Da die russischen Aktivitäten in der Ukraine über eine erhöhte Spannung hinaus zu einer vollständigen Invasion geführt haben, wurde das Schlachtfeld sowohl in physischen als auch in Cyber-Arenen ausgetragen. Zu diesem Zweck wurde neuartige Wiper-Malware, die russischen staatlichen Akteuren zugeschrieben wird, eingesetzt, um ukrainische Anlagen und Infrastrukturen zu zerstören und zu beeinträchtigen, aber der Explosionsradius wird mit ziemlicher Sicherheit nicht auf diese Ziele beschränkt sein.
Für Organisationen, die sich direkt oder indirekt im Fadenkreuz dieses Konflikts befinden könnten, gibt es praktische Schritte, die sie zu ihrem Schutz unternehmen sollten.
Ransomware und Wiper-Malware sind eng miteinander verwandt
Diese Wiper-Malware ist eng mit der Ransomware verwandt, mit der wir alle in den letzten Jahren vertraut geworden sind. Der einzige wirkliche Unterschied besteht im Endziel - der irreversiblen Zerstörung von Daten und der Zugänglichkeit von Systemen. Daher sollten wir uns auf die Lehren stützen, die wir aus den Ransomware-Angriffen der letzten Jahre gezogen haben - insbesondere aus jenen, die russischen Gruppen zugeschrieben werden oder mit ihnen in Verbindung stehen.
Wie bei Ransomware-Angriffen werden auch bei der Wiper-Malware-Kampagne in der Regel Exploits gegen extern zugängliche Dienste genutzt, um im Netzwerk eines Unternehmens Fuß zu fassen. Von dort aus werden C2-Kanäle eingerichtet (einschließlich Web-Shells in der DMZ), um eine kontinuierliche Kontrolle zu gewährleisten. Sobald sie Fuß gefasst haben, geben die Angreifer ihre Anmeldedaten preis.
und nutzen sie, um ihren Zugriff auf die Umgebung zu erweitern, um den Schaden zu maximieren. In der letzten Phase des Angriffs wird die Wiper-Malware aktiviert, um das System funktionsunfähig zu machen. Angreifer führen diese letzte Phase durch, wenn sie ihre Reichweite maximiert haben oder wenn sie gewarnt werden, dass sie entdeckt wurden und die Kontrolle zu verlieren drohen.
Bei jedem Schritt auf dem Weg von einem kompromittierten System zu einem ganzen Netzwerk kompromittierter Systeme geht es darum, die endgültigen Auswirkungen zu maximieren. Angreifer sind dazu nur in der Lage, indem sie ihren ersten Angriffspunkt nutzen, um sich durch das Netzwerk zu bewegen und ihren Zugang so weit wie möglich auszudehnen.
Die Techniken, die zur Ausweitung der Kontrolle und der Auswirkungen eingesetzt werden, sind dieselben, die wir seit Jahren beobachten - die Verwendung von Zugangsdaten auf kompromittierten Systemen, um Zugang zu neuen Systemen zu erhalten, die wiederum Zugang zu noch mehr Zugangsdaten bieten, und so weiter - bis sie (im Idealfall) die vollständige Kontrolle über die Umgebung haben.
Ein berichtetes Opfer der Wiper-Angreifer berichtete , dass sein Domain Controller durch diese Technik kompromittiert wurde, was die Angreifer dann dazu nutzten, die Wiper-Malware auf alle Systeme zu verteilen und auszuführen. Dies ist eine Technik, die Ransomware-Betreiber wiederholt eingesetzt haben.
Wie bei Ransomware erwarten wir, dass sich die offengelegten IOCs und die verwendete Malware im Laufe der Zeit ändern werden. Für Angreifer ist es leicht, diese Änderungen schnell vorzunehmen. Umgekehrt ist es unwahrscheinlich, dass sich die Techniken ändern, die Angreifer einsetzen, um Malware zu implantieren und maximale Wirkung in einer Umgebung zu erzielen.
Praktische Schritte, um sich vor Russian Wiper Malware zu schützen
Letztlich handelt es sich bei diesen Bedrohungen um Zerstörungsabsichten, und Unternehmen tun gut daran, ihre Widerstandsfähigkeit zu verbessern und Pläne für eine schnelle Wiederherstellung zu erstellen. Es gibt praktische Schritte, von denen viele keine neuen Empfehlungen sind, die aber vielleicht noch irgendwo in Ihrem Unternehmen schlummern. In Anbetracht der veränderten Bedrohungslage schlagen wir vor, dass Unternehmen ihre Risikokalkulation überdenken und einige oder alle der folgenden Änderungen vornehmen.
