Das Toolkit des Ransomware-Hackers
Mike Sentonas, CTO bei Menschenmenge befasst sich mit dem Toolkit des Ransomware-Hackers und wie wichtig es ist, dass Unternehmen mehr über die Vorgehensweise von Cyberkriminellen verstehen.
Ransomware bleibt eine der lukrativsten Formen der Cyberkriminalität überhaupt. Selbst bei täglichen Ransomware-Angriffen und gehackten Datenbanken ist es schwer zu verstehen, wie schwierig es ist, es sei denn, Sie haben einen Angriff erlebt. Und Ransomware-Bedrohungsakteure aktualisieren und verbessern ständig ihre Techniken zur Umgehung von Angriffen und Cybersicherheit. Es ist von entscheidender Bedeutung, dass Unternehmen mehr über die Vorgehensweise von Cyberkriminellen verstehen, damit sie im Gegenzug ihre Verteidigung verstärken können.
Was passiert bei einem Ransomware-Angriff?
Es gibt mehrere Vektoren, die Cyberkriminelle nutzen können, um auf die Systeme eines Unternehmens zuzugreifen. Eine der bewährtesten und effektivsten Methoden ist Phishing. Das Ziel von Phishing ist es, Mitarbeiter – je älter, desto besser – glauben zu machen, dass sie eine E-Mail oder Nachricht von einer legitimen Organisation erhalten. Von hier aus besteht das Ziel darin, das Opfer davon zu überzeugen, seine Anmeldedaten freiwillig zur Verfügung zu stellen.
Dies ist das perfekte Szenario für den Angreifer, denn wenn er sich mit gestohlenen, aber echten Anmeldeinformationen in ein Unternehmenssystem einloggt, ist seine Chance, das Netzwerk unentdeckt zu durchqueren, immens.
Cyberkriminelle werden dann damit beginnen, ihren Zugriff auf das System des Unternehmens zu erweitern, bis sie ihr Ziel erreichen. Das bedeutet, dass alle Daten und Dateien des Unternehmens beobachtet, analysiert und, wenn Angreifer auf wertvolle Informationen wie wichtige Datenbanken stoßen, exfiltriert werden können. Nachdem sie diese Daten gestohlen haben, verschlüsseln sie die Festplatte, sodass das Opfer keinen Zugriff auf seine eigenen Dateien hat.
Angreifer werden sich dann mit dem Opfer in Verbindung setzen und damit drohen, sensible Informationen der Organisation an die Öffentlichkeit und/oder Konkurrenten weiterzugeben, sofern ihre Zahlungsforderungen nicht erfüllt werden. Dieser Ansatz wird manchmal als Erpressungssoftware bezeichnet.
Doch so bösartig und ausgeklügelt dies klingen mag, Ransomware-Schurken haben tatsächlich eine Vielzahl neuer und noch schwieriger zu erkennender Techniken entwickelt.
Die neuen Tools und Techniken, die von Cyberkriminellen eingesetzt werden
Einer der Hauptgründe, warum Ransomware seit über 15 Jahren weit verbreitet ist, ist ihre sich ständig weiterentwickelnde Natur. Cyberkriminelle passen sich ständig an – und „schlechte Dateien“, die von unvorsichtigen Benutzern heruntergeladen werden, sind nicht mehr die Hauptgefahr, vor der man sich Sorgen machen muss. An den raffinierten Angriffen von heute sind menschliche Cyberkriminelle beteiligt, die eine Mischung aus spezialisierten Tools, bereits installierten Netzwerkdienstprogrammen und alltäglichen Apps verwenden. Einige der Tools, mit denen Systeme kompromittiert und wertvolle Daten exfiltriert werden, wurden ursprünglich sogar entwickelt, um Netzwerke zu schützen.
Die Übertragung von Ingress-Tools ist eine Methode, die häufig verwendet wird, nachdem der Kriminelle ein System kompromittiert und sich selbst Zugriff gewährt hat. Dieser Prozess wird verwendet, um die Reichweite des Kriminellen zu erweitern, indem Dateien oder Tools aus externen Quellen in das System des Unternehmens übertragen werden. Der bemerkenswerte Aspekt dieser Technik ist, dass Kriminelle es vorziehen, legitime, native Tools zu verwenden, die es ihnen ermöglichen, ihre Operationen durchzuführen, ohne eine Erkennung durch Sicherheitssoftware auszulösen. Beispielsweise haben einige Cyberkriminelle die Windows-Version des Dienstprogramms „wget“ übertragen, mit dem sie eine Web-Shell und ein Scan-Tool herunterladen konnten, um ihren Datenexfiltrationsprozess zu unterstützen.
Phishing und andere E-Mail-basierte Angriffe sind IT-Mitarbeitern ein ziemlich bekanntes Phänomen. Die Idee, dass ein E-Mail-Anhang zu einer schädlichen Kaskade von Cyber-Ereignissen führen kann, ist rudimentäres Wissen. Gegner werden das Ziel auch im Voraus recherchieren, um zu erfahren, welche Kommunikationsmethoden verfügbar oder wahrscheinlich erfolgreich sind.
