Ransomware-Angriffsvektoren: Cybersecurity Risiken erkennen und verhindern
Ransomware ist ein stetig wachsendes Problem in der deutschen Cyber-Sicherheitslandschaft. Sie ist darauf ausgelegt, Zugang zu den Dateien eines Benutzers oder Unternehmens zu erlangen und diese zu verschlüsseln, mit dem Ziel ein Lösegeld zu erpressen. Im Jahr 2022 waren über 60 % der Unternehmen weltweit von einem solchen Angriff betroffen. Daher ist eine Kenntnis der Angriffsvektoren, Wege, die Ransomware-Angreifer nutzen, der erste Schritt zur Verbesserung der Sicherheitsmaßnahmen und zur Vermeidung von solchen Angriffen. Das BSI unterteilt die Angriffsvektoren für Ransomware in seinem Report zur Ransomware Bedrohungslage in vier verschiedene Kategorien:
Spam und Social Engineering
Die Mehrheit der Ransomware-Infektionen (kombiniert bis zu 60 %) erfolgt über Phishing- oder Spam-Mails. Angreifer nutzen professionelle Social-Engineering-Techniken, um Opfer zu Handlungen zu bewegen, die dem Angreifer für seine Zwecke nützlich sind, z. B. Überweisungen oder Passworteingaben. Am häufigsten imitieren diese Mails jedoch legitime Firmenkommunikation und enthalten Anhänge wie Rechnungen, Bestellbestätigungen oder Anweisungen von Vorgesetzten. Diese gefälschten Dokumente beinhalten in der Regel neben dem Hauptdokument zusätzlich einen Downloader, der die tatsächliche Schadsoftware nachlädt. Das macht das Verteilungsnetz dynamisch und erlaubt es den Angreifern, ihre Schadsoftware stets aktuell zu halten, da das Programm von einem externen, vom Angreifer vollständig kontrollierten, Server heruntergeladen wird.
Drive-By Infektionen durch Exploit-Kits
Drive-By Infektionen gehören seit mehreren Jahren zu den wichtigsten Angriffsvektoren. Angreifer verwenden sogenannte Exploit-Kits für die Verbreitung von Schadsoftware. Diese Kits nutzen aktuelle Schwachstellen in weitverbreiteten Programmen aus, um Ransomware oder andere Arten von Schadsoftware zu verteilen. Die Schadsoftware der Exploit-Kits wird oft über Drive-By-Infektionen auf kompromittierten Webseiten oder in Werbebannern als aktive Inhalte, die das Opfer herunterlädt, verbreitet. Nach erfolgreicher Infektion wird die Ransomware nachgeladen. Ein effektives Patch- & Schwachstellen-Management kann das Risiko von Drive-By-Infektionen erheblich reduzieren.
Schwachstellen in Servern
Wenn das Opfer einen Server betreibt, der vom Internet aus erreichbar ist, können Angreifer durch das Ausnutzen von IT-Sicherheitsschwachstellen des Servers, in diesen eindringen. Dies ist besonders gefährlich, wenn Zugangsdaten bekannt sind und für diverse weitere Angriffsarten missbraucht werden können. Viele Schwachstellen setzen ein kompromittiertes Nutzerkonto voraus. Etwa 36 % aller erfolgreichen Ransomware Angriffe sind auf Schwachstellen in Servern zurückzuführen. Um sich vor solchen Angriffen zu schützen, ist die konsequente Verwendung von Mehrfaktor-Authentifizierung, das regelmäßige Überprüfen auf Sicherheitslücken und das zeitnahe Patchen von Servern und den betriebenen/ genutzten Programmen im Zuge eines funktionierenden Schwachstellenmanagement essenziell.
Ungeschützte Fernzugänge
Ein weiterer Angriffsvektor sind Fernzugänge (wie Microsoft Remote Desktop (RDP)) im Internet. In diesen Fällen führen Angreifer Brute-Force-Angriffe auf das Log-in System durch, indem sie beispielsweise versuchen, das Passwort zu erraten. Nach dem erfolgreichen Zugriff nutzen sie Schwachstellen der Systeme aus und infizieren diese mit Schadsoftware. Bekannte Schwachstellen, wie die unter dem Namen „Shitrix“ bekannt gewordene Citrix-Schwachstelle, wurden bereits in diversen Angriffen ausgenutzt.
