Wie verbreitet sich Ransomware?

Kurt Baker - August 3, 2022

Da Ransomware-Betreiber ihre Taktiken permanent weiterentwickeln, müssen Sie zum effektiven Schutz Ihres Unternehmens die gängigen Angriffsvektoren kennen.

Ransomware verbreitet sich über verschiedene Wege, doch die häufigsten Infektionsmethoden sind:

  • Phishing/Social Engineering
  • Website-Pop-ups und Exploit-Kits
  • Dateilose-Angriffe
  • Ransomware-as-a-Service

Infektionsmethoden bei Ransomware

Social Engineering

Bei Ransomware-Angriffen sind Technologie und menschliche Natur zwei Seiten derselben Medaille. In einem von CrowdStrike beobachteten Fall wurde die E-Mail einer Führungskraft gefälscht. Der Angreifer nutzte Social Engineering, um Mitarbeiter dazu zu bringen, auf einen Link in einer gefälschten E-Mail der Führungskraft zu klicken.

Damit dieser Angriff zum Erfolg führte, waren methodische Nachforschungen über die Unternehmensleitung, die Mitarbeiter und die Branche erforderlich. Social Engineering wird bei Phishing-Angriffen auf lukrative Opfer immer stärker genutzt. Auch soziale Medien spielen eine große Rolle, da sie es Angreifern nicht nur ermöglichen, Informationen über potenzielle Opfer auszuspähen, sondern auch als Mittel für die Verbreitung von Malware dienen.

Website-Pop-ups und Exploit-Kits

Website-Pop-ups und Exploit-Kits können von Angreifern zusammen verwendet werden, um Ransomware zu verbreiten und „Trojaner-Pop-ups“ oder Werbung mit verstecktem Schadcode zu erstellen. Wenn Benutzer darauf klicken, werden sie auf die Zielseite des betrügerischen Exploit-Kits umgeleitet. Dort wird der Rechner von einer Komponente des Exploit-Kits heimlich auf Schwachstellen gescannt, die der Angreifer dann ausnutzen kann.

Bei erfolgreicher Suche sendet das Exploit-Kit eine Ransomware, die den Host infiziert. Exploit-Kits sind bei Cyberkriminellen aufgrund der automatisierten Vorgehensweise sehr beliebt. Zudem sind sie sehr effizient, weil sie ohne Dateien auskommen und direkt in den Speicher injiziert werden, ohne dass Daten auf die Festplatte geschrieben werden müssen.

Daher werden sie von herkömmlicher Virenschutzsoftware nicht erkannt. Exploit-Kits werden auch von weniger versierten Ransomware-Angreifern eingesetzt, da sie kein großes technisches Know-how voraussetzen. Mit einer bescheidenen Investition im Darknet kann praktisch jeder ins Online-Geschäft mit Ransomware einsteigen.

Dateilose-Angriffe

Dateilose Ransomware-Techniken sind im Aufwind. Bei diesen Angriffen werden zunächst keine ausführbaren Dateien auf die Festplatte geschrieben. Stattdessen werden vorhandene Betriebssystemwerkzeuge (z. B. PowerShell oder WMI) benutzt, mit denen der Angreifer Aufgaben ausführen kann, ohne dass eine schädliche Programmdatei auf dem angegriffenen System ausgeführt werden muss. Diese Technik ist beliebt, weil sich die meisten älteren Virenschutzlösungen mit dateilosen Angriffen umgehen lassen.

Ransomware-as-a-Service (RaaS) und Access Broker

Da Cyberkriminelle immer nach Möglichkeiten suchen, ihre Abläufe zu optimieren und höhere Gewinne zu erzielen, ließen sie sich vom SaaS-Modell (Software-as-a-Service) inspirieren und entwickelten ein RaaS-Modell (Ransomware-as-a-Service). RaaS-Anbieter bieten alle für die Durchführung von Ransomware-Kampagnen erforderlichen Angriffskomponenten an – von Schadcode bis hin zu Ergebnis-Dashboards. Einige betreiben sogar eine Service-Abteilung, mit der sie ihre Ransomware auch technisch weniger versierten Kriminellen zugänglich machen. Darüber hinaus werden die Abonnementkosten in der Regel aus dem Erlös der Kampagne gedeckt, was dieses Modell für Cyberkriminelle sehr kostengünstig macht. Ein Beispiel dafür ist der berüchtigte RaaS CARBON SPIDER, der ab August 2020 vermehrt als BGH auftrat und eine eigene Ransomware namens DarkSide verwendete. Im November 2020 ging der Angreifer einer weiteren Schritt in die Welt der BGH und etablierte ein RaaS-Partnerprogramm für DarkSide. So können andere Akteure die Ransomware nutzen, müssen aber an CARBON SPIDER einen Anteil an der Beute zahlen.

