Der nachfolgende Blog ist eine Übersetzung des englischen Original-Blogs von Angela Frechette Cannon.
Ransomware ist längst nicht mehr nur Cybersecurity-Experten ein Begriff. Immer häufiger schafft es das Thema in die Schlagzeilen, selbst auf dem G7-Gipfel diskutiert man inzwischen darüber. Und das nicht ohne Grund: Ransomware schlägt immer größere Wellen, nimmt zunehmend auch kritische Infrastruktur ins Visier, für die Aus- oder Störfälle keine Option sind. Ob Lebensmittelindustrie, Transport- und Verkehrswesen, Energieversorgung oder Gesundheitswesen – keiner dieser Bereiche ist heute vor Ransomware gefeit.
Worum es sich bei Ransomware handelt, dürften die meisten wissen – ggf. zur Auffrischung hier Näheres dazu. Wie sie aber genau funktioniert, was sie so gefährlich macht und wie man sich vor ihr schützen kann, das sind jedoch ganz andere Fragen. Die US-Regierung ließ jüngst verlauten, ihr Engagement im Kampf gegen Ransomware und Cyberkriminalität im Allgemeinen zu verstärken, bat zugleich aber auch um mehr Unterstützung von Unternehmen des privaten Sektors dabei. Aus dem privaten Sektor wiederum hallt der gleiche Aufruf zurück in Richtung der Regierung.
Die Problematik ist inzwischen jedoch nicht nur für Regierungen und Unternehmen präsent, sondern auch für jeden Einzelnen. Denn im Zuge der Pandemie mussten Unternehmen ihren Belegschaften den Zugriff auf ihre Ressourcen über verschiedenste Geräte und Netzwerke ermöglichen, die nicht von ihrer IT verwaltet werden. Das hat Cyberkriminellen deutlich mehr potenzielle Eintrittswege eröffnet, um eben auch Ransomware in ein Unternehmen einzuschleusen. Gelingt ihnen dies, verschlüsseln sie dessen Daten und Dateien und geben sie erst gegen Zahlung erheblicher Lösegelder wieder frei.
Warum ist das Gefahrenpotenzial von Ransomware gerade jetzt so groß?
Ohne ihre Daten sind viele Unternehmen heute quasi vollkommen handlungsunfähig. Die Zeiten,
in denen die Drahtzieher hinter Ransomware nur Einzelsysteme attackierten und einen vielleicht dreistelligen Betrag für die Wiederherstellung der auf diesen gespeicherten Daten einforderten, sind jedoch vorbei. Inzwischen heißt es Big Game Hunting. Großwildjagt also – was bedeutet, dass die Kriminellen nun versuchen, auf lateralem Wege durch Netzwerkumgebungen an geschäftskritische Systeme zu gelangen. Ihre Ransomware platzieren sie nun an verschiedensten Punkten im Netzwerk, um dann deutlich höhere Summen – teilweise in Millionenhöhe – von ihren Opfern zu erpressen.
Einige Drahtzieher bedienen sich sogar noch aggressiveren Methoden, um mehr Profit aus Ransomware zu schlagen. So infizieren diese etwa auch Backup-Systeme und unterbinden damit, dass Administratoren die Daten wiederherstellen können. Andere wiederum fahren quasi zweigleisig bei ihren erpresserischen Forderungen: Zusätzlich dazu, dass sie die Geschäftsprozesse ihrer Opfer lahmlegen, drohen sie auch mit der Veröffentlichung sensibler Informationen.
Dazu kommt, dass der Einstieg in das Ransomware-Business inzwischen äußerst einfach ist: Wer zur Programmierung einer eigenen Ransomware nicht versiert genug ist, kann diese einfach „as-a-Service“ aus der Szene beziehen. Solche Angebote umfassen bereits fertige Komplettpakete mit Schadcode, der sich bereits als funktionierend für die Ausnutzung bekannter Sicherheitslücken erwiesen hat. Damit kann nun praktisch jeder ohne großen Aufwand eine Ransomware-Attacke aufziehen.
Warum nicht einfach der Lösegeldforderung nachkommen?
Selbst angesichts von Lösegeldforderungen in teilweise siebenstelliger Höhe fallen die Kosten, die mit der Wiederherstellung der Daten teilweise oder insbesondere im Falle von kritischer Infrastruktur auch vollständig zum Erliegen gebrachten Betriebsprozessen verbunden sind, bisweilen sogar noch höher aus. Warum also nicht einfach bezahlen?
