Automatisierte Ransomware-Verbreitung: Der blinde Fleck in der Security

Illustration: Absmeier Geralt

Neuer Identity-Protection-Ansatz verhindert kritische Sicherheitslücke durch Ransomware.

 

Die Cybererpressung durch Ransomware bleibt eine der größten Sicherheitsbedrohungen für Unternehmen. Die gängige Praxis in der Cybersecurity ist heute, sich gegen die Auslieferungs- und Ausführungsphasen dieser Angriffe zu schützen. Beinahe kein Unternehmen ist jedoch in der Lage, die automatisierte Ausbreitung der Ransomware-Nutzlast proaktiv zu verhindern, wenn sie die Verteidigungsmaßnahmen bei der Auslieferung und Ausführung umgangen hat. Da es bei Ransomware einen großen Unterschied macht, ob ein einzelner Endpunkt infiziert wird oder Unternehmensdaten massenhaft verschlüsselt werden, ist die mangelnde Fähigkeit, dies zu verhindern, eine kritische Sicherheitslücke. Im Folgenden werden deshalb für jede Phase eines Ransomware-Angriffs – von der Auslieferung, über die Ausführung, bis hin zur automatisierten Verbreitung – Maßnahmen zum Schutz erläutert.

Anzeige

 

 

  1. Maßnahmen zum Schutz vor Ransomware-Auslieferung

In der Auslieferungsphase platzieren Angreifer die Ransomware-Nutzlast auf dem Computer des Opfers. Zu den häufigsten Methoden der Cyberkriminellen zählen Phishing-E-Mails, ein kompromittierter RDP (Remote Desktop Protocol)-Zugang sowie Watering Hole-Angriffe, bei denen Cyberkriminelle Webseiten, die von Mitarbeitern häufig frequentiert werden, infizieren.

Schutz bieten hier E-Mail-Sicherheits-Gateways, die E-Mails scannen, um riskante Inhalte vor der Benutzerinteraktion zu erkennen und zu entfernen, Endpoint-Protection-Plattformen, die den Download potenzieller Malware verhindern, sowie Multi-Faktor-Authentifizierung (MFA) für RDP-Verbindungen, die Angreifer daran hindern, sich mit kompromittierten Anmeldeinformationen zu verbinden.

 

  1. Maßnahmen zum Schutz vor Ransomware-Ausführung

In der Ausführungsphase wird die Ransomware-Nutzlast, die erfolgreich an die Workstation oder den Server übermittelt wurde, mit der Absicht ausgeführt, die Datendateien auf dem Computer zu verschlüsseln.

Unternehmen schützen sich hiervor, indem sie Endpoint Protection Platforms (EPP) auf ihren Workstations und Servern einsetzen. Die EPP zielt darauf ab, die Ausführung jedes Prozesses zu beenden, der als Ransomware erkannt wird, und so die bösartige Verschlüsselung gänzlich zu verhindern.

 

  1. Schutz vor automatisierter Ransomware-Ausbreitung: Der blinde Fleck

In der Verbreitungsphase wird die Ransomware-Nutzlast über eine bösartige Authentifizierung mit kompromittierten Anmeldeinformationen auf viele andere Computer in der Unternehmensumgebung kopiert. Eine der anfälligsten Angriffsflächen sind gemeinsam genutzte (freigegebene) Ordner. In einer Unternehmensumgebung hat jeder Benutzer Zugang zumindest zu einigen Ordnern. Dadurch wird der Weg für die Verbreitung von Ransomware geebnet.

Wie bereits erläutert, ist dies die Phase, in der der größte Schaden angerichtet wird. Allerdings ist diese Phase heute ein blinder Fleck in der Sicherheitsverteidigung von Unternehmen. Es gibt heute keine Sicherheitslösung, die die automatische Ausbreitung von Ransomware in Echtzeit verhindern kann. In der Praxis bedeutet dies, dass eine Ransomware-Variante, der es gelingt, die Sicherheitsmaßnahmen zur Auslieferung und Ausführung zu umgehen – und ein gewisser Prozentsatz dieser Varianten tut dies immer –, sich innerhalb der Unternehmensumgebung ausbreiten und jeden Rechner verschlüsseln kann, den sie erreicht. Und auch, wenn EPPs immer besser vor neuen Malware-Stämmen schützen, entwickeln Bedrohungsakteure ebenfalls immer bessere Umgehungsmethoden und unauffälligere Nutzdaten(lasten), so dass eine solche Umgehung ein sehr wahrscheinliches Szenario ist.

 

Herausforderung beim Schutz vor automatisierter Ransomware-Verbreitung

 

Um die Ursache dieser Sicherheitslücke besser zu verstehen, im Folgenden ein Blick darauf, wie die automatische Verbreitung von Ransomware funktioniert.

Es gibt den Endpunkt »Patient Null«, an dem die Ransomware-Nutzlast ursprünglich ausgeführt wurde. Um sich auf andere Computer in der Umgebung auszubreiten, verwendet die Malware kompromittierte Anmeldedaten und führt eine Standardauthentifizierung durch, indem sie dem anderen Computer einen gültigen (jedoch kompromittierten) Benutzernamen sowie Anmeldeinformationen übermittelt. Obwohl diese Aktivität in ihrem Kontext zu 100 Prozent bösartig ist, ist sie im Wesentlichen identisch mit jeder legitimen Authentifizierung in der Umgebung. Es gibt keine Möglichkeit für den Identitätsanbieter – in diesem Fall Active Directory –, diesen bösartigen Kontext zu erkennen. Er wird daher die Verbindung genehmigen.

Hier liegt also der blinde Fleck beim Schutz vor Ransomware: Einerseits kann kein Sicherheitsprodukt Authentifizierungen in Echtzeit blockieren, und andererseits ist das einzige Produkt, das dies ermöglichen könnte – der Identity Provider – nicht in der Lage, zwischen legitimen und bösartigen Authentifizierungen zu unterscheiden.

 

Mit Unified Identity Protection automatisierte Verbreitung von Ransomware verhindern

Unified Identity Protection ist eine agentenlose Technologie, die sich nativ in die Identitätsanbieter in der Unternehmensumgebung integriert, um eine kontinuierliche Überwachung, Risikoanalyse und Durchsetzung von Zugriffsrichtlinien bei jedem einzelnen Zugriffsversuch auf jede beliebige On-Premises- und Cloud-Ressource durchzuführen. Auf diese Weise dehnt die Unified-Identity-Protection-Lösung die risikobasierte Authentifizierung und Multi-Faktor-Authentifizierung auf Ressourcen und Zugriffsschnittstellen aus, die bisher nicht geschützt werden konnten – einschließlich Active Directory-Befehlszeilen-Fernzugriffsschnittstellen, auf denen die automatische Verbreitung von Ransomware beruht.

Hierdurch können proaktiv Angriffe verhindert werden, die kompromittierte Anmeldedaten für den Zugriff auf Unternehmensressourcen missbrauchen, inklusive der automatisierten Verbreitung von Ransomware. Denn die Schadware nutzt hierfür die Authentifizierung mit kompromittierten Anmeldeinformationen, um sich in der Zielumgebung zu verbreiten, wobei eine besondere Vorliebe für freigegebene Ordner besteht.

Um den Echtzeit-Schutz vor automatisierter Ransomware-Verbreitung durchzusetzen, führt Unified Identity Protection folgende Maßnahmen durch:

 

  1. Kontinuierliche Überwachung

Unified Identity Protection analysiert kontinuierlich die Authentifizierungen und Zugriffsversuche von Benutzerkonten und erstellt so ein hochpräzises Verhaltensprofil der normalen Aktivitäten von Benutzern und Maschinen.

 

  1. Risiko-Analyse

Im Falle einer automatisierten Ransomware-Ausbreitung gibt es mehrere gleichzeitige Anmeldeversuche, die von einem einzigen Rechner und Benutzerkonto ausgehen. Die Risiko-Engine der Unified-Identity-Protection-Plattform erkennt dieses anomale Verhalten sofort und erhöht sowohl die Risikobewertung des Benutzerkontos als auch die des Computers.

 

  1. Durchsetzung von Zugriffsrichtlinien

Unified Identity Protection ermöglicht es Anwendern, Zugriffsrichtlinien zu erstellen, die die Echtzeit-Risikobewertung nutzen, um eine Schutzmaßnahme auszulösen: beispielsweise eine verstärkte Authentifizierung mit MFA oder sogar eine vollständige Sperrung des Zugriffs. Die Richtlinie gegen die automatisierte Verbreitung von Ransomware erfordert MFA immer dann, wenn die Risikobewertung eines Benutzerkontos entweder »Hoch« oder »Kritisch« ist, und gilt für alle Zugriffsschnittstellen – Powershell, CMD und CIFS, das spezielle (dedizierte) Protokoll für den gemeinsamen Zugriff auf Netzwerkordner.

Wenn diese Richtlinie aktiviert ist, wird bei jedem Versuch der Ransomware, sich auf einen anderen Computer auszubreiten, die Verbindung nicht zugelassen, solange keine MFA-Überprüfung der tatsächlichen Benutzer stattgefunden hat, deren Anmeldeinformationen kompromittiert wurden. Das bedeutet, dass die Ausbreitung verhindert wird und der Angriff auf den ursprünglich infizierten einen Endpunkt »Patient Null« beschränkt bleibt.

 

Dieser spezielle Identity-Protection-Ansatz kann also die fatalste Komponente bei Ransomware-Angriffen – die automatisierte Ausbreitung – verhindern. Unternehmen können so mit einer Unified-Identity-Protection-Lösung diesen kritischen blinden Fleck in der Verteidigung endlich abdecken und so ihre Widerstandsfähigkeit gegenüber Angriffsversuchen mit Ransomware erheblich erhöhen.

Martin Kulendik, Regional Sales Director DACH bei Silverfort

 

345 Artikel zu „Automatisierte Ransomware“

Die Ransomware-Pandemie im Gesundheitswesen und Best Practices wie man sie in den Griff bekommt

Insbesondere im letzten Jahr hat die Welt sich zu einer Brutstätte für Ransomware entwickelt. Konzerne, Mittelständler, aber auch kleine Firmen waren gleichermaßen betroffen. Cyberkriminellen hat dies allein in der ersten Hälfte 2021 über 500 Millionen € eingebracht. Dabei sind nicht nur die Erträge gestiegen, sondern auch die Zahl der Ransomware-Angriffe hat laut einer aktuellen Studie von SonicWall stark…

Von der Erpressung zum Datendiebstahl: Ransomware im Wandel der Zeit

Seit vielen Jahren gibt es eine feste Größe im Bereich der Cyberkriminalität, nämlich Angriffe mittels Ransomware. Bei solchen Attacken bringen Kriminelle Unternehmen dazu, Schadcode auf ihren Systemen auszuführen, der dort oder im verbundenen Netzwerk vorhandene Daten verschlüsselt und für den Nutzer unzugänglich macht. Die Ziele, die Kriminelle mit diesen Angriffen verfolgen, haben sich im Laufe…

Automatisiertes, KI-generiertes Spear Fishing in großem Stil – Wachsende Notwendigkeit gefälschte Texte zu erkennen

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das Unternehmen auch, wie KI-Fortschritte von Cyberangreifern genutzt werden könnten. »Ein Bereich, in dem in letzter Zeit einige überraschende Fortschritte erzielt wurden, ist die Generierung natürlicher Sprache. Insbesondere hat OpenAI einen Generator für natürliche Sprache geschaffen, der in der Lage ist, kohärente Antworten in…

Automatisierte Früherkennung von Attacken auf das Rechenzentrum

Rechenzentren mit ihren vielen Daten, die darin vorgehalten – also IT-Deutsch für »abrufbereit aufbewahrt« – werden, stellen ein verlockendes Ziel für Angreifer dar. Wenn der Angreifer Glück hat, findet er eine Schwachstelle für den Zugang über das Internet zum Rechenzentrum. Anderenfalls erfordert ein direkter Angriff erheblichen Aufwand und Planung, wie Vectra, Anbieter eine Plattform für…

Automatisierte Cybersicherheit beste Antwort auf verschärfte Bedrohungslage

Viele Unternehmen in Deutschland wurden infolge von Cyberangriffen durch Datenspionage und Sabotage bereits geschädigt, was ein grundlegendes Umdenken bei der IT-Sicherheit erforderlich macht. Dass die deutsche Wirtschaft häufig im Visier von Cyberkriminellen ist – mit sehr kostspieligen Folgen, zeigt erneut eine aktuelle Bitkom-Studie (siehe unten). Vectra und weitere Experten sehen dadurch bestätigt, dass die Angriffsfläche…

BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige…

IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise

Cyberkriminalität ist längst zu einem äußerst lukrativen Geschäftsmodell geworden. In seinen Vorhersagen für IT-Sicherheit 2018 hat der IT-Sicherheitsanbieter Trend Micro die Vorgehensweise künftiger Angriffe untersucht, damit Unternehmen sich besser vor diesen schützen können.

Active Directory von Microsoft offenbart Schwächen bei Hackerangriff – automatisierte Sicherheitsmaßnahmen notwendig

Zwei IT-Sicherheitsforscher haben während der Sicherheitskonferenz »BlueHat IL« eine neue Angriffstechnik gegen die Active-Directory-Infrastruktur veröffentlicht. »DCShadow« genannt, ermöglicht dieser Angriff einem Angreifer mit den entsprechenden Rechten, einen bösartigen Domänencontroller zu erstellen, der bösartige Objekte in eine laufende Active Directory-Infrastruktur replizieren kann (Weitere Details unter … https://blog.alsid.eu/dcshadow-explained-4510f52fc19d).   Gérard Bauer, Vice President EMEA beim IT-Sicherheitsexperten Vectra,…

Cybersecurity beginnt schon im IT Service Management: Vier Schritte für mehr Schutz vor Ransomware

Cyberattacken werden zu einem immer größeren Problem. So wurden im Mai 2017 mehr als 230.000 Systeme weltweit vom Verschlüsselungstrojaner WannaCry befallen. Im November 2017 stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2017 vor. Darin wird die Gefährdungslage als »weiterhin auf hohem Niveau angespannt« beschrieben. Höchste…

Tipps zur Ransomware-Prävention – Online-Erpressern in 2018 nicht auf den Leim gehen

Datenschutz und Cybersicherheit sind beileibe kein neues Thema. Mit »Security and Privacy in Computer Systems« erschien bereits 1967 die erste Abhandlung zum Thema. Cybersicherheit und Privatsphäre wurden also seit Beginn der vernetzten Computer diskutiert. Seither hat sich das Thema dramatisch verschärft, und entwickelt sich weiter rasant – aus verschiedenen Gründen. So wurde beispielsweise im Jahr…

Akute Sicherheitslücke in Computerchips – Ohne nachgelagerte, automatisierte IT-Sicherheit haben Angreifer (zu) leichtes Spiel

Die am 3.1.2018 bekanntgewordene, fatale Sicherheitslücke in zahlreichen Computerchips, betrifft weltweit Milliarden an PCs, Tablets und Smartphones. Die entdeckte Schwachstelle stellt auch eine immense Gefahr für die Daten und Infrastrukturen von Unternehmen dar.   Um einen Überblick zum Status Quo, mögliche Folgeszenarien und Lösungsansätze zu ermöglichen, fasst Chris Morales, Leiter für Cybersicherheitsanalysen bei Vectra, die…

Ransomware-Krise? Fakten statt Furcht

Vergessen Sie Cyber, denken Sie schlichtweg Kriminalität. Seine eigene Haustür sperrt man ab, eine Selbstverständlichkeit, über die man im Alltag wenig Gedanken verliert. Fällt jedoch der Begriff »Cyberkriminalität«, denken viele immer noch an eine vom restlichen Leben relativ gut abgeschottete Gefahrenzone. Im Zuge der digitalen Transformation, die mehr und mehr alle Arbeits- und Lebensbereiche erfasst,…

Ransomware: Tipps zur Erkennung und Bekämpfung

Malware-Spezialisten haben die Ransomware-Attacke »WannaCry« analysiert. Das Fazit: Die Art und Weise, wie Computer durch WannaCry infiziert wurden, ist neu. Das grundsätzliche Verhalten der Ransomware entspricht jedoch den gängigen Mustern. WannaCry und seine Varianten verhalten sich ähnlich wie andere Ransomware Angriffe, die Vectra Threat Labs, die Abteilung zur Malware-Analyse bei Vectra Networks, von laufenden Cyberangriffen…

Waffen der Wahl für automatisierte IT-Angriffe in großem Stil – Untersuchung zu Exploit-Kits

Ransomware war in 2016 auf dem Vormarsch. Das Ziel der Angreifer ist es, ein Unternehmen zu infiltrieren, die Ransomware zu implementieren und Lösegeld zu erpressen. Dabei gilt es den effektivsten Angriff mit dem geringsten Aufwand auszuführen, um die höchste Rendite zu erzielen. Die Angreifer setzen dabei zunehmend auf automatisierte Werkzeuge wie Exploit-Kits, die ihnen helfen,…

Vier Schauplätze für Containersicherheit

Risikobewusstsein, klassische Cyber-Security-Grundsätze und spezifische Abwehrmaßnahmen erhöhen die Sicherheit von Daten und Prozessen. IT-Verantwortliche greifen auf eigene oder auf von Cloud-Serviceprovidern bereitgestellte Container zurück, um agil und flexibel Anwendungen einzurichten und Prozesse zu betreiben. Doch auch Container sind letzten Endes ausführbare Applikationen und können für Gefahr sorgen. Container Host Server sowie Registries erweitern die Angriffsoberfläche.…

Kunden haben die Wahl: OfficeMaster Suite ab sofort auf Microsoft Azure Marketplace verfügbar

Cloud ergänzt On-premises Mit der OfficeMaster Suite von Ferrari electronic steht ab sofort und zum ersten Mal ein Dokumentenaustauschserver auf dem Microsoft Azure Marketplace zur Verfügung. Damit passt der Berliner UC-Pionier sein Flaggschiff modernsten Umgebungen an und öffnet Lösungen zum rechtssicheren Dokumentenaustausch über Next Generation Document Exchange (NGDX) den Weg in die Cloud. Die bewährten…

Cybersicherheit: Entscheidungsträger wissen nicht, wie sie proaktiver vorgehen können

Mehr als die Hälfte in Deutschland hat Schwierigkeiten, Cybersicherheitsverbesserungen in ihrem Unternehmen zu finanzieren.   Ob Angriffe auf die Lieferkette oder APTs (Advanced Persistent Threats) – die Bedrohungslandschaft für Unternehmen entwickelt sich ständig weiter und wird immer komplexer [1]. Warum also sind Unternehmen bei ihren Cybersicherheitsinitiativen so passiv? Eine aktuelle Kaspersky-Studie [2] zeigt, dass 53,2…