desktop Protokolle (RDPs), Citrix, VPN, Exchange etc. Es folgt eine Konsolidierungsphase für den Zugang mit Tools wie Cobalt Strike und anderen, um Zugangsdaten zu stehlen, sich im Netzwerk zu bewegen und einiges mehr. In der Exfiltrationsphase geht es darum, Daten im großen Stil abzuziehen und dabei möglichst keine verwertbaren Spuren zu hinterlassen. In der Vorbereitungsphase haben „Stage Tools“ ihren Auftritt. Das Netzwerk und die von den Angreifern kontrollierten Server werden hier mit ihrer Hilfe für die Ransomware vorbereitet. Im nächsten Schritt wird die Ransomware eingespielt – Dateisysteme, Backups, virtuelle Maschinen etc. werden verschlüsselt.
Besonders heikel für die Opfer ist die darauffolgende Verhandlungsphase, denn in vielen Ländern gibt es gesetzliche oder versicherungstechnische Vorschriften, die an dieser Stelle genauere Untersuchungen beim Opfer nach sich ziehen. Sind die Angreifer mit dem Angebot ihrer Opfer nicht zufrieden, veröffentlichen sie oft erst einen Teil der gestohlenen Daten und treten mit dadurch erhöhtem Druck in erneute Verhandlungen. Nach der Einigung werden die Daten wieder entschlüsselt, beziehungsweise von den Name-and-Shame-Portalen gelöscht – wobei es auch schon Fälle gegeben hat, in denen die Angreifer trotz Zahlung nicht mehr reagiert haben. Am Ende verteilen die Angreifer ihre Beute in ihrem Ökosystem. Secureworks schätzt, dass etwa 50 Prozent der angegriffenen Unternehmen den Lösegeldforderungen nachkommen, wobei das sicher kein sehr zuverlässiger Wert ist, denn Unternehmen halten sich mit diesbezüglichen Informationen in der Regel eher bedeckt.
Erfolgreiche Ransomware-Abwehr
Security-Teams brauchen also effektive Tools, um das Verhalten von Ransomware und anderer Bedrohungen zu analysieren, verdächtige Aktivitäten zu erkennen und Sicherheitswarnungen zu priorisieren. In Unternehmen, die bereits Opfer eines Ransomware-Angriffs waren, müssen die Teams schnellstmöglich Initialvektoren und Angriffsketten finden, um nicht schon bald erneut unter Beschuss zu geraten.
Nur wer die Gefahren kennt und genau weiß, wer die Akteure sind, kann mit diesem Wissen Bedrohungen frühzeitig erkennen und abwehren. Das passende Werkzeug dafür sind Extended Detection and Response-Tools, die inzwischen klassische „Netzwerkwächter“ wie SIEM-Tools (Security Information and Event Management) mehr und mehr ablösen. Die Security-Teams der Unternehmen analysieren mit einer XDR-Plattform das Verhalten neuer Bedrohungen, erkennen verdächtige Aktivitäten und priorisieren Sicherheitswarnungen mithilfe von Deep-Learning-Algorithmen. XDR-Tools sind dafür konzipiert, Angriffen auf die Spur zu kommen – unabhängig von Größe und Komplexität des Netzwerks.
Die auf Threat Intelligence und Advanced Analytics basierenden Detektoren von Taegis XDR™ werden automatisch und kontinuierlich aktualisiert, um der sich ständig veränderten Bedrohungslandschaft gerecht zu werden. Anwender müssen nicht extra aktiv werden, um das System anzupassen. Das heißt auch, sie müssen nicht immer wieder neue Use Case schreiben. Das spart sehr viel Zeit und Geld. Und Unternehmen sind ständig auf dem aktuellen Stand, um auch bislang unbekannte Bedrohungen zu erkennen und abzuwehren.
Entlastung für Security-Teams
Bei Secureworks erhalten die Security-Teams Unterstützung von einer Counter Threat Unit™ (CTU), in der mehr als 80 Spezialisten ständig das Deep- und Dark Web und Hacker Organisationen analysieren. Die XDR-Benutzer können darüber anomale Aktivitäten, die Nutzung von Anwendungen und die Netzwerkkommunikation verfolgen. So lassen sich Bedrohungen eindämmen, bevor sie Schaden anrichten. Während der Incident-Untersuchungen unterstützt Secureworks die Zusammenarbeit aller Mitglieder eines Security-Teams. Daten und Erkenntnisse stehen über eine einheitliche Schnittstelle allen Teammitgliedern zur Verfügung.
Secureworks bietet zudem ein MITRE ATT&CK Mapping-Modul, mit dem Unternehmen die Aktivitäten des Angreifers verfolgen können. Supervisoren können automatisch Netzwerke, Cloud-Aktivitäten, Endpunkte und andere Ereignisse in der gesamten Umgebung auf einem zentralen Dashboard korrelieren. Die CTU von Secureworks überwacht proaktiv über 130 Hackergruppen und deren Vorgehensweise. Die dabei gewonnenen Erkenntnisse fließen 1:1 in das MITRE ATT&CK Framework Mapping von Taegis XDR™ ein. Hacker können sich so nicht mehr zwischen den unterschiedlichen Security-Silos verstecken – sie werden gezielt aufgespürt.
Secureworks Taegis XDR™ bietet Angriffserkennung auf höchstem Niveau – es kann damit beispielsweise auch jedes SIEM-System in punkto Angriffserkennung problemlos ersetzen. Es bietet fortschrittliche Bedrohungserkennung sowie zusätzliche Funktionen, um sofort verwertbare Erkenntnisse über Ransomware und andere bösartige Aktivitäten zu gewinnen. Sicherheitsverantwortliche erhalten relevanten Geschäfts- und Sicherheitskontext, um eine Untersuchung sinnvoll zu gestalten und die richtigen Maßnahmen zu ergreifen.
Quelle: Secureworks