Seit Jahren sind sogenannte Ransomware-Angriffe allgegenwärtig. Obwohl diese seit ca. 2018 kontinuierlich zunehmen, kann man in den letzten 6 Monaten einen sprunghaften Anstieg verzeichnen. Dies gilt sowohl für die schiere Menge an getroffenen Unternehmen und Organisationen sowie deren Größe. Gerade die „High Value Targets“ werden vermehrt, durchaus auch öffentlichkeitswirksam, getroffen und um Millionenbeträge erpresst. Die Fälle der amerikanischen Colonial Pipline, des großen Fleischkonzerns JBS oder einer schwedischen Supermarktkette (Coop) sind dabei nur die jüngsten prominenten Beispiele.

In diesem Blogpost erkläre ich was Ransomware überhaupt ist, wie diese ins interne Netz eines Ziels gelangen kann und wie solch eine Erpressung typischerweise abläuft. Wer die derzeit aktiven Gruppen sind sowie Hintergrundinformationen zur Ransomware-Szene beleuchte ich in kommenden Blogposts. Sinnvolle und weniger hilfreiche Reaktionen und technische Anpassungen auf diese Bedrohungen sind Thema eines zukünftigen Artikels.

Ransomware

Hinter dem Sammelbegriff Ransomware-Angriff, verbirgt sich die Angriffsstrategie welche die Daten eines Ziels komplett verschlüsselt und für die Herausgabe der Entschlüsselung Lösegeld verlangt. Sobald auf irgendeine Art und Weise Zugang zu einem Ziel-System erlangt wird, wird ein Verschlüsselungsprogramm ausgeführt. Obwohl die verschiedenen Programme unterschiedlicher Gruppen im Detail unterschiedlich arbeiten, kann ihr Vorgehen meist in folgende Schritte eingeteilt werden:

• Sie deaktivieren mögliche Schutzsysteme.
• Sie suchen aktiv nach Login-Daten, Passwörtern und Accounts.
• Sie versuchen das gesamte interne Netzwerk zu katalogisieren.
• Sie versuchen auf alle identifizierten Backups zuzugreifen (zum Teil auch auf Cloud-Backups).
• Sie übertragen Daten auf von ihnen kontrollierte Systeme.

Schließlich starten Sie im Hintergrund die Verschlüsslung sämtlicher Datenträger, Backups und aller identifizierten Systeme, auf die sie Zugriff erlangen konnten.
Die von der REvil Gruppe verwendete Software (stand der letzten Monate) macht dabei hunderte Verbindungen zu Servern und externen Systemen auf. Bei den meisten dieser Systeme handelt es sich um komplett legale unbeteiligte Webserver und Cloud-Anbieter. Dieses Vorgehen erschwert die Suche nach den aktiven Command and Control Servern, über die der Datenaustausch stattfindet enorm. Danach blenden Sie den Opfern eine Meldung ein, die besagt, dass alle Systeme verschlüsselt wurden und starten den Prozess der „Verhandlung“ des Lösegelds.

Kompromittierung

Prinzipiell ist den Angreifern jedes Mittel recht. Sie nutzen eine diverse Bandbreite von IT-Security Verwundbarkeiten aus - von Passwort-Rate-Angriffen bis Social Engeneering ist alles dabei. Allerdings lassen sich häufige Vorgehensweisen identifizieren:

• Das Ausnutzen bereits bekannter Schwachstellen, zumeist alter aber auch aktueller Systeme.
• E-Mail Phishing, bei dem die Schadsoftware über gezippte Dokumente oder Word/Exel-Macros auf dem System ausgeführt wird.
• In Daten-Leaks gefundene E-Mail und Passwort Kombinationen die für einen Remote-Desktop oder VPN-Login verwendet werden.
• Schwache oder gängige Passwörter bei Logins ins interne Netz.

Die meisten Angriffe finden über verwundbare extern erreichbare Systeme statt, seien es nun neue oder bis dato ungepatchte Schwachstellen im System (seltener), oder eben sehr alte Systeme (häufig). Diese Systeme werden entweder gezielt gesucht, indem die Angreifer ein Unternehmen extern scannen um verwundbare Geräte zu identifizieren, oder es werden kommerzielle Anbieter wie Shodan oder Censys verwendet. Mithilfe letzterer kann etwa gezielt nach bestimmten erreichbaren Systemen mit verwundbaren Softwareversionen gesucht werden, um damit dann mögliche Opfer ganz opportun auszuwählen.

Die meisten Phishing-Szenarien schließen bereits erbeutete E-Mail-Kommunikation mit ein. Hier wird beispielsweise eine interne E-Mail nochmals an mehrere Empfänger verschickt, der Betreff aber in „Re:Re:WG:Rechnung dringend“ geändert. An die bisherige Kommunikation wird eine verschlüsselte zip-Datei mit einfachem Passwort angehängt, welches in der E-Mail spezifiziert wird, und die Anweisung diese Datei zu entpacken und auszuführen, in die E-Mail eingefügt.

Generell ist jede Form der gewollten externen Verbindung in ein Unternehmensnetzwerk für die Erpresser-Banden interessant. Daher sind alle Arten von Remote-Desktop Verbindungen ein beliebtes Ziel. Mögliche Angriffe setzen hier an, wenn keine Zwei-Faktor-Authentifizierung verwendet wird, schwache und leicht zu ratende Passwörter vorliegen oder sich die Login-Daten bereits in einem Daten-Leak finden lassen.

