Wie man aufhört Ransomware

In diesem E-Book erfahren Sie alles darüber, warum die Erkennung von Angreiferaktivitäten und die als RansomOps bekannte Aufklärung entscheidend ist, um ransomware zu stoppen, und welche Schritte Sicherheitsexperten unternehmen, um den heutigen ransomware Taktiken erfolgreich die Tür zuzuschlagen. Wir berichten, wie Kunden, die Vectra MDR Services nutzen, in der Lage sind, aktive Angriffe fast sofort zu erkennen, sowie über einige der Herausforderungen, Beobachtungen und Empfehlungen, die jedes Unternehmen kennen sollte.

Eines ist sicher, der Unterschied zwischen Erfolg und Misserfolg, wenn es darum geht, ransomware zu stoppen, hängt von der Reaktionsgeschwindigkeit und dem schnellen Handeln ab - lassen Sie uns ransomware stoppen!

Ransomware ist in erster Linie ein Geschäft.

So unangenehm es auch sein mag, ransomware Gangs und ihre Partner betreiben ein Geschäft, und wie jedes andere Geschäft auch - sie existieren, um Geld zu verdienen. Sie haben ein ROI-Denken und profitieren von der Möglichkeit, an Systeme und Daten heranzukommen, die sie so schnell wie möglich stehlen können, während sie Ihnen für die Rückgabe Ihres Eigentums eine saftige Summe berechnen.

Diese Denkweise ist die Grundlage für viele der in diesem E-Book besprochenen Beobachtungen. Die Motivation der Angreifer zu verstehen, ist ein Schlüsselelement für jede Sicherheitsstrategie. Wenn Sie wissen, was Angreifer antreibt, und die Systeme und Daten in einer Umgebung klar identifizieren können, die im Falle einer Kompromittierung Störungen verursachen würden, ist Ihr Unternehmen in einer guten Position, um die Durchführung eines Angriffs so schwierig wie möglich zu gestalten.

Wir werden sehen, warum Tabletops dazu beitragen können, dies zu verdeutlichen, und wie rote Teams eine objektive Bewertung der aktuellen Bereitschaft vornehmen können.

Beginnen Sie mit den Grundlagen

Am besten ist es natürlich, wenn Sie verhindern, dass die Banden von ransomware jemals Zugang zu Ihrer Umgebung erhalten. Und obwohl Prävention nie narrensicher ist, kann die ROI-Mentalität zu Ihrem Vorteil sein. In der Tat können Sie Ihr Risiko drastisch reduzieren, indem Sie die Grundlagen der Authentifizierungshygiene und des Patchings richtig anwenden.

Dies liegt daran, dass der erste Zugriff durch Angreifer meist über eine ungepatchte und in der DMZ ausgesetzte Sicherheitslücke, ein Konto ohne MFA oder ähnliche niedrig hängende Früchte erfolgt. Wenn Unternehmen einige der grundlegenden Präventionsmethoden auslassen, müssen Angreifer keine ausgeklügelten und zeitaufwändigen Taktiken anwenden, um Zugang zu erhalten.

Am besten ist es, wenn Sie verhindern, dass die Banden von ransomware jemals Zugang zu Ihrer Umgebung erhalten.

Die gute Nachricht ist, dass Sie durch die Aktivierung von MFA (Multi-Faktor-Authentifizierung) an Ihrem VPN, IDP und anderen Zugangspunkten Angreifern das Leben schwer machen, die sich vielleicht dazu entschließen, stattdessen an die Tür eines anderen zu klopfen. Das Gleiche gilt für die Patch-Verwaltung: Wenn Sie sicherstellen, dass Patches in Ihrer DMZ verwendet werden, können Sie Angriffe abwehren. Zwar ist keine Präventionsstrategie narrensicher, aber sinnvolle Investitionen in die Prävention machen es Angreifern schwerer, in Ihr Unternehmen einzudringen.