Access Broker sind Bedrohungsakteure, die Backend-Zugänge zu verschiedenen Organisationen (sowohl Unternehmen als auch Behörden) erlangen und diese entweder in Untergrundforen oder über private Kanäle verkaufen. Dadurch müssen die Käufer nicht erst Ziele identifizieren und Zugriff erlangen, sondern können ihre Schadsoftware schneller und öfter einschleusen und somit auch potenziell höhere Erträge erzielen. Die Verwendung von Access Brokern setzt sich unter BGH-Akteuren und aufstrebenden Ransomware-Betreibern immer mehr durch. CrowdStrike Intelligence hat einige Access Broker beobachtet, die sich Partnern von RaaS-Gruppen angeschlossen haben.

Implementierung von Malware-Obfuskation in Build-Prozesse

Im Jahr 2020 konnte CrowdStrike Intelligence beobachten, dass WIZARD SPIDER und MUMMY SPIDER Open-Source-Tools zum Schutz von Software in ihre Malware-Build-Prozesse implementiert haben. Der Einsatz von Obfuskationsverfahren bei Malware ist nicht neu, doch stellt die Integration von Open-Source-Tools in Build-Prozesse eine neue Taktik dar, die fortgeschrittene Angreifer in ihren Bemühungen um einen flexiblen und dynamischen Entwicklungsprozess unterstützt. Die Einrichtung dieser Open-Source-Tools ist allerdings häufig kompliziert, sodass sie für weniger erfahrene Bedrohungsgruppen möglicherweise eine geringere Bedeutung haben.

Wie können Sie sich vor Ransomware schützen?

Backups sind eine gute Verteidigungsmaßnahme, müssen aber auch geschützt werden, da sie oft das erste sind, was Angreifer in einer Umgebung zu sperren oder zu zerstören versuchen. Es gehört daher zur Standardvorkehrung, sicherzustellen, dass Backups auch in einer kompromittierten Umgebung separat zugänglich bleiben und gut geschützt sind. Im September 2020 veröffentlichten die Cyber and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums und das Multi-State Information Sharing and Analysis Center (MS ISAC) einen gemeinsamen Ransomware-Leitfaden, der weitere Cybersicherheitsmaßnahmen formuliert, mit denen Unternehmen Ransomware-Bedrohungen besser verstehen und abwehren können. Der Artikel enthält Ratschläge dazu, wie man sich vor Ransomware schützt, wie man sich auf einen möglichen Vorfall vorbereitet, wie man Schäden beseitigt und wo man Hilfe findet. Er gibt zudem praktische Empfehlungen – vom Installieren nötiger Updates über die Schulung von Endbenutzern bis hin zur Erstellung und Umsetzung eines Plans für den Umgang mit Sicherheitsvorfällen.

INFORMATIONEN ZUM AUTOR

Kurt Baker ist Leiter des Produkt-Marketings für Falcon Intelligence bei CrowdStrike. Er hat mehr als 25 Jahre Erfahrung in leitenden Positionen und sich dabei auf aufstrebende Software-Firmen spezialisiert. Seine Expertise erstreckt sich auf Cyberbedrohungsdaten, Sicherheitsanalysen, das Sicherheitsmanagement und den Schutz vor komplexen Bedrohungen. Bevor er zu CrowdStrike kam, hat Kurt Baker in technischen Positionen bei Tripwire gearbeitet und mit Partnern Startups in verschiedenen Märkten gegründet – von Unternehmenssicherheitslösungen bis hin zu mobilen Geräten. Er besitzt einen Abschluss als Bachelor of Arts der University of Washington und wohnt jetzt in Boston (Massachusetts).