Der Beste Schutz gegen Ransomware Attacken – die richtige Vorbereitung
Da nun die meistgenutzten Angriffsvektoren bekannt sind, folgen die Empfehlungen des BSI zur Vermeidung oder Minimierung der Auswirkungen einer Ransomware Attacke. Diese habe ich in einen präventiven und einen eher reaktiven Maßnahmenblock gruppiert. Wichtig ist es in beiden Fällen, die getroffenen Maßnahmen regelmäßig zu überprüfen und bei Bedarf erneut durchzuführen, da es sich bei der Informationssicherheit und ihrer Aufrechterhaltung um einen kontinuierlichen Prozess handelt. Nur durch eine kontinuierliche Überprüfung und Verbesserung kann auf aktuelle Gefahren aus dem Bereich der Cybersecurity adäquat reagiert werden.
Prävention: Maßnahmen zur Verhinderung von Ransomware-Attacken
Um Sun Tzu zu zitieren: „Wahrhaft siegt, wer nicht kämpft“. Dieses Zitat lässt sich schön auf die IT-Sicherheit übertragen: Eine Ransomware-Attacke zu verhindern ist besser, als eine zu bekämpfen. Dementsprechend ist es unerlässlich, eine starke Cybersecurity aufzubauen, um das Eindringen von Angreifern in die Systeme zu verhindern. Zur präventiven Verhinderung einer Ransomware Attacke sollten die folgenden Maßnahmen getroffen werden:
1. Patches und Updates
Angreifer nutzen oft Schwachstellen in Softwareprogrammen aus, die bereits vom Hersteller behoben, aber noch nicht in allen IT-Systemen aktualisiert wurden. Es ist daher zwingend erforderlich, Updates unverzüglich nach ihrer Bereitstellung einzuspielen. Priorität sollten dabei die Updates haben, die kritische Schwachstellen schließen oder sich auf besonders exponierte Software wie Firewall-Produkte oder Webserver beziehen. Schwachstellen lassen sich durch einen regelmäßig durchgeführten Schwachstellen-Scan, ein koordiniertes Schwachstellenmanagement und dem anschließenden Patchen besonders effizient entdecken und beheben.
2. Remote-Zugänge
Remote-Zugänge sind ein beliebtes Ziel für Ransomware-Angreifer, da sie über diese direkt auf einzelne Rechner oder das gesamte Unternehmensnetzwerk zugreifen können. Um diese abzusichern, sollten sie nur über Virtual Private Networks (VPNs) erreichbar sein. Es ist empfehlenswert, die Zugänge auf diese VPNs über eine Zwei-Faktor-Authentifizierung abzusichern.
3. E-Mails und Makros
Es sollte die Ausführung aktiver Inhalte in HTML-Mails unterdrückt werden. Vorzugsweise sollten E-Mails standardmäßig nicht als HTML, sondern als reiner Text dargestellt werden, um die Verschleierung von Webadressen zu verhindern. Angreifer können andernfalls schädliche Links maskieren, sie also wie valide Links erscheinen lassen, um die Opfer zu täuschen und zu einem Klick zu bewegen. Weiterhin ist es wichtig, die Mitarbeiter über die Risiken im Umgang mit E-Mails zu schulen. Makros in MS-Office-Dokumenten sollten deaktiviert und nur von vertrauenswürdigen Quellen zugelassen werden. Eine weitere schnell umzusetzende IT-Security Maßnahme ist das Kennzeichnen von externen Mails durch einen leicht zu erkennenden Textblock (vorzugsweise in Signalfarben). Dies muss von der IT-Abteilung im Mail-Server des Unternehmens konfiguriert werden.
4. Ausführen von Programmen
Um die Ausführung unerwünschter Software zu verhindern, kann man auf Maßnahmen wie das „Application Whitelisting“ oder „Application Directory Whitelisting“ zurückgreifen. Dies bedeutet, dass nur im Vorfeld durch Administratoren erlaubte Software durch die Mitarbeiter genutzt werden kann.