Bereit sein, schnell zu reagieren ... Tag und Nacht

Wenn Sie die Grundlagen beherrschen, können Sie das Risiko verbessern, aber nicht ausschalten. Dafür gibt es viele Gründe, aber die Wahrheit ist, dass es nur einen Fehler bei der Kontoeinrichtung, einen verpassten Patch, einen Benutzer, der auf einen Link klickt, den er nicht anklicken sollte... oder einen neuen 0-Day in dem VPN Ihrer Wahl (finanziert durch die Unmengen an Geld, die in das ransomware Ökosystem fließen) braucht, um durchzubrechen. Wir haben das alles schon erlebt.

Und wenn ein Akteur von ransomware in Ihre Umgebung eindringt, müssen Sie damit rechnen, dass er sich schnell bewegt. Wir haben zwar schon auf Angriffe reagiert, die sich über mehrere Tage hinzogen, aber es ist nicht ungewöhnlich, dass der Großteil eines Angriffs an einem einzigen Abend nach Geschäftsschluss stattfindet. Denken Sie daran, dass Zeit für Angreifer mit einem ROI-Denken Geld ist. Ob es nun darum geht, den Verteidigern möglichst wenig Zeit zum Reagieren zu geben, oder einfach nur um das Spiel mit den Zahlen, wir sehen im Allgemeinen wenig Anzeichen dafür, dass Angreifer versuchen, unter dem Radar zu bleiben. Tatsächlich ist die globale Verweildauer für ransomware Angriffe in den letzten Jahren deutlich gesunken.

Die gute Nachricht für Verteidiger ist, dass die Geschwindigkeit den Angriff mit der richtigen Erkennungstechnologie offensichtlich macht. Wie im Falle von Vectra haben wir kritische Hosts innerhalb von zwei Minuten nach dem ersten Zugriff entdeckt. Aufgrund der Geschwindigkeit des Angriffsverlaufs ist es jedoch auch entscheidend, schnell und entschlossen zu reagieren, um die Bedrohung zu stoppen, bevor ransomware zum Einsatz kommt.

Leider ist diese Fähigkeit, schnell zu reagieren, nicht auf die Geschäftszeiten beschränkt. Wir haben beobachtet, dass frühe Erkundungen und seitliche Bewegungen zu jeder Zeit stattfinden, scheinbar immer dann, wenn der Akteur von ransomware etwas Zeit hat. Manchmal geschieht dies mitten am Tag, manchmal in der Nacht, an einem Wochenende oder sogar während eines Feiertags. Unseren Beobachtungen zufolge ist es jedoch wahrscheinlicher, dass der endgültige Anstoß zur Exfiltration und Verschlüsselung mitten in der Nacht oder an einem Wochenende oder Feiertag erfolgt - wenn die Reaktionsmöglichkeiten auf Vorfälle am schwächsten sind.

In der Praxis bedeutet dies, dass eine 24x7-Überwachung ein Muss ist.

Haben Sie einen Plan für die Reaktion

Der erste Schritt bei der Reaktion auf eine ransomware Bedrohung besteht darin, den Angreifer in Ihrer Umgebung zu erkennen. Ebenso wichtig ist es, zu wissen, was Sie in verschiedenen Szenarien tun werden, um den Angriff zu stoppen. Wie weit sind Sie bereit zu gehen? Bei einem unserer Einsätze schaffte es der Angreifer bis zum Domänenadministrator auf dem Domänencontroller, wo das Sicherheitsteam in Sekundenbruchteilen entscheiden musste, seine Systeme vollständig vom Internet zu trennen, um Zeit für eine Reaktion zu gewinnen. Glücklicherweise funktionierte das für sie.

So knapp, wie dieses Team einem Angriff auf ransomware entgangen ist, ist dieses Szenario gar nicht so ungewöhnlich. Es könnte sich lohnen zu fragen: Was würden Sie tun, wenn Ihr Unternehmen in der gleichen Situation wäre? Wäre ein solches Ausmaß an Störung für das Unternehmen akzeptabel? Wären Sie in der Lage, effektiv zu reagieren, wenn Sie keine Konnektivität für Ihr externes Sicherheitspersonal hätten? Gäbe es andere Reaktionsmöglichkeiten, die Sie kaufen müssten?

Wir haben gesehen, dass schnelles, entschlossenes Handeln unter Druck ein Schlüsselelement für eine erfolgreiche Reaktion ist. Einen Plan zu kennen und zu üben, bevor man ihn braucht, kann den Unterschied ausmachen.

Um Ransomware zu stoppen, suchen Sie nicht nach dem Ransomware

Bei modernen ransomware -Angriffen (eigentlich RansomOps) wird die Binärdatei ransomware erst ganz am Ende des Angriffs eingesetzt. Das bedeutet, dass Sie, wenn Sie die ransomware selbst sehen, höchstwahrscheinlich zu spät kommen.

Dies ist ein weit verbreiteter Irrglaube, denn um diese Angriffe zu stoppen, müssen Sie die Schritte erkennen und darauf reagieren, die erfolgen, BEVOR ransomware zum Einsatz kommt. Die Realität ist, dass Sie mit ziemlicher Sicherheit ohne vollständige Kenntnis des Gegners oder seines Ziels operieren werden. In vielen Fällen werden Sie einen schnell voranschreitenden Angriff sehen und möglicherweise einige verräterische Anzeichen in den Werkzeugen oder der C2-Infrastruktur, die es Ihnen erlauben, eine fundierte Vermutung darüber anzustellen, was passiert.

In diesem Fall müssen sich Ihre Reaktionspläne auf eine allgemeinere Klasse von Eindringlingen und Angriffsverläufen konzentrieren, wobei das Endspiel nur eine Wahrscheinlichkeit und keine Gewissheit ist.

Konten und Verwaltungstools sind der Schlüssel

Wir haben Exploits beobachtet, die dazu verwendet werden, sich einen ersten Zugang zu verschaffen, und gelegentlich auch für seitliche Bewegungen. Aber wie bei den meisten modernen Angriffen liegt der Schwerpunkt auf Anmeldeinformationen - Admin- und Dienstkonten. In Kombination mit Admin-Protokollen sind dies die bevorzugten Taktiken für praktisch alle ransomware -Mitglieder.

Wie bei vielen Angriffen besteht die Absicht darin, den Domänenadministrator auf dem Domänencontroller zu erreichen, um die letzte Phase des Angriffs zu starten. Von diesem Standpunkt aus ist es einfach, Zugriff auf die wertvollsten Daten zu erhalten. Es ist auch möglich, ransomware blitzschnell einzurichten, indem Admin-Tools wie GPO verwendet werden.

Da der Schwerpunkt auf Anmeldeinformationen liegt, ist es absolut wichtig, die Verwendung aller privilegierten Konten sorgfältig zu überwachen, da dies unserer Erfahrung nach zuverlässig eines der wertvollsten Signale zur Erkennung von Angriffen ist.

Allgemeines Ransomware Verhalten

Die Analysten von Vectra sammelten Benutzer-, Prozess- und Sicherheitsprobleme, die bei verschiedenen Kundenprojekten auftraten.

Erster Zugang

• Angreifer suchen weiterhin nach Schwachstellen in öffentlich zugänglichen, dem Internet zugänglichen Diensten und Systemen.
• Server, auf denen RDP, FTP oder VPN laufen, sind beliebte Ziele, um sich einen ersten Zugang zu Unternehmen und cloud zu verschaffen.
• Das Fehlen einer Makrofinanzhilfe ist eine häufig angesprochene Lücke.
• In einigen Fällen dauerte der Angriffsverlauf nur Stunden ab dem ersten Eindringen, in anderen Fällen Tage oder sogar Wochen. Die Sicherheitsteams haben genug Zeit, um Angriffe frühzeitig zu erkennen und darauf zu reagieren, aber sie müssen rund um die Uhr wachsam sein.

Command and Control (C2)

• Cobalt Strike scheint das derzeit beliebteste Werkzeug zu sein.
• Gängige Fernzugriffstools wurden unabhängig davon, ob sie genehmigt oder nicht genehmigt waren, auch zur Kontrolle von Systemen verwendet. In einem Fall entdeckten wir die Software Cisco AnyConnect, die zur Steuerung von Maschinen im Inneren durch einen Menschen im Äußeren verwendet wurde.