Im Fall der Colonial Pipeline fand die Kompromittierung laut Aussage des CEO durch einen VPN-Zugang statt der ohne Zwei-Faktor-Authentifizierung eingerichtet war. Da auch IT-Dienstleister und Software-Anbieter bei einigen Unternehmen Zugänge ins interne Netz haben, sind kompromittierte Anbieter natürlich eine Gefahr für all ihre Kunden, bei denen solche Zugänge bestehen. Dies wurde besonders deutlich beim amerikanischen IT-Dienstleister Kaseya, über den hunderte weitere Unternehmen kompromittiert wurden, wie auch die eingangs erwähnte schwedische Supermarktkette Coop.

Ablauf

Mit der eingeblendeten Anzeige auf allen Geräten die über die Verschlüsselung „informiert“ wird ein Code und ein Link eingeblendet, sowie oft eine kurze Beschreibung wie der weitere Ablauf von statten gehen soll. Der Link samt Code wird zur Kontaktaufnahme und Identifikation benutzt und führt typischerweise in einen Chat mit den Erpresser-Banden. In diesem Chat wird den Opfern dann die zu zahlende Summe genannt. Dabei ist es bei den großen, professionellen Gruppen absolut üblich, dass diese Geschäftsberichte und Bilanzen sichten, um damit ein entsprechendes Lösegeld festzusetzen.

Auch das Herausgeben eines kleinen internen Datensatzes gehört zum üblichen Vorgehen. So können die Erpresser zeigen, dass sie sowohl die Daten besitzen als auch die Macht haben diese zu entschlüsseln. Aus Prestige-Gründen teilen einige Erpressergruppen manche ihrer Chatprotokolle von „high impact targets“ in geschlossenen Szene-Foren.
Verweigern die Betroffenen die Bezahlung, drohen die Erpresser erbeutete Daten, wie Geschäftsberichte, Steuerunterlagen, Datenbanken, Pläne, Patente oder Unternehmensgeheimnisse, sowie Kunden und Mitarbeiter*Innen-Daten zu verkaufen oder zu veröffentlichen. Oft reicht schon die Veröffentlichung eines kleinen Datensegments auf den eigens dafür eingerichteten Leak-Seiten, um noch zahlungsunwillige Kunden umzustimmen. Besonders das Conti-Kartell setzt auf diese Strategie.

Lösegeldforderungen reichen dabei von einigen zehntausend Dollar bis in zweistellige Millionenbeträge. Gezahlt werden diese Summen dann über eine Crypto-Währung, zumeist Bitcoin, wobei die großen Akteure bis zu 20 Prozent Rabatt auf den geforderten Betrag geben, wenn dieser in der Währung Monero gezahlt wird. Hintergrund ist hier, dass Bitcoin entgegen dem medialen Eindruck keineswegs anonym ist. Das „Waschen“ und Anonymisieren großer Mengen Bitcoin ist für diese Gruppen sowohl ein finanzieller Aufwand als auch mit Risiko verbunden. Monero oder andere privacy coins werden daher bevorzugt angenommen.

Nach eingegangener Zahlung wird der Verschlüssungskey nebst Anleitung, wie die Daten wiederhergestellt werden können, herausgegeben. Immer? Nicht immer, jedoch in den meisten Fällen, abhängig von den Zielen und den ausführenden Gruppen. Gerade neue Erpresser-Banden müssen sich zunächst den „Ruf“ verschaffen, dass eine Zahlung auch zur Herausgabe des Schlüssels führt, wohingegen Gruppen, die gerade dabei sind ihre Aktivitäten einzustellen (Cash-out), ihre Opfer durchaus auch nach der Zahlung ohne Schlüssel zurück lassen.

Ausblick

Angesichts der bisherigen Entwicklung sowie der Lukrativität gepaart mit der relativen Einfachheit, ist von einer weiteren Zunahme dieser Angriffe auszugehen. Neue Gruppen entstehen derzeit vermehrt und die „Branche“ ist im ständigen Wandel und verfügt über ein sehr hohes Maß an Innovation und Anpassungsfähigkeit. Zukünftig ist davon auszugehen, dass Angriffe auf IT-Dienstleister und Software as a Service (SaaS) Anbieter zunehmen werden, da über diese eine große Menge an Opfern auf einen Schlag kompromittiert werden kann. Einige dieser Dienstleister haben externe hoch-privilegierte Zugänge zu einer Vielzahl von Kunden und nicht immer den IT-Security Standard den man von Ihnen erwarten würde.

Zudem ist eine Verlagerung weg von großen Zielen, hin zu kleinen und mittelständischen Unternehmen vor allem dann denkbar, wenn die Größeren sich entsprechend anpassen und ihre IT-Security dahin gehend verbessern, dass für Angreifer signifikant größere Hürden entstehen. Gerade für neu entstehende Erpresser-Gruppierungen, die nicht zu sehr im Fokus der Ermittlungsbehörden stehen möchten, ist dies ein denkbares Szenario. Dies ist auch schon vereinzelt zu beobachten, obwohl derzeit noch vermehrt größere Unternehmen im Fokus stehen. Noch sind diese deutlich lukrativer und weiterhin vergleichsweise leicht zu kompromittieren.

Solange in nächster Zeit kein großflächiges Umdenken in der Gewichtung der IT-Security stattfindet, ist nicht ersichtlich, warum kriminelle Banden von dieser Art der Angriffe absehen sollten. Verbunden mit der zunehmenden Abhängigkeit von SaaS-Lösungen, auch in mittelständischen Unternehmen, hat die Problematik der Ransomware-Angriffe ihren Höhepunkt noch nicht erreicht.