Erkennung und Vorbeugung von Ransomware

Ransomware ist unverkennbar eine wachsende Bedrohung für Privatpersonen und Unternehmen. Eine erfolgreiche Ausführung eines Ransomware-Angriffs ermöglicht einem Cyberkriminellen, sich illegal Zugang zu einem oder mehreren Servern, Computern und/oder mobilen Geräten zu verschaffen, die lokalen Daten zu verschlüsseln und allen rechtmäßigen Benutzern den Zugriff auf die Daten zu verweigern, bis ein Lösegeld für die Entschlüsselung gezahlt wird. Sowohl Privatpersonen als auch Unternehmen müssen wissen, was Ransomware ist, wie sie funktioniert, wie man sie erkennen und sich gegen sie wappnen kann.

Ransomware ist eine bösartige Software oder Malware. Wenn sie sich Zugang zu einem Computer, Server oder Mobilgerät verschafft, übernimmt sie die Kontrolle über das Gerät und sperrt den Besitzer aus. Der Hacker, der sie initiiert hat, fordert dann ein Lösegeld (häufig in Form von digitaler Währung), bei dessen Zahlung er den Zugang des Besitzers wiederherstellt. 

Ransomware gibt es in zwei Hauptvarianten:

• Locker-Ransomware, die grundlegende Computerfunktionen kapert

• Crypto-Ransomware, die einzelne Dateien verschlüsselt und so verhindert, dass der legitime Benutzer auf sie zugreifen kann.

Die Dateien können nicht ohne einen privaten Schlüssel entsperrt werden, den nur der Angreifer kennt.

Das Lösegeld wird in der Regel in Bitcoin gefordert, weil diese Währung anonym ist und leicht digital gehandelt werden kann. Manche Unternehmen, die sonst weniger dazu tendieren, erwerben Kryptowährungen im Falle einer Infektion mit Ransomware, um sich mit dem geforderten Betrag freikaufen zu können.

Einer der bekanntesten Ransomware-Angriffe fand im Jahr 2017 statt. Die WannaCry-Malware verbreitete sich durch E-Mail-Betrug, und es traf Hunderttausende von Menschen und Organisationen weltweit, darunter auch FedEx, Nissan und Renault. Die globalen Verluste bewegten sich in einer Höhe von 4 Milliarden US-Dollar, wobei die Angreifer jeweils rund 300 US-Dollar für die Freigabe der gekaperten Dateien verlangten.

Ein Ransomware-Angriff verläuft in der Regel in drei Phasen: Infektion, Verschlüsselung und Lösegeldforderung. 

Infektion

Die Infektion des Geräts des Opfers erfolgt häufig durch Watering-Hole-Angriffe oder Phishing-E-Mails. Eine E-Mail kann einen Link zu einer Website enthalten, auf der sich die Malware befindet, oder einen Anhang mit einer Download-Funktion. Wenn Sie auf den Website-Link in der E-Mail klicken oder den Anhang öffnen, wird die Ransomware auf das Gerät heruntergeladen und ausgeführt. 

Nach der Erstinfektion wird die Ransomware möglicherweise versuchen, sich im gesamten Netzwerk auf andere angeschlossene Geräte, Server oder Laufwerke auszubreiten.

Eine weitere Technik ist das „Malvertising“, d. h. gefälschte Anzeigen, auf die ein Benutzer klickt und die der Malware Zugang zu seinem System verschaffen. Selbst die vertrauenswürdigsten Websites, wie beispielsweise die Website der New York Times, können unbemerkt Malvertising-Angriffe enthalten.

Verschlüsselung

Der nächste Schritt ist die Verschlüsselung der Dateien des Benutzers. Nachdem sich die Ransomware Zugang zu einem Gerät verschafft hat, installiert sie eine bösartige Binärdatei. Dabei handelt es sich um ausführbaren Code, der Anweisungen für die Ausführung des Schadprogramms auf dem Gerät des Opfers enthält. 

Ransomware verwendet eine asymmetrische Verschlüsselung. Dies ist eine kryptografische Methode, bei der zwei Schlüssel (ein öffentlicher und ein privater) zur Ver- und Entschlüsselung einer Datei verwendet werden. Der private Schlüssel zur Entschlüsselung der Datei ist auf dem Server des Angreifers gespeichert. Das Opfer erhält ihn erst, wenn ihn der Angreifer freigibt.

Die meisten Arten von Ransomware wählen die zu verschlüsselnden Dateien gezielt aus, um die Stabilität des Systems zu erhalten. In manchen Fällen löschen sie auch Sicherungskopien der ausgewählten Dateien, um deren Wiederherstellung ohne Zugriff auf den privaten Schlüssel zu erschweren.