Aufklärungsarbeit und seitliche Bewegung

• In den meisten Fällen war das Scannen aggressiv und umfasste Netzwerk-Mapping, rDNS-Abfragen und die Aufzählung von Freigaben. Durch das schnelle Scannen wurden die Angriffe im Allgemeinen innerhalb von Minuten nach dem ersten Zugriff sichtbar.
• Die Rekonstruktion von Anmeldedaten, einschließlich LDAP-Abfragen und RPC-Aufrufe zur Zuordnung von Anmeldedatenstandorten, war ebenfalls üblich.
• In der Anfangsphase gab es gängige Exploits, die sich seitlich bewegten. Spätere Phasen stützten sich hauptsächlich auf Anmeldedaten und Verwaltungsprotokolle.

Exfiltration

• Kostenlose Filesharing-Seiten wurden häufig genutzt, um Aufklärungsdaten zur Analyse hochzuladen. Dazu gehörten Mega Upload (mega.com) und temp.sh.

Empfehlungen für Ransomware Prävention, Erkennung und Reaktion

Unsere Teams arbeiten täglich eng mit den Sicherheitsteams zusammen und reagieren auf kritische Warnmeldungen, die von den Vectra AI-gesteuerten Lösungen zur Erkennung und Abwehr von Bedrohungen generiert werden. Zu Beginn unserer Zusammenarbeit mit Kunden ist es nicht offensichtlich, ob es sich um eine Bedrohung ransomware handelt. Mit zunehmender Schwere der Warnungen können wir mehr Klarheit und Kontext über den Angriff gewinnen und feststellen, ob es sich tatsächlich um ransomware handelt. Wir haben eine Reihe von Sicherheitstools und Sicherheitspraktiken gefunden, die es den Angreifern erschweren, erfolgreiche ransomware Kampagnen durchzuführen und sie letztendlich mit Sicherheit zu stoppen. Dazu gehören.

Prävention

• Beurteilen Sie regelmäßig Ihre externe Sicherheitslage und implementieren Sie vorrangige Korrekturen. Konzentrieren Sie sich besonders auf die Fernzugriffsinfrastruktur und häufig anfällige Dienste wie RDP und FTP, die sich als beliebte Angriffsziele erwiesen haben.
• Aktivieren Sie MFA, wo immer dies möglich ist, bei allen Identitätsanbietern oder Fernzugriffsinfrastrukturen.
• Im Allgemeinen erschweren strenge Präventivkontrollen, Regeln und Richtlinien die Eskalation von Privilegien auch nach dem Zugriff, wodurch mehr Zeit für die Reaktion gewonnen wird.
• Ein besonderes Augenmerk gilt den privilegierten Konten. Je mehr die Nutzung von Jump-Servern und Systemen zur Verwaltung privilegierter Konten eingeschränkt werden kann, desto schwieriger wird der Eskalationspfad, auch wenn dies eine operative Herausforderung darstellt.

Erkennung

• Es ist noch Zeit, den Angriff zu stoppen, nachdem der Akteur von ransomware sich Zugang verschafft hat und bevor Daten exfiltriert werden oder ransomware zum Einsatz kommt.
• Investieren Sie in die Erkennung von und Reaktion auf Bedrohungen in Ihrem Netzwerk, Ihrer Identitätsinfrastruktur, cloud und endpoint , um die Chancen einer frühzeitigen Erkennung zu maximieren.

Untersuchung und Reaktion

• Ransomware Angriffe können schnell voranschreiten, zu jeder Tages- und Nachtzeit. Es ist von entscheidender Bedeutung, dass Sie kritische Alarme rund um die Uhr und 365 Tage im Jahr überwachen, sei es durch die Aufstockung interner Teams oder durch die Nutzung von Managed Detection and Response (MDR) oder MSSP-Angeboten.
• Die Integration von Telemetriedaten aus Netzwerk-, endpoint und cloud Protokollen bietet den besten Kontext, Klarheit und Bereicherung bei der Untersuchung von Bedrohungen und der Ermittlung einer eindeutigen Grundursache.
• Ein Rückblick auf verstärkte Scan-Aktivitäten in der DMZ vor dem ersten Zugriff kann in Kombination mit OSINT eine frühzeitige Einschätzung des wahrscheinlichen Bedrohungsakteurs liefern und für mehr Klarheit bei der Reaktion sorgen.