09.11.2017 Foren im digitalen Untergrund

Ransomware zum Schnäppchenpreis

Fiese Cyber-Attacken: Wie man Ransomware-Angriffe mittlerweile im Darknet buchen kann und was sie kosten, erläutert Dietmar Schnabel von Check Point Software Technologies.

Dietmar Schnabel, Check Point

Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH

IT-DIRECTOR: Herr Schnabel, aus welchen Gründen konnten die jüngsten Ransomware-Attacken Petya und Wanna Cry so erfolgreich verlaufen?
D. Schnabel:
Dafür gibt es verschiedene Gründe. Einerseits rüsten die Angreifer auf und der Schadcode ist erneut ausgefeilter. Andererseits kann Petya beispielsweise mehrere Schwachstellen ausnutzen, sich in aktive Sessions einschleusen und User-Zugangsdaten entwenden. Zudem verbreitet es sich automatisch über das gesamte Netzwerk und kann aktiv Sicherheitsmechanismen umgehen.

Bei Wanna Cry wurde zudem deutlich, dass die Angreifer es nicht nur auf Lösegeld abgesehen haben. Die Gefahrenlage hat sich weiterentwickelt und es ging den Cyber-Kriminellen hauptsächlich um die Zerstörung von Informationen. Im Gegensatz zu anderen Ransomware-Wellen wurden keine einzelnen Dateien eine nach der anderen verschlüsselt, sondern gleich die gesamte Festplatte. Der Schaden war immens, dabei blieben die bezahlten Lösegelder eher gering.
Allerdings darf man die Schuld nicht allein auf die Kriminellen schieben. Nach derart vielen Attacken gibt es immer noch viele Unternehmen, die die Bedrohung als zu gering einschätzen und keine dezidierten Schutzvorkehrungen gegen Ransomware getroffen haben.

IT-DIRECTOR: Welche Sicherheitslücken – über die Schwachstellen in Windows-Betriebssystemen hinaus – nutzen die Angreifer weiterhin für Ransomware-Attacken aus?
D. Schnabel:
Im Falle von Wanna Cry und Petya war es in der Tat die Eternal-Blue-Schwachstelle im SMB-Netzwerkprotokoll (CVE-2017-0147), die ausgenutzt wurde. Aber auch außerhalb von Windows gibt es Sicherheitsrisiken.

Beispielsweise gibt es spezielle Schädlinge, die nur Apple-Geräte betreffen wie die OSX/Dok-Malware. Die Lage ist kritisch, da gängige Antivirus-Lösungen den Schädling nicht erkennen. Das Entwicklerzertifikat wurde von Apple anerkannt, nachdem es die Angreifer erfolgreich durch die Sicherheitskontrollen geschmuggelt hatten. Das bedeutet, dass das Endgerät von einem legitimen Update ausgeht und die Bedrohung nicht erkennt. Für den Rechner sah die Datei wie ein System-Update von Apple aus. Zudem gibt es eine unendliche große Anzahl an riskanten Apps und damit mobile Bedrohungen. Man bedenke nur, wie lange es gedauert hat, bis man bei Adobe den Entschluss gefasst hat, den Flash Player einzustellen.

IT-DIRECTOR: Welche Höhe betragen die Lösegelder in der Regel?
D. Schnabel:
Die Preisspanne ist unterschiedlich: Die Android-Ransomware Charger verlangt 0,2 Bitcoins (etwa 180 US-Dollar) pro befallenem Smartphone. Bei einer Ransomware-Attacke auf eine südkoreanische Shopping Mall verlangten die Erpresser 2.664 US-Dollar Lösegeld für die Freigabe der über zehn Millionen verschlüsselten Datensätzen.