Lösegeldforderung

Die nächste Stufe ist die Lösegeldforderung selbst. Dies geschieht häufig in Form einer Anzeige, die wie ein Erpresserbrief aussieht. Bei den meisten Forderungen muss das Opfer einen Betrag in Kryptowährung überweisen, um im Gegenzug Zugriff auf seine Dateien zu erhalten. 

Nach der Lösegeldzahlung liefert der Angreifer manchmal entweder den privaten Schlüssel, der zum Schutz des symmetrischen Verschlüsselungsschlüssels verwendet wird, oder eine Kopie des symmetrischen Verschlüsselungsschlüssels selbst. Der Angreifer stellt dem Opfer ein Entschlüsselungsprogramm zur Verfügung, in das es diese Informationen eingeben muss, um den Zugriff auf seine Daten wiederherzustellen.  Da der Erpresser jedoch in allen Situationen, in denen die Opfer keine Schutzmaßnahmen zur Wiederherstellung der Daten ohne den Entschlüsselungscode ergriffen haben, die vollständige Kontrolle hat, verweigern einige Angreifer auch nach der Zahlung des Lösegelds die Freigabe des Schlüssels. In anderen Fällen verkaufen die Angreifer die vor der Verschlüsselung der Datenbank extrahierten Daten im Dark Web, um so nach dem eigentlichen Angriff ein weiteres Mal abzukassieren. Je nachdem, welche Daten gestohlen wurden, kann dies für die Opfer genauso schlimm oder sogar noch schlimmer sein.

Die von den Angreifern geforderten Geldbeträge steigen schnell und machen diese Form von Angriff immer attraktiver für Angreifer. Jüngste Untersuchungen der Sicherheitsberatungsgruppe Unit 42 ergaben für die erste Hälfte des Jahres 2021 einen Anstieg der durchschnittlichen Höhe von Ransomware-Forderungen um 518% und der Auszahlungen um 82%.

Die wohl gängigste Methode zum Aufdecken von Ransomware, die auch von Antivirenprodukten am häufigsten verwendet wird, ist die signaturbasierte Erkennung.

Spurensuche

Alle Programme, Software, Dateien und Anwendungen haben ihren eigenen digitalen Fußabdruck bzw. eine individuelle Signatur, die in der Regel bei jedem Programm einzigartig ist. Sie liegt in der Regel in Form einer Hash-Datei vor, d. h. einer numerischen Darstellung von Daten, die ihrem Schutz dient. Um Malware zu erkennen, scannen Antivirenprodukte einen Computer und gleichen die gefundenen Signaturen mit einer Datenbank ab, die Signaturen bekannter Schadprogramme enthält. Wenn das Antivirenprodukt einen solchen Fußabdruck entdeckt, wird es diesen Code entweder löschen oder unter Quarantäne stellen.

Das Sicherheitsteam eines Unternehmens kann auch Software-Tools verwenden, um den Hash-Wert einer Datei zu ermitteln und ihn mit bekannter Malware zu vergleichen.

Die signaturbasierte Erkennung ist zwar nützlich und sehr effektiv, aber nur eine erste Verteidigungslinie. Die Entwickler von Ransomware optimieren und aktualisieren ihre Malware ständig, um die signaturbasierte Erkennung zu umgehen. Wenn eine Datei nur durch ein einziges Byte erweitert wird, entsteht gleich ein vollständig neuer Hash-Wert. Das Aufdecken der Malware wird dadurch schwieriger. Aus diesem Grund eignen sich signaturbasierte Methoden zwar gut zum Aufspüren bereits bekannter Ransomware, neuere Bedrohungen werden sie aber nur schwer erkennen können.

Einige Antivirenprodukte arbeiten auch mit verhaltensbasierter Erkennung. Malware verhält sich anders als legitime Software. Antivirenprodukte können dies erkennen, noch bevor die Malware ausgeführt wurde.

Anzeichen verdächtiger Aktivitäten, die auf Ransomware hindeuten, können auch bei manuellen Überprüfungen auffallen. Einer dieser Indikatoren ist die übermäßige Umbenennung von Dateien. Einige Umbenennungen sind tägliche Routine, wenn aber Hunderte von Dateien umbenannt werden, kann dies auf Ransomware hindeuten.

Analysieren von Traffic-Mustern

Die Sicherheitsteams können auch den Datenverkehr analysieren, um festzustellen, ob eine Software sich mit zweifelhaften Websites verbindet – insbesondere mit File-Sharing-Sites. Die Zunahme des Datenverkehrs kann ebenfalls auf Ransomware hinweisen, da diese sich mit externen Servern verbinden muss, um Anweisungen zu erhalten und Entschlüsselungscode auszutauschen.