- Entfernen Siedie niedrig hängenden Früchte. Patchen und schützen Sie öffentlich zugängliche Anlagen. Öffentlich zugängliche Anlagen mit bekannten ausnutzbaren Schwachstellen sind leichte Ziele, und das Patchen dieser Anlagen muss oberste Priorität haben. Die CISA führt eine gute Liste mit diesen Schwachstellen. In ähnlicher Weise müssen Konten für den VPN-Zugang und öffentliche Anmeldeportale oder SaaS-Dienste durch eine mehrstufige Authentifizierung geschützt werden.
- Kontrolleder DMZ. Genehmigter ausgehender Datenverkehr aus der DMZ des Netzwerks muss explizit auf eine Whitelist gesetzt werden, um es einem Angreifer zu erschweren, dort Fuß zu fassen. Eine solche Whitelist kann aufwendig zu pflegen sein, erschwert es einem Angreifer jedoch erheblich, von der DMZ aus effektiv die Befehls- und Kontrollfunktionen auszuführen.
- Vertrauenund geringste Rechte. Wir beziehen dies oft auf administrative Anmeldeinformationen, aber in diesem Fall sollten Sie es durch die Brille Ihrer öffentlich zugänglichen Systeme und des restlichen Netzwerks betrachten. Das kumulierte Risiko aus all den Zeiten, in denen Systeme und Konten übermäßig privilegiert waren, um die Bereitstellung und den Betrieb zu erleichtern, ist oft ein Schlüsselfaktor, der den Angriff ermöglicht.
- Behalten Siedie Köpfe Ihrer Mitarbeiter im Spiel. Erzwingen Sie, wenn möglich, Auszeiten, wenn Sie sich nicht im Krisenmodus befinden. Ein ständiger Zustand erhöhter Alarmbereitschaft ist stressig und erhöht die Wahrscheinlichkeit, dass Fehler gemacht oder wichtige Indikatoren übersehen werden. Machen Sie sich bewusst, dass die Reaktion auf Cybervorfälle sehr stressig ist.
- Planen Siefür Out-of-Band-Kommunikation. Zu den kompromittierten IT-Systemen könnten auch die Systeme gehören, die Sie für die interne Kommunikation nutzen (E-Mail, Chat usw.), wodurch Ihre Verteidigungsmöglichkeiten weiter eingeschränkt werden. Planen Sie für diesen Fall vor und investieren Sie in sichere Backup-Kommunikation. Apps wie Signal sind nicht ohne Grund so beliebt.
- Vertrauen Sie in Ihren Wiederherstellungsplan. Allzu oft beruhen die Wiederherstellungspläne für IT-Systeme auf einer Kombination aus aktuellem Optimismus und ungenauen historischen Informationen. Es ist an der Zeit, diese zu entstauben und Angriffssimulationen durchzuführen, insbesondere für geschäftskritische Systeme wie E-Mail.
Wenn Sie ein Ziel sind oder angegriffen werden, werden wir Ihnen kostenlos helfen
Unser Ziel ist es, die Welt sicherer und gerechter zu machen. Daran halten wir fest. Wenn Ihre Organisation aufgrund dieses Konflikts angegriffen wird, werden wir kostenlos helfen.
Wir sind der Meinung, dass fortschrittliche Erkennungs- und Reaktionsfähigkeiten zu den wichtigsten Fähigkeiten gehören, die Unternehmen einsetzen müssen, um die nötige Widerstandsfähigkeit gegen die aktuelle Generation von Cyberwaffen zu erreichen. Und wir glauben, dass wir als Branche die Erfahrungen, die wir im Laufe der Jahre bei der Eindämmung, Erkennung und Reaktion auf Ransomware-Vorfälle gemacht haben, nutzen müssen, um das Problem, mit dem wir heute konfrontiert sind, in den Griff zu bekommen - allerdings mit einer Dringlichkeit und Bereitschaft, Eindämmungen, Kontrollen, Erkennungsfunktionen und Reaktionen zu implementieren, die andernfalls vielleicht als zu störend angesehen worden wären.