Wir sprechen von organisiertem Verbrechen – Angebot und Nachfrage bestimmen den Markt. Die Preise sollen bezahlbar sein und gleichzeitig den Profit der Angreifer maximieren. Es soll der Eindruck für die Opfer entstehen, dass eine scheinbar einmalige Zahlung die günstigste Option sei, um zum Tagegeschäft zurückkehren zu können. Dieser Gedanke ist fatal, denn neben dem Lösegeld entstehen weitere Kosten für Ausfallzeiten, Angestellte und Dienstleister. Zudem ist man neuen Angriffen schutzlos ausgeliefert. Daher sollte man in keinem Fall bezahlen, dies fördert die Kriminalität und verschlechtert die Chancen einer Enttarnung der Hintermänner. Wir können hier einen ganze Ransomware-Industrie erkennen, die sich einzig über das bezahlte Lösegeld refinanziert.

IT-DIRECTOR: Wie sollten Nutzer und Firmenverantwortliche reagieren, wenn sie Opfer von Erpresser-Software werden?
D. Schnabel:
Ruhig bleiben und nicht auf die Forderungen der Erpresser eingehen. Grundsätzlich lohnt eine Nachfrage bei den zuständigen Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und bei Sicherheitsexperten. Das BSI rät Firmen dazu, sich externen Rat einzuholen und bei Herstellern von Sicherheitslösungen nach zusätzlichen Schutzmöglichkeiten und spezifischen Konfigurationsempfehlungen nachzufragen. Weitere Details hat das BSI in einem Dossier zusammengefasst.

IT-DIRECTOR: Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
D. Schnabel:
Das hängt immer vom guten Willen der Angreifer ab. Nach einer Bezahlung kann es sein, dass die Kriminellen die Daten entschlüsseln – oder eben auch nicht. Es gibt Ransomware, die Daten komplett vernichtet und eine Wiederherstellung unmöglich macht. Zahlungsaufforderungen gibt es dagegen immer. Allerdings werden Schlüssel von einzelnen Schädlingen immer wieder offengelegt, sodass der Zugriff nach einiger Zeit ohne Bezahlung möglich sein kann. Sonst bleiben die Informationen dauerhaft verschlüsselt.

IT-DIRECTOR: Mittlerweile hört man immer wieder von „Ransomware as a Service“. Was genau steckt dahinter?
D. Schnabel:
Dies ist ein sehr ernstes Thema: Solche Dienstleistungen erlauben es jeder Person, kriminelle Cyber-Attacken mit Ransomware auszuführen. Neben Verschlüsselungstrojanern stehen zudem viele andere Angriffsmechanismen zur Verfügung. Alle lassen sich als Service ohne eigenes technisches Know-how einkaufen. Organisierte Kriminelle stellen dabei Toolkits und Services zur Verfügung, mit denen Laien ausgefeilte Cyber-Angriffe durchführen können. Dadurch sind auch gesicherte Netzwerke knackbar und Schwachpunkte laufen Gefahr, gezielt mit einer großen Menge von Attacken ausgenutzt zu werden.

IT-DIRECTOR: Wo und von wem kann man „Ransomware as a Service“ beziehen? Und ab welchem Preis ist man dabei?
D. Schnabel:
Der Markt ist in diesem Bereich leider ebenfalls sehr gut entwickelt, es gibt eine organisierte Kriminalität für solche Dienstleistungen. Angebote gibt es aktuell in zahlreichen Online-Untergrundforen, aber auch in öffentlichen Internetseiten findet man entsprechende Anzeigen. Ein aktuelles Beispiel ist der Schädling Diamond Fox, der neben Verschlüsselung auch andere Tools wie Distributed Denial of Service (DDoS) und das Mitschneiden von Nutzerdaten (Key Logging) sowie das heimliche Kopieren unterstützt.