Das Analysieren des Datenverkehrs ist eine zeitaufwendige Angelegenheit und außerdem nicht so genau wie die verhaltensbasierte Erkennung, was daher auch zu falsch positiven Ergebnissen führen kann. Angreifer können auch legitime File-Sharing-Websites nutzen, um nicht entdeckt zu werden.

Täuschung

Eine dritte Technik ist der Einsatz von Simulation mithilfe eines Honeypots. Dabei wird ein Dateiserver eingerichtet, der als Köder für Angreifer fungiert. Da legitime Benutzer nicht auf diesen Server zugreifen, ist jede hier festgestellte Aktivität wahrscheinlich auf einen Angriff zurückzuführen, so dass die Teams während oder vor einem Angriff gewarnt werden.

Es gibt eine Reihe von Techniken, die gegen Ransomware vorbeugen können.

An erster Stelle steht wahrscheinlich das regelmäßige Erstellen von Sicherungskopien aller wichtigen Dateien. Diese Backups sollten idealerweise offline und außerhalb des regulären Netzwerks aufbewahrt werden. Dabei sollten mehrere Kopien mit unterschiedlichen Sicherungslösungen und Speicherorten erstellt werden. 

Die Verbreitung von Ransomware kann durch folgende Maßnahmen verhindert werden:

• Filtern, wobei nur erwartete Dateitypen zugelassen sind

• Blockieren bekannter bösartiger Websites

• Verwenden von Signaturen zum Blockieren bekannter Schadcodes

• Überprüfen der Inhalte auf Malware. 

Außerdem kann das Ausführen von Ransomware auf Geräten verhindert werden, wenn sie diese Sicherheitsvorkehrungen verletzt. Zu den weiteren bewährten Methoden gehört die zentrale Verwaltung von Geräten, die nur das Ausführen vertrauenswürdiger Anwendungen erlaubt. Denken Sie darüber nach, Anti-Malware-Produkte einzusetzen, diese Produkte aktuell zu halten und Ihre Mitarbeiter zum Thema Sicherheitsbewusstsein zu schulen.

Eine der wirksamsten Anti-Malware-Maßnahmen ist das Einführen eines Zero-Trust-Konzepts, der auf der wiederholten Bestätigung der Benutzeridentität basiert. Jede Anfrage wird separat überprüft, damit niemand, der üble Absichten hegt, automatisch und umfassend Zugriff erhält.

Der Jackpot für jeden Angreifer ist der ungehinderte Zugriff auf die Anwendungen und Server eines Unternehmens. Die Authentifizierung der Identität verhindert dies, indem sie berechtigten Nutzern den Zugang zu einzelne Anwendungen statt zum gesamten Netzwerk ermöglicht. 

Bei dieser Methode werden Techniken wie Multi-Faktor-Authentifizierung, Single Sign-on und Zero-Trust-Richtlinien eingesetzt, um ein starkes Authentifizierungssystem aufzubauen. Die Berechtigungen werden unablässig überprüft, um die Legitimität des Zugangs sicherzustellen. Auf diese Weise wird verhindert, dass Angreifer über das Netzwerk auf Datenjagd gehen und Ransomware verbreiten können. 

Die beste Methode ist anerkanntermaßen die Zwei-Faktor-Authentifizierung. Bei diesem Ansatz werden die Benutzer mit einem Benutzernamen und entweder einem Hardware- oder Software-Token oder einer sekundären Verifizierung über einen separaten Kanal, wie z. B. per SMS, authentifiziert.  Eine noch fortschrittlichere Technologie nutzt Echtzeit-Risikosignale, um den Datenverkehr und das Verhalten lückenlos zu analysieren. Dies ermöglicht eine reibungslose Endbenutzererfahrung und sorgt gleichzeitig dafür, dass Authentifizierungen und Autorisierungen wie vorgesehen ablaufen.

In der heutigen Bedrohungslandschaft können Sie mit den alten Methoden der Kombination aus Benutzernamen und Passwort keine ausreichende Sicherheit mehr bieten. Die Authentifizierung der Identität ermöglicht Unternehmen die Verifizierung jedes Mitarbeiters und jedes Geräts, bevor Zugang gewährt wird. Die Wahrscheinlichkeit, dass Angreifer den nötigen Zugriff erhalten, um verheerende Schäden im Netzwerk anzurichten, wird dadurch um ein Vielfaches verringert.