Es ist noch nicht lange her, dass Ransomware ein ungezielter, opportunistischer, ausführlicher und schneller Angriff war. 2017 verbreiteten sich WannaCry und seine Server Message Block (SMB)-Netzwerkwurm-Schwachstelle EternalBlue in mehreren Varianten mit Maschinengeschwindigkeit in den weltweiten Netzwerken und beeinträchtigten über 230.000 Hosts in mehr als 150 Ländern. Während der durch WannaCry verursachte Schaden beträchtlich war, ergaben Studien, dass dem nationalen Gesundheitsdienst des Vereinigten Königreichs Kosten in Höhe von über 73 £ (95 Mio. USD) entstanden, während der Betreiber der Ransomware nur eine vergleichsweise geringe Anzahl von Bitcoins einsteckte, die derzeit etwa 621 000 USD wert sind.
In jüngster Zeit haben wir beobachtet, dass Kriminelle von einem groß angelegten, opportunistischen Ansatz - oder "spray and pray" - zu weniger umfangreichen, gezielten Ransomware-Angriffen übergegangen sind. Statt monolithischer Ransomware oder einer einzigen Software, die alles kann und hochgradig automatisiert ist, ist die heutige Ransomware in der Regel modular und wird oft von einem böswilligen Entwickler bezogen oder "als Service" erworben.
Es gibt ein organisiertes dunkles Ökosystem für Ransomware mit Lieferketten für Komponenten und Dienstleistungen, die den Strukturen und Praktiken in der legalen Welt nicht unähnlich sind. Es lässt sich schnell verändern und umgestalten, wodurch herkömmliche Fingerabdrücke für Signaturen weniger effektiv sind. Ein Großteil der Ransomware-Erkennung und -Reaktion konzentrierte sich bisher auf die Identifizierung und Eindämmung des eigentlichen Cryptolocking-Codes und seiner Aktionen.
Die heutigen Ransomware-Angriffe, wie der der Maze-Gruppe , sind vielschichtig, komplex und erstrecken sich über längere Zeiträume. Das anfängliche Eindringen, die Datenerfassung und die Exfiltration finden alle statt, bevor die Verschlüsselung beginnt. Dieser längere Zeitrahmen kann mehrere Möglichkeiten bieten, die Bedrohung zu erkennen und darauf zu reagieren - wenn Sie wissen, wo und wie Sie suchen müssen.
Merkmale eines Ransomware-Angriffs
Cyberkriminelle beginnen mit dem Sammeln von Informationen aus offenen Quellen und der Analyse von potenziellen Zielen. Sie bewerten die Fähigkeit des Ziels, den Betrieb fortzusetzen, sowie die wahrscheinliche Bereitschaft, sich zu fügen, wenn sie erfolgreich eindringen und Lösegeld erpressen. Anschließend schätzen die Angreifer eine Schmerzgrenze ein, die zu einer Zahlung führen würde. Die anfängliche Kompromittierung und Penetration eines Ziels kann ausgelagert oder einfach "von der Stange" im Dark Web gekauft werden, und zwar ab einem Preis von 300 US-Dollar.
Vom Zeitpunkt der ersten Infektion bis zur Bereitstellung der Ransomware führen Angreifer eine Erkundung innerhalb eines kompromittierten Netzwerks durch, um herauszufinden, welche Systeme kritisch sind, bevor sie Dateien stehlen und verschlüsseln.
Sobald Unternehmen von einem Ransomware-Ausbruch betroffen sind, befinden sie sich in einer Notsituation, in der sie alle Hände voll zu tun haben: Sie müssen das Fortschreiten des Angriffs effektiv stoppen und die Systeme sofort wiederherstellen, während die Geschäftsfunktionen als Geiseln gehalten werden. Selbst wenn ein Unternehmen bereit ist, das Lösegeld zu zahlen, gibt es keine Garantie, dass der Angreifer den Verschlüsselungscode zur Verfügung stellt. Ohne den Verschlüsselungsschlüssel müssen die Dateien aus einem Backup wiederhergestellt werden, wobei alle Änderungen seit dem letzten Backup verloren gehen.
Wenn Ransomware Dateifreigaben verschlüsselt, werden die Angriffe aufgrund des daraus resultierenden Umfangs, der Betriebsausfälle und des Datenverlusts sehr kostspielig.
Wie man Angriffe entschärft und auf sie reagiert
Frühzeitiges Aufspüren und Isolieren im Lebenszyklus eines Angriffs verhindert den Verlust von Daten. Sobald ein infiziertes Gerät identifiziert wurde, sollte eine schnelle Isolierung des Hosts als gute Praxis angesehen werden. Die Isolierung kann durch die Quarantäne von Hosts, das Entfernen der angreifenden Systeme aus dem Netzwerk und das Beenden der Prozesse, die die Ausbreitung verursachen, erfolgen.
Aufgrund der Geschwindigkeit und Schwere von Ransomware-Angriffen könnte die Isolierung den Einsatz von Automatisierungsplattformen oder die native Integration mit Hosts oder Netzwerkdurchsetzungspunkten von Erkennungstools erfordern.
Es ist auch wichtig, den privilegierten Zugang zu beobachten, um zu wissen, welche Konten Zugang zu kritischen Systemen haben. Ransomware kann nur mit den Rechten des Benutzers oder der Anwendung ausgeführt werden, von der aus sie gestartet wird. Umfassende Kenntnisse über die Systeme und Benutzer mit Zugriff auf bestimmte Dienste ermöglichen es den Sicherheitsteams, den Missbrauch von privilegiertem Zugriff zu überwachen und zu reagieren, wenn dieser Zugriff gefährdet ist - lange bevor es zu einer Verschlüsselung von Netzwerkdateien kommt.
Eine weitere Strategie zur Verbesserung der Erkennung besteht darin, sich auf die Überwachung des internen Datenverkehrs auf unveränderliche Verhaltensweisen der Angreifer zu konzentrieren. Anstatt zu versuchen, bestimmte Ransomware-Varianten in Netzwerkströmen oder ausführbaren Dateien zu erkennen, können Sie sich bei der Bedrohungsjagd auf Aufklärung, seitliche Bewegungen und Dateiverschlüsselung konzentrieren und so einen proaktiveren Ansatz verfolgen. Dieser Ansatz ist besonders effektiv, wenn es darum geht, die Vorläuferaktivitäten während der anfänglichen Eindringungs- und Aufklärungsphase des Angriffs zu erkennen.
Wachsam bleiben und proaktive Strategien anwenden
Um die Auswirkungen moderner Ransomware-Angriffe zu verringern, müssen wir zu einem Modell übergehen, das auf der Erkennung von Verhaltensweisen und nicht auf der Erkennung spezifischer Tools oder verwendeter Ransomware basiert. Eine solche Verhaltenserkennung ist viel effektiver und erfordert eine eingehende Analyse des Netzwerkverkehrs. Mit den Fortschritten im Bereich der künstlichen Intelligenz (KI), die die Sicherheitsteams verstärken, geht die Branche bereits dazu über, das Verhalten von Angreifern in Echtzeit zu erkennen. KI kann subtile Indikatoren für das Verhalten von Ransomware mit einer Geschwindigkeit und in einem Umfang erkennen, die Menschen und herkömmliche signaturbasierte Tools einfach nicht erreichen können. So können Unternehmen weitreichende Schäden verhindern.
Wenn Unternehmen diese bösartigen Verhaltensweisen frühzeitig im Lebenszyklus eines Angriffs erkennen, können sie die Anzahl der von Ransomware verschlüsselten Dateien begrenzen, die Ausbreitung des Angriffs stoppen und einen katastrophalen Geschäftsausfall verhindern.
Ransomware wird auch in Zukunft ein wirksames Werkzeug im Arsenal von Cyberkriminellen sein, die versuchen, die wertvollen digitalen Ressourcen von Unternehmen auszunutzen, zu erzwingen und zu verwerten. Bei der Bekämpfung eines Ransomware-Angriffs sind Zeit und kontextbezogenes Verständnis Ihre wertvollsten Ressourcen.
Um herauszufinden, wie die Cognito-Plattform von Vectra Ihnen helfen kann, fordern Sie eine Demo an und lesen Sie unseren Spotlight on Ransomware Report.