Entsprechend variieren die Preise zwischen den Anbietern. Einfache Schädlinge gibt es für kleines Geld, je nach Service, Komfort und Umfang steigen dann die Kosten. Die Anbieter sind spezialisiert und stehen im Wettbewerb zueinander. Je nach Plattform kann derselbe Service zudem unterschiedlich bepreist werden. Im Falle von Diamond Fox sind die Preise nicht konsistent. Auf dem Webforum rekings.com wurde ein Angebot für 826 US-Dollar gefunden – an anderer Stelle kostet die eigentliche Malware 300 und der Builder 700 US-Dollar.

IT-DIRECTOR: Welche Maßnahmen sollten die Verantwortlichen in den Unternehmen in die Wege leiten, um künftig vor Ransomware-Attacken gefeit zu sein?
D. Schnabel:
Zunächst sollte man die richtigen Grundlagen schaffen und akzeptieren, dass jede Organisation angreifbar ist. Viele Unternehmen unterschätzen ihr individuelles Risiko. Wichtig ist Patch-Management für alle Endgeräte-Anwendungen und die grundlegende Anpassung aller Prozesse. Im Idealfall werden Vorgänge automatisiert, damit alle Syteme immer auf dem neuesten Stand sind.

In der EU-Datenschutz-Grundverordnung (DSGVO) fallen die Schlagworte Security-by-Design und Security-by-Default. Konkret bedeutet dies, das IT-Sicherheit zum Grundpfeiler jedes Endpunktes und Systems (by-Design) werden müssen und das Grundeinstellung immer auf höchstmögliche Sicherheit (by-Default) getrimmt sein sollten. Eine bewusste Veränderung der Konfiguration sollte nur in Ausnahmefällen erlaubt sein.

Deutlich wird, das die Installation entsprechender Antiviren-Software sowie Firewalls heutzutage nicht mehr ausreicht. Durch Angestellte entdeckte Anomalien sollten zentral gesammelt und analysiert werden. Sie können wichtige Hinweise auf mögliche Angriffe liefern. Zudem lohnt sich die Kooperation mit Sicherheitsexperten. Behörden wünschen außerdem eine engere Zusammenarbeit mit Wirtschaftsunternehmen, um bei erfolgten Angriffen im Nachhinein effektiver gegen Cyber-Kriminelle vorgehen zu können.

IT-DIRECTOR: Oder anders gefragt: Wie sieht eine IT-Landschaft aus, die einem erfolgreichen Ransomware-Angriff standhalten und kritische Applikationen und Daten schnell wiederherstellen kann?
D. Schnabel:
In der Praxis sollten die richtigen Vorkehrungen in jedem Unternehmen umgesetzt sein: Neben dem strategischen Rahmen muss das Sicherheitskonzept dem technologischen Zeitalter entsprechen. Multi-Layer-Security-Ansätze bieten ein Höchstmaß an Sicherheit, wenn sie verschiedene Abwehrmechanismen kombiniert einsetzen.

Über Basismaßnahmen bestehend aus Firewalls, Intrusion Prevention sowie Antiviren-Technologie hinaus, sollte eine Sandboxing-Lösung auf CPU-Ebene eingesetzt werden. Auf CPU-Ebene werden Anomalien im Execute-Flow sichtbar – sogar dann, wenn sie zuvor versteckt wurden. Auf diesem Weg werden Exploits schnell geblockt. Dadurch werden die in den Malware-Code eingepflanzten Tarnmethoden aufgehoben und die Gefahr einer Infektion auch durch unbekannte Angriffe eliminiert.

In vielen Fällen basiert die komplette Kommunikation zum C&C-Server der Schädlinge auf HTTP oder ähnlichen Protokollen, daher ist der Einsatz von Filtern sinnvoll, um den Informationsaustausch zu blockieren. Zusätzlich kann dies durch den Einsatz von DLP-Lösungen (Data Loss Prevention) zum Schutz vor Verlust von sensiblen Daten ergänzt werden. Zusammen mit einer ransomware-resistenten Backup-Lösung ist dies eine IT-Security-Landschaft, in der Ransomware-Attacken keine Bedrohung mehr sind.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH