Über die Taxonomie und Entwicklung von Ransomware

Cyber Security News

Nicht alle Ransomware ist gleich! Oliver Tavakoli, CTO bei Vectra AI, erörtert die verschiedenen Arten dieser wachsenden Geißel.

Angesichts der Häufigkeit, mit der “Ransomware” in Nachrichtenartikeln auftaucht, lohnt es sich vielleicht, einen Schritt zurückzutreten und zu überlegen, was der Begriff eigentlich bedeutet. Jede Malware oder jeder Angriff, der darin gipfelt, Lösegeld vom Opfer zu erpressen, wird gemeinhin als Ransomware bezeichnet. Die allgemeine Idee besteht darin, die Daten des Opfers zu verschlüsseln und zu versprechen, den zur Entschlüsselung benötigten Schlüssel im Gegenzug für ein gezahltes Lösegeld zu liefern.

Es gibt jedoch sehr unterschiedliche Arten von Angriffen, die alle als “Ransomware” bezeichnet werden. Lassen Sie uns damit beginnen, sie zu sezieren.

Commodity Ransomware

Diese Art von Ransomware arbeitet auf Autopilot. Während der Angreifer möglicherweise eine einzigartige Phishing-Kampagne erstellt, um die Malware an ein bestimmtes Ziel zu übermitteln, führt sie ihre Mission vollautomatisch aus, sobald sich die Malware auf einem System befindet. Bei dieser Art von Ransomware sind die geforderten Lösegelder in der Regel recht bescheiden. Das Geschäftsmodell basiert darauf, Tausende von Systemen zu infizieren und einen gewissen Prozentsatz der Opfer zur Zahlung zu bewegen.

In frühen Versionen dieser Ransomware (man denke an CryptoLocker) führte jede erfolgreiche Infektion dazu, dass Dateien auf einem einzigen System verschlüsselt wurden. Einige Versionen verschlüsselten auch unbeabsichtigt Dateien auf Netzlaufwerken, die das System eingebunden hatte.

Der nächste Evolutionsschritt bestand darin, dass die Malware nach Netzlaufwerken suchte, auf die der Benutzer des Systems Zugriffsrechte hatte, die aber noch nicht gemountet waren – und diese verschlüsselte. In diesem Schritt verschob sich das ideale Ziel des Angreifers von einer Einzelperson, die ein Lösegeld für die Wiederherstellung von Familienfotos zahlen würde, zu einer Organisation, die ein oder mehrere Lösegelder für die Wiederherstellung geschäftskritischer Dateien zahlen würde. Der Grund für diese Entwicklung liegt auf der Hand: Je mehr Daten verschlüsselt werden, desto höher ist die Wahrscheinlichkeit, dass ein Lösegeld gezahlt wird, da eine oder mehrere dieser verschlüsselten Dateien etwas enthalten könnten, ohne das das Opfer nicht leben könnte.

Die letzte Evolutionsstufe von Commodity-Ransomware entstand durch die Kombination mit einem Wurm. Dieser Begriff bezieht sich auf selbstreplizierende Malware, die zunächst ein System infiziert und dann schnell benachbarte Systeme infiziert, die wiederum ihre Nachbarn infizieren, und so weiter. Dies hat den Effekt, dass ein einzelnes Phishing-Opfer überlistet wird, um die Ransomware auf das System des Opfers zu bringen und von dort aus schnell Tausende von Systemen in der Organisation des Opfers zu infizieren, ohne dass die Benutzer dieser Systeme ebenfalls auf den Betrug hereinfallen müssen. WannaCry war das Original dieser Generation von Commodity-Ransomware.

Von Menschen betriebene Ransomware

Im Gegensatz zu ihren Commodity-Brüdern besteht diese Art von Angriff aus einem ausgefeilteren und gezielten Angriff, der in der Forderung nach einem hohen Lösegeld gipfelt.

Der gezielte Angriff beginnt in der Regel mit einem ersten Einbruch in das Unternehmen und erfordert viele Schritte, um sein Ziel zu erreichen. Viele der Schritte sind manuell, da sie an die Besonderheiten der Umgebung des Ziels und die spezifischen Ziele, die der Angreifer für die Zielorganisation hat, angepasst werden müssen. Die meisten Gruppen, die solche Angriffe durchführen, haben eine Sammlung von Tools, die sie verwenden, aber die Anforderungen des jeweiligen Angriffs können diese Toolchain erweitern.

