22.10.2020 17:50

Aktuelles 2020-10-22: Ransomware++

Die Professionalität der Ransomware-Angriffe ist in den letzten Jahren massiv gestiegen. Mehrere potente Tätergruppen (FIN6, FIN11, TA505, ...) nutzen technisch ausgefeilte Methoden um Firmennetze zu kompromittieren. Neben der Datenverschlüsselung wird auch Datendiebstahl mit Veröffentlichungen aus Druckmittel eingesetzt, um Millionen EUR zu erpressen. Die eingesetzte Malware variiert, das reicht von LockerGoga, Clop, Ryuk, Trickbot, DoppelPaymer, Emotet, ... bis hin zu Cobalt Strike, was eigentlich ein legitimes Tool für Red-Teamers ist.

Wie ein aktueller Report zeigt, kann das alles extrem schnell (in diesem Fall 5 Stunden von der initialen Code-execution bis hin zur Verschlüsselung aller Server) gehen.

In anderen Fällen wird langsamer vorgegangen, und neben der Verschlüsselung werden auch Daten in großen Stil exfiltriert. Damit wird dann ein zahlungsunwilliges Ransomware-Opfer ein zweites mal erpresst: Die Angreifer publizieren Daten von Kunden des Opfers scheibchenweise, um den Druck weiter zu erhöhen.

Spätestens dann sind aber auch Dritte von so einem Fall betroffen. Diese sollten an die folgenden drei Szenarien denken:

  • Schaden rein durch die Datenveröffentlichung: Mails, Verträge, Preise, Kontonummern, Kontaktadressen, ...
  • Je nach Geschäftsgegenstand kann es sein, dass es direkte Netzwerkverbindungen zwischen dem Opfer und dem Dritten gibt, etwa Fernwartungszugänge, Web Credentials, API Token, ... All diese könnten von den Angreifern ausgespäht worden sein (oder in den Datenleaks enthalten sein).
  • Social Engineering: Die Angreifer haben oft die Mailserver des Opfers unter Kontrolle. Das erlaubt ihnen, Mail im Namen der Opfers zu verschicken und auf alte Mails zu referenzieren. Das eröffnet die Möglichkeit für simplen Invoice fraud ("Wir haben eine neue Kontonummer für Zahlungen") oder den Versand von Malspam (so wie das Emotet macht). Werden Emails publiziert, dann könnte auch andere Täter vergleichbare Angriffe starten.

Generell raten wir in solchen Fällen davor ab, den bereits hohen Druck auf das Opfer weiter zu erhöhen, denn damit spielen wir nur den Angreifern in die Hände.

Firmen müssen sich gegen Angriffe wehren, die vor 4 Jahren nur Nationalstaaten zugetraut wurden. Darauf adäquat zu reagieren ist nicht einfach, denn auf diesem Niveau reicht das Einspielen der verfügbaren Patches nicht. Es braucht eine umfassende Sicherheitsarchitektur mit den dazugehörigen Prozessen. Das ist nicht gratis, das braucht den Einsatz von ernsthaft Geld, Zeit, von passendem Personal und eine Kulturänderung bei allen Mitarbeitern, den Sicherheit und Effizienz sind oft nicht leicht unter einen Hut zu bekommen.