Diese Details werden dann verwendet, um eine maßgeschneiderte und überzeugende Botschaft zu erstellen. In einigen Fällen verwenden schlechte Schauspieler sogar verbale Kommunikation – als „Vishing“ bezeichnet. Der Grund dafür liegt darin, dass sich viele Cyber-Sicherheitslösungen auf die Bedrohung durch E-Mail-Phishing konzentrieren, sodass Angreifer jetzt andere, weniger überwachte Kommunikationskanäle verwenden, um eine Entdeckung zu vermeiden.
Sobald die Angreifer die wertvollen Daten eines Unternehmens ausfindig gemacht haben, müssen sie einen Weg finden, diese Informationen zu sammeln, ohne Verdacht zu erregen oder entdeckt zu werden. Die Screen-Capture-Technik ermöglicht es Ransomware-Kriminellen, vertrauliche Informationen vom System eines Opfers zu erfassen, indem sie zu einem bestimmten Zeitpunkt einen einzelnen Screenshot machen oder sie in regelmäßigen Abständen planen.
Ähnlich wie bei den oben verwendeten Techniken kann die Bildschirmaufnahme mithilfe vorhandener, nativer und legitimer Systemfunktionen erfolgen, wodurch sie schwer zu erkennen sind. Um Dokumente und Screenshots anzuzeigen, verwenden Kriminelle gerne die bescheidenen und ehrwürdigen Notepad- und MS Paint-Apps. Tools, die garantiert auf Zielcomputern vorhanden sind, werden dem Risiko einer Entdeckung durch die Einführung neuer Software bei weitem vorgezogen.
So bekämpfen Sie die sich ständig weiterentwickelnde Ransomware-Bedrohung
Die Kenntnis und das Verständnis der neuen Tools und Techniken, die Angreifer verwenden, ist nur der erste Schritt, um ein Unternehmen vor einem Ransomware-Angriff zu schützen. Der Schlüssel ist, die richtigen Werkzeuge für den Job zu haben. Unternehmen müssen Schutzmaßnahmen und Cybersicherheitspraktiken des neuen Zeitalters einführen.
Als Grundlage müssen Unternehmen die Kontrolle über die in ihrer Umgebung ausgeführte Software erlangen, nicht benötigte Software entfernen und ihre Umgebung mit den neuesten Patches auf dem neuesten Stand halten. Darüber hinaus ist es von entscheidender Bedeutung, dass auf allen Endpunkten ein vollständiger Endpunktschutz bereitgestellt wird, einschließlich Antivirus der nächsten Generation (NGAV) und Endpoint Detection and Response (EDR).
NGAV verwendet maschinelles Lernen und Datenanalyse, um Verhaltensmuster von Bedrohungsakteuren zu erkennen, was bedeutet, dass unbekannte Bedrohungen vorhergesehen und verhindert werden können. Außerdem ist EDR der Prozess der kontinuierlichen Aufzeichnung und Analyse aller Aktionen auf dem Endpunkt, der Erstellung eines vollständigen Datenmodells und der Möglichkeit, Angriffsindikatoren zu erkennen und zu stoppen.
Die nächste und wichtigste Stufe ist das menschliche Element. EDR sollte dann an spezialisierte Teams zur Bedrohungssuche übergeben werden, die versteckte Angriffe und neue Techniken, wie oben erwähnt, erkennen können, die während des automatisierten Prozesses möglicherweise übersehen wurden.
WEITERLESEN:
- Welche europäischen Länder haben die beste und die schlechteste Cybersicherheit?
- Die fünf wichtigsten Vorhersagen zur Cybersicherheit für eine Welt nach dem Lockdown
- Top-Business-Tech-Events, Cybersicherheit: Mit KI zurückschlagen
- Tipps zur Verbesserung der Cybersicherheit für kleine Unternehmen
Ransomware-Bedrohungsakteure entwickeln sich ständig weiter. Organisationen, die stillstehen und sich weigern, mit der Zeit zu gehen, um mit den Kriminellen Schritt zu halten, werden weiterhin Opfer dieser sich ständig ändernden und verheerenden Angriffe werden. Eine gute Cybersicherheitshygiene und ein Upgrade auf die neuesten Cybersicherheitslösungen sind entscheidend, um sich vor diesen neuen Ransomware-Angriffsmethoden zu schützen.
Über Mike Sentonas
Mike Sentonas ist Chief Technology Officer von CrowdStrike. Zuvor war er Vice President, Technology Strategy bei CrowdStrike. Mit über 20 Jahren Erfahrung im Bereich Cybersicherheit waren Mikes letzte Positionen vor seinem Eintritt bei CrowdStrike Chief Technology Officer – Security Connected und Chief Technology and Strategy Officer APAC, beide bei McAfee (ehemals Intel Security). Mike ist ein aktiver öffentlicher Redner zu Sicherheitsfragen und berät Regierungen und Unternehmen zu globalen und lokalen Bedrohungen der Cybersicherheit.
Er ist sehr gefragt, um Einblicke in Sicherheitsfragen und -lösungen in den Medien zu geben, darunter Fernsehen, Technologie-Fachzeitschriften und technologieorientierte Websites. Michael hat weltweit auf zahlreichen Vertriebskonferenzen, Kunden- und Nichtkundenkonferenzen gesprochen und trägt zu verschiedenen Sicherheitsinitiativen von Regierungen und Industrieverbänden bei. Michael hat einen Bachelor-Abschluss in Informatik von der Edith Cowan University, Westaustralien, und verfügt über eine Sicherheitsfreigabe der australischen Regierung.