Von Menschen durchgeführte Ransomware-Angriffe benötigen in der Regel mehrere Wochen, um durchgeführt zu werden. Die meiste Zeit wird damit verbracht, alle Angriffsteile in den verschiedenen Teilen des Netzwerks eines Zielunternehmens zu platzieren. Zu dem Zeitpunkt, der für den Angriff gewählt wurde, treten alle Teile des Angriffs gleichzeitig in Aktion und verschlüsseln alle zuvor identifizierten wertvollen Daten. Die als SamSam-Gang bekannte Gruppe verbrachte einen Großteil des Jahres 2018 in den Nachrichten, da sie diese Methodik für Angriffe auf Gemeinden, Krankenhäuser, Gesundheitssysteme und mehrere Universitäten nutzte.

Als Unternehmen immer besser darin wurden, Backups zu erstellen (und sicherzustellen, dass sie diese auch tatsächlich wiederherstellen können), kam es zu einem weiteren Evolutionsschritt: Die wertvollen Daten würden exfiltriert und an Ort und Stelle verschlüsselt werden. Bezahlen Sie, oder Ihre Kopie der Daten wird unbrauchbar gemacht und Ihre Daten werden öffentlich gemacht.

Sowohl rohstoff- als auch menschengesteuerte Ransomware haben eine gemeinsame Herausforderung: Wie kann das Opfer sicher sein, dass erstens die Zahlung des Lösegelds dazu führt, dass die Daten freigeschaltet werden (und nicht geleakt werden), und zweitens, dass die an die Organisation gezahlten Gelder nicht für noch verwerflichere Zwecke verwendet werden (Opfer sind weniger geneigt, ein Lösegeld zu zahlen, wenn sie wissen, dass damit Terroranschläge finanziert werden können).

An dieser Stelle kommt die Ransomware-“Marke” ins Spiel. Wenn Sie gehört haben, dass jemand mit Ransomware der Marke X ein Lösegeld gezahlt hat und trotzdem seine Daten verloren hat, wäre die Wahrscheinlichkeit geringer, dass Sie das Lösegeld zahlen. Jede Ransomware-Gruppe hat effektiv eine Positiv-Spin-PR-Strategie und beschäftigt ein Kundenerfolgsteam, um sicherzustellen, dass ihre “Kunden” ein positives Erlebnis haben, wenn sie ein Lösegeld zahlen.

In letzter Zeit hat sich auch das Geschäftsmodell weiterentwickelt: Gangs wie REvil, DarkSide (die die Colonial Pipeline angriffen) und andere Stämme von menschengesteuerter Ransomware sind zu einem Franchise-Modell übergegangen. Der Franchisegeber stellt Tools, Playbooks und andere Angriffsinfrastrukturen zur Verfügung, während die Franchisenehmer diese Dienste nutzen, um die Angriffe auszuführen und einen Prozentsatz des gezahlten Lösegelds an den Franchisegeber weiterzuleiten. Der Franchise-Geber übernimmt die Werbung und kann auch das Kundenerfolgsteam beschäftigen. Ransomware ist schließlich ein Geschäft.

Wie man Ransomware-Attacken blockiert

Bestehende Ransomware-Angriffe können in der Regel schon beim Eindringen blockiert werden (über rechtzeitige Indikatoren für eine Kompromittierung oder IoCs, die in einem Threat-Intel-Feed geliefert werden). Neue Commodity-Ransomware, die Präventivmaßnahmen umgeht, ist oft in ihrer Reichweite begrenzt, sodass ein gutes Backup-/Wiederherstellungsprogramm ausreicht.

Die Eindämmung von virulenterer und sich schnell verbreitender Ransomware ist schwieriger – Mikrosegmentierung, Zero Trust, Least Privilege und andere richtliniengesteuerte Kontrollen können helfen, den Ausbruch einzudämmen.

Von Menschen durchgeführte Ransomware-Angriffe sind anderen gezielten Cyberangriffen insofern sehr ähnlich, als viele der Gegenmaßnahmen zum Schutz vor ihnen die gleichen sind. Das bedeutet, dass der Erfolg für den Verteidiger nicht von vorgeschriebenen Richtlinien, gehärteten Konfigurationen oder einem bestimmten Schwellenwert an Schutzkontrollen abhängt. Diese sind zwar bis zu einem gewissen Punkt nützlich, aber ein ausreichend motivierter Angreifer wird sie schließlich überwinden.

Stattdessen besteht die beste Verteidigung gegen menschengesteuerte Ransomware in einer robusten Sichtbarkeit und einer starken Mischung aus Bedrohungsjagd und Ermittlungsdisziplin, mit dem Ziel, bösartige Aktivitäten aufzudecken, bevor sie den Point of no Return erreicht haben. Positiv ist, dass dieser Ansatz auch Ihre Widerstandsfähigkeit gegenüber einem Angriff wie dem SolarWinds Supply-Chain-Hack verbessert.

Oliver Tavakoli ist CTO bei Vectra AI.

Weitere Einblicke der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

Einige Teile dieses Artikels stammen aus:
threatpost.com