Experten aus der Security-Branche und Behörden raten davon ab. Denn mit der Zahlung geht der Kreislauf im schlimmsten Fall wieder von Neuem los: In dem Wissen, dass ihr Opfer offensichtlich erpressbar ist, steigt die Wahrscheinlichkeit, dass die Kriminellen womöglich erneut einen Angriff fahren. Zudem ist keineswegs gesichert, dass die Betroffenen mit der Zahlung des Lösegelds tatsächlich wieder an ihre Daten herankommen oder sensible Informationen auch wirklich nicht nach Außen weitergegeben werden.
Welche Eintrittswege nutzen Angreifer?
Derer gibt es viele: Eine verbreitete Angriffstaktik besteht darin, durch Phishing oder Social Engineering Anmeldedaten zu erbeuten und/oder Mitarbeiter zum Klicken auf oder Öffnen eines schädlichen Links oder Anhangs in einer E-Mail zu verleiten. Ein anderer Weg führt über von Nutzern aufgerufene infizierte Websites oder auch einfach über bekannte Sicherheitslücken von Software innerhalb des Netzwerkperimeters eines Unternehmens. In wieder anderen Fällen infiltrieren Angreifer Geschäftspartner,Dienstleister oder andere mit ihrem anvisierten Unternehmen in Zusammenhang stehende Dritte, um über Umwege in sein Netzwerk zu gelangen.
In die Hände spielt den Kriminellen dabei die Schnelllebigkeit unserer Zeit: Benutzer klicken sich so schnell durch E-Mails, Social-Media-Seiten oder Nachrichtenartikel, dass sie womöglich gar nicht erst bemerken, ob auch etwas Dubioses dabei war. Doch wie bereits ausgeführt, ist die erstmalige Infiltrierung nur ein Teil einer größer angelegten Strategie.
Um ihre Chancen auf maximalen Profit zu erhöhen, verharren Angreifer zunächst über längere Zeiträume im Netzwerk und verschaffen sich zunächst über größere Teile davon Kontrolle, um erst dann ihre Ransomware loszulassen. So lautet das übergeordnete Ziel zwar weiterhin, das Netzwerk vor Angreifern abzuschotten. Ergänzend dazu braucht es aber auch adäquate Richtlinien zur Beschränkung von Zugriffsrechten für den Fall, dass einzelne Netzwerke oder Benutzerkonten dennoch gekapert werden.
Welche Maßnahmen schützen vor Ransomware?
So vielschichtig, wie die Bedrohung durch Ransomware heute ist, so breit muss der Schutz gegen sie angelegt sein – mit einer einzelnen Technologie oder Maßnahme allein ist es nicht getan. Vielmehr gilt es, die Abwehr in einem kontinuierlichen Prozess auf verschiedenen Ebenen aufzubauen. Was es braucht, sind Lösungen auf dem neuesten Stand, die mit aktuellen Bedrohungen Schritt halten und zudem umfassend integriert sind, um so fließend von einer Maßnahme zur nächsten übergehen zu können.
Ein zentrales Puzzlestück bildet dabei zudem die Aufklärung von Endnutzern darüber, was sie anrichten können, wenn sie gedankenlos jede Website öffnen und auf irgendetwas Klicken. Allerdings ist hierbei wichtig, auf welche Art dies geschieht, wie Wendy Nather, Head of Advisory CISOs bei Cisco, feststellt:
„Die zunehmend gängige Praxis des ewigen Prüfens und Prangerns der Mitarbeitenden ist wenig zielführend. Viel mehr Resonanz kommt von ihrer Seite, wenn ihnen ein Gefühl der Sicherheit vermittelt und bei dem Thema eng mit ihnen zusammengearbeitet wird.“
Konkret setzt ihr Fachbereich dies etwa mit Trainings zum Thema Phishing um. Wer die Bedrohung erkennt und meldet, erhält dafür Lob, wer darauf hereinfällt, braucht jedoch keine Unannehmlichkeiten zu fürchten. „Das ist viel motivierender und führt viel eher zu dem Verhalten, das man letztlich erreichen will“, kommentiert sie.
Strategien für die Abwehr von Ransomware
Ein erster Ansatzpunkt hierfür liegt tatsächlich in ganz grundlegenden Vorkehrungen der Cyber-Hygiene. Einige davon mögen banal klingen, doch gerade diese gehen oft unter – mangels Ressourcen, aufgrund vermeintlich wichtigeren, da business-relevanten Projekten usw. Genau diesen Umstand aber machen sich Angreifer zunutze, da daraus die häufigsten Sicherheitslücken und Anfälligkeiten entstehen.
- Stets aktuelle Systeme durch Patches und Updates: Nach Möglichkeit sollte dies automatisch erfolgen, da so nichts übersehen werden kann und zudem IT- und Sicherheitsteams entlastet werden. Im Rahmen unserer Security Outcomes Study 2021 haben wir 25 Best Practices zur Stärkung von Abwehrmechanismen untersucht, von denen sich proaktive Technologie-Updates tatsächlich am effektivsten erwiesen haben.
- Regelmäßige, offline gespeicherte Daten-Backups zur Wiederherstellung im Ernstfall: Nur offline sind Backups sicher vor Zugriffen aus dem Netzwerk. Flankiert durch einen Plan zur Datenwiederherstellung lassen sich die Backups dabei im Sinne der Business Continuity in großem Maßstab wieder aufspielen.
- Akkurate, stets aktuelle Bestandsaufnahme der IT-Ressourcen: Oft werden ältere Systeme in der Infrastruktur übersehen – eine undichte Stelle und damit Einfallstor für Angreifer.
- Regelmäßige Risikobewertung: So lassen sich Schwachstellen in der Infrastruktur aufdecken.
- Verschlüsselung vertraulicher Daten und Segmentierung des Netzwerks: Dies erschwert Cyberkriminellen den Zugriff sowie das Eindringen in kritische Systeme.
- Thematisieren von Cybersicherheit und Ransomware in der Belegschaft: Schulungen rund um starke Passwörter, Anhaltspunkte zur Erkennung von Phishing-E-Mails, Maßnahmen beim Erhalt verdächtiger Nachrichten usw. schärfen das Bewusstsein von Mitarbeitenden.
- Verfolgen von Trends zu aktuellen Risiken und Abwehrmaßnahmen und ein robuster Plan zur Incident Response auch bei unerwarteten Bedrohungen: Expertengruppen wie Cisco Talos bieten Incident Response Services, die dabei helfen, Sicherheitsvorfälle vorzubeugen, auf sie zu reagieren und sie zu beheben.
- Umsetzen der Empfehlungen von Regierungsstellen zu Ransomware: In den USA bietet der CISA oder die NISTentsprechende Orientierungshilfen.
Technologien für optimalen Schutz
Für eine starke Abwehr gilt es freilich auch, die diversen Angriffsvektoren adäquat abzudecken. Dies erfordert ein breites Spektrum an Security-Lösungen, darunter:
Next-Generation Firewalls und IPS: Moderne Firewall- und Intrusion-Prevention-Systeme halten Angreifer aus dem Netzwerk fern.
E-Mail-Security: Diese Lösungen schieben über Spam oder Phishing ausgelieferter Ransomware einen Riegel vor und erkennen schädliche Anhänge und URLs.
Cloud- und Web-Security: Damit werden Ransomware und andere Schadprogramme abgewehrt, die Nutzer über das Internet oder Cloud-Anwendungen zu infizieren versuchen.
Endpunktschutz: Heutige Umgebungen umfassen verschiedenste Endpunkte. Lösungen dieser Art spüren Bedrohungen an diesen auf und beheben sie.
Zugriffskontrolle: Mittels Multi-Faktor-Authentifizierung (MFA) und anderen Absicherungen bleibt gewährleistet, dass nur autorisierte Nutzer und Geräte auf Ressourcen zugreifen können.
Netzwerktransparenz und -analytik: Dies liefert die nötigen Einblicke in das Netzwerk, um Verhaltensanomalien schnell auszumachen und anzugehen. Wichtig dabei: Die Analyse muss sowohl auf verschlüsselten als auch unverschlüsselten Traffic anwendbar sein.
Gestützt auf einen Verbund aus diesen und anderen Technologien gilt es, Zero-Trust Security umzusetzen – eine Methodik, bei der bei einem Zugriffsversuch von Nutzern, Geräten oder Anwendungen niemals von vornherein von deren Vertrauenswürdigkeit ausgegangen wird. Das macht es Ransomware deutlich schwerer, im Netzwerk Fuß zu fassen.
Cisco Ransomware Defense
Alle oben genannten sowie weitere Technologien stehen im Rahmen von Cisco Secure zur Verfügung. Für maximal effektiven Schutz vor Ransomware sind diese zudem umfassend auf der Cisco SecureX-Plattform integriert und nutzen die branchenführende Threat-Intelligence von Cisco Talos.
Sie möchten tiefer in dieses Thema eintauchen? Vor einiger Zeit hatte das Team von Cisco Talos die höchst seltene Gelegenheit, im Interview mit einem Drahtzieher von Ransomware einzigartige Einblicke in die Motive hinter derartigen Aktionen zu erhalten. Folgen Sie außerdem dem Blog von Cisco Talos für technische Analysen zu aktuellen Bedrohungen und den jüngsten Angriffen.