5. Virenschutz
Antivirensoftware kann neue Varianten von Ransomware erkennen und diese blockieren. Die Antivirensoftware muss sich jedoch automatisch aktualisieren können, um stets auf aktuelle Bedrohungen reagieren zu können.
6. Administrator Accounts
Mit privilegierten Accounts sollten nur Administratorentätigkeiten durchgeführt werden. Die Nutzung dieser Accounts für das Lesen von E-Mails oder das Surfen im Internet sollte technisch verhindert werden. Diese Konten sollten immer durch eine Zwei-Faktor-Authentifizierung geschützt sein. Durch diese Maßnahme wird das Administratorkonto gegen Social Engineering oder Website-Exploits geschützt.
Maßnahmen zur Eindämmung einer aktiven Ransomware-Attacke
Die folgenden Maßnahmen sind dazu gedacht, die Handlungsfähigkeit eines Angreifers und die damit verbundene Ransomware Attacke in ihrem Ausmaß zu beschränken. Denn nach einem erfolgreichen Eindringen versucht sich ein Angreifer so weit wie möglich in den Systemen seiner Opfer auszubreiten, dies wird auch als laterale Ausbreitung bezeichnet (genauer habe ich den Angriffsablauf in diesem Artikel beschrieben). Je weniger Systeme betroffen sind, desto kleiner fällt meist der Schaden aus. Die entsprechenden Maßnahmen, um Angreifer bei der lateralen Ausbreitung zu behindern, sind die folgenden:
7. Netzwerk segmentieren
Eine saubere Netzwerksegmentierung kann den Schaden durch eine Ransomware-Attacke begrenzen. Dies beschränkt die laterale Ausbreitung, also die Zugriffsmöglichkeiten der Schadsoftware auf weitere Server, die sich auf derselben Netzwerkebene befinden und somit für den Angreifer direkt erreichbar sind.
8. Backups und Datensicherungskonzept
Ein regelmäßiges Backup, also eine Sicherung der Daten und Konfigurationen, ist die wichtigste Schutzmaßnahme gegen Ransomware. Diese Backups sollten offline und getrennt von anderen Systemen gespeichert werden, um sie vor Angriffen und Fremd-Verschlüsselung zu schützen. Besonders wichtige Daten sollten über einen längeren Zeitraum aufbewahrt werden. Professionelle Angreifer warten gelegentlich mehrere Monate nach der Infektion ab, bevor sie die Systeme und Daten verschlüsseln, um auch die Backups zu kompromittieren und unbrauchbar zu machen.
9. Netzlaufwerke
Wichtige Daten sollten immer auf Netzlaufwerken gespeichert werden, die in eine zentrale Datensicherung und entsprechende Backup-Zyklen eingebunden sind. Dies ermöglicht die Vergabe von Zugriffsrechten auf das Netzlaufwerk auf Basis des „Need-to-know“-Prinzips (der Nutzer kann nur auf die Informationen zugreifen, die er wirklich braucht) und schützt die Daten vor einer Verschlüsselung durch einen Ransomware-Trojaner.
10. Notfallplan
Für den Fall, dass alle Systeme verschlüsselt sind und eine Lösegeldforderung vorliegt, sollte ein Notfallplan existieren. Dieser Plan sollte die Reaktion und Wiederherstellung geschäftskritischer Systeme umfassen und regelmäßig geübt werden. Wichtige Telefonnummern und Ansprechpartner (Behörden oder Incident Response Dienstleister) sollten offline (auf Papier) bereitgehalten werden.
Fazit
Der Schutz vor Ransomware kann nur zielgerichtet aufgebaut werden, wenn die Angriffsvektoren und größten Schwachstellen der Systeme bekannt sind. Diese sollten proaktiven durch Sicherheitsmaßnahmen geschützt werden. Schwachstellen- & Patch-Management, Mehrfaktor-Authentifizierung und eine hohe Sensibilisierung der Mitarbeiter für Spam- und Phishing-Mails sind einige der wichtigsten Schritte zur Minimierung des Risikos einer Ransomware-Infektion. Wichtig ist es hier proaktiv zu sein, um eine Infektion möglichst im Vorfeld abzuwehren, da es sich bei den Maßnahmen nach einer erfolgreichen Attacke eher um Schadensbegrenzung handelt.