Von Ende 2015 bis Juni 2018 hat Sophos die Entwicklung einer ganz besonderen Ransomware verfolgt: SamSam trat erstmals im Dezember 2015 auf. Damals wurde von Ransomware-Angriffen berichtet, die sich auf den Betrieb einiger großer Organisationen auswirkten, darunter Krankenhäuser, Schulen und Städte.
Die SamSam-Erpressungssoftware erweist sich als besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden. Das Ziel der jetzt veröffentlichten Studie von Sophos ist es, das Wesen dieser komplexen Bedrohung besser zu verstehen. Ein ausführliches Whitepaper fasst nun die Ergebnisse zusammen.
Wichtigste Ergebnisse der Studie
Der Studie zufolge waren die USA mit 74 Prozent der nachgewiesenen Angriffe das Hauptziel. In Europa sind vor allem das Vereinigte Königreich und Belgien betroffen, weitere Angriffe gab es in den Niederlanden, Estland und Dänemark. Ebenfalls angegriffen wurden Ziele in den Vereinigte Arabische Emirate (VAE), in Indien sowie in Australien.
Die Angriffe erfolgen meist zwischen 21.00 Uhr abends und 3.00 Uhr morgens und sind von einer wachsenden Professionalität geprägt, was das Umgehen von Sicherheitskomponenten und das Verwischen von Spuren betrifft.
Es ist nicht nachweisbar, ob es sich bei dem Kopf hinter SamSam um eine einzelne männliche oder weibliche Person handelt oder um eine Gruppe von Cyberkriminellen.
Sophos hat berechnet, dass SamSam seit erstmaligem Erscheinen im Jahre 2015 mehr als 5,9 Millionen US-Dollar erpressen konnte. Sophos schätzt außerdem, dass der (oder die) SamSam-Angreifer im Jahr 2018 durchschnittlich 300.000 US-Dollar pro Monat eingenommen hat. Das höchste bisher an SamSam gezahlte Lösegeld betrug 64.478 US-Dollar.
Manuell gesteuerte Angriffe nach Feierabend
Im Gegensatz zu vielen Ransomware-Angriffen stammen SamSam-Attacken nicht von einem herkömmlichen bösartigen Spam- oder Drive-by-Download-Angriff: Jeder Angriff ist ein manueller, gezielter Einbruch in ein zuvor sorgfältig als Ziel ausgewähltes Netzwerk. Sophos vermutet, dass viele Angriffe mit einer Remote-Desktop-Kompromittierung eines Gerätes im Netzwerk beginnen. Sobald die Malware das interne Netzwerk durchsucht und eine Liste potenzieller Angriffsziele erstellt hat, warten die (oder der) SamSam-Angreifer entsprechend der Zeitzone des Opfers, bevor der eigentliche Angriff startet: spät abends und nachts, wenn Benutzer und Administratoren längst Feierabend haben, wird die Malware verteilt und mit der Verschlüsselung der infizierten Computer begonnen. Dieses Timing verbessert die Erfolgschancen des Angriffs immens. Zudem erweist sich die Cyberkriminellen-Seite überraschend geschickt darin, viele Sicherheitswerkzeuge zu umgehen. Wenn etwa der Prozess der erpresserischen Verschlüsselung von Daten unterbrochen wird, löscht die Malware sofort alle Spuren von sich selbst, um eine nachträgliche Untersuchung zu behindern.
Die Opfer schweigen
Eine Reihe von Organisationen des mittleren und großen öffentlichen Sektors aus den Bereichen Gesundheit, Bildung und Regierung haben Angriffe durch SamSam offengelegt. Regierungsorganisationen haben dabei zu 100 Prozent die