Cyberkriminellen steht heute eine breite Auswahl an Angriffsmethoden zur Verfügung. Eine davon, Ransomware, hat im vergangenen Jahr einen beispiellosen Aufschwung erlebt. Allein von Juli 2022 bis Juni 2023 konnte Malwarebytes in Deutschland 124 Ransomware-Angriffe auf Unternehmen verzeichnen. Und selbst Unternehmen, die sich bereits bestmöglich vor solchen Angriffen schützen, unterschätzen oftmals noch einen damit verbundenen, nicht weniger gefährlichen Aspekt: Ransomware Reinfection.
Ransomware sind schädliche Programme, die von Angreifern in ein Endgerät, System oder Netzwerk geschleust werden und die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe der Daten und Systeme verlangen die Angreifer dann im nächsten Schritt Lösegeld – üblicherweise gerade so viel, dass es sich für Unternehmen noch lohnt, das Lösegeld zu zahlen, statt nach alternativen Lösungen zu suchen.
Um Ransomware Reinfection handelt es sich, wenn nach einem früheren Angriff eine weitere Ransomware-Infektion auftritt, weil nach dem ursprünglichen Angriff Schwachstellen im System zurückgeblieben sind oder nicht ausreichend behoben wurden. Cyberkriminelle können diese als Hintertüren nutzen, um das betroffene System erneut zu kompromittieren und noch einfacher an sensible Daten zu gelangen – sie wissen ja bereits vom letzten Mal, wo diese im System zu finden sind.
Für Angreifer ist dies nicht nur praktisch, sondern auch lukrativ: Wie die Studie »Ransomware: The True Cost to Business« von Cybereason aus dem Jahr 2022 zeigt, wurden 80 Prozent der Unternehmen, die von einem Ransomware-Angriff betroffen waren und das entsprechende Lösegeld gezahlt haben, danach wieder angegriffen – und rund 40 Prozent haben auch das zweite Mal wieder Lösegeld gezahlt, in knapp 70 Prozent dieser Fälle sogar mehr als beim ersten Mal [1].
Viele Hintertüren führen zur Reinfektion. In einigen Fällen wird die Ransomware Reinfection bewusst von Angreifern herbeigeführt, indem mit der Ransomware Hintertüren für weitere Angriffe eingeschleust werden. Dies sind beispielsweise »Scheduled Tasks«, also Systemaufgaben, die Wochen oder Monate nach dem ersten Angriff heimlich ausgeführt werden und eine Verbindung zu einem sogenannten C2-Server herstellen, oder ähnliche unauffällige Programme, die im Hintergrund mitlaufen und von den Angreifern genutzt werden können.
Diese Schwachstellen zu entfernen ist oftmals eine komplexe Aufgabe. Sie müssen zunächst gefunden werden, bevor sie Schaden anrichten können und dann müssen die entsprechenden Patches aufgespielt und Systemberechtigungen neu vergeben werden. Noch besorgniserregender ist die Tatsache, dass manche Schwachstellen überhaupt nicht gepatcht werden können, beispielsweise weil das Gerät oder die Software das Ende des Lebenszyklus erreicht hat und nicht mehr vom Hersteller mit Patches und Updates versorgt wird. Unternehmen bleibt in diesen Fällen oft keine andere Option, außer die entsprechenden Geräte und Software kostspielig durch neuere Modelle und Versionen zu ersetzen.
Noch komplizierter wird es, wenn Angreifer Passwörter und andere Anmeldedaten entwenden konnten, mit denen sie sich »legitimen« Zugang verschaffen können – oftmals zu essenziellen Systemkomponenten wie RDP-Diensten, Remote-Assistenz-Tools, Remote-Verwaltungssoftware für Netzwerkgeräte oder sogar privilegierte Active-Directory-Konten. Laut dem »The State of Ransomware 2023«-Report von Sophos waren kompromittierte Zugangsdaten die Hauptursache für 29 Prozent der Ransomware-Angriffe auf Unternehmen im Jahr 2022 [2].
Multi-Faktor-Authentifizierung: Der beste Schutz gegen Reinfektion. Unternehmen, die sich bestmöglich vor Ransomware Reinfection schützen möchten, müssen daher einige wesentliche Schritte beachten. Nach einem Ransomware-Angriff sollten zunächst alle Systeme sorgfältig untersucht, gereinigt und wiederhergestellt werden. Abhängig von der Schwere des Angriffs und den verfügbaren Mitteln, kann es sogar sinnvoll sein, das gesamte Netzwerk von Grund auf neu aufzubauen.
Wenn die Netzwerksicherheit erwiesenermaßen wieder gegeben ist, sollten im nächsten Schritt alle Passwörter, einschließlich jener für Drittanbieter-Konten, zurückgesetzt werden, denn es ist davon auszugehen, dass die Angreifer mindestens über ein Passwort verfügen, das sie verwenden können, um sich wieder Zugang zum Netzwerk zu verschaffen. Idealerweise haben Unternehmen an dieser Stelle zusätzlich zu Passwörtern, die angesichts der heutigen komplexen Bedrohungslage kein ausreichendes Maß an Sicherheit mehr bieten, auch Maßnahmen der Multi-Faktor-Authentifizierung (MFA) eingeführt.
MFA ist nicht gleich MFA. Nicht jede Art der MFA ist gleich sicher. Den bestmöglichen Schutz bietet eine Kombination aus einem Passwort und einem Hardware-basiertem Sicherheitsschlüssel, beispielsweise einem OATH-Token. Diese Schlüssel müssen zwar üblicherweise erst angeschafft werden, sind die Investition aber wert, da sie den FIDO-U2F- beziehungsweise FIDO2/WebAuthn-Standards entsprechen und damit auch gegen Reverse-Proxy- und Man-in-the-Middle-Angriffe, die derzeit ebenfalls zunehmen, zuverlässigen Schutz bieten.
Die nächstbeste Form der MFA ist App-basiert, indem Zugriffsanfragen noch einmal über eine App auf einem zusätzlichen Endgerät freigegeben werden müssen. Noch sicherer ist die Variante, bei der ein von der App erstellter Code verwendet wird, um die Zugriffsanfrage freizugeben. Generell ist App-basierte MFA weniger sicher als Hardware-basierte, aber üblicherweise ist sie günstiger in der Anschaffung und wird von den Mitarbeitern schneller und umfassender angenommen.
Was jedoch alle MFA-Formen eint, ist, dass sie eine der einfachsten und effektivsten Maßnahmen darstellen, mit denen sich Unternehmen gegen Angriffe schützen können. Laut dem »Microsoft Digital Defense Report 2023« reduziert eine korrekt implementierte MFA das Kompromittierungsrisiko für Unternehmen um signifikante 99,2 Prozent – ein eindeutiges Argument, MFA-Maßnahmen in das eigene Sicherheitsportfolio zu integrieren [3].
Pieter Arntz,
Malware Intelligence Researcher
bei Malwarebytes
[1] https://www.cybereason.com/hubfs/dam/collateral/reports/
Ransomware-The-True-Cost-to-Business-2022.pdf
[2] https://assets.sophos.com/X24WTUEQ/at/c949g7693gsnjh9rb9gr8/
sophos-state-of-ransomware-2023-wp.pdf
[3] https://www.microsoft.com/en-us/security/security-
insider/microsoft-digital-defense-report-2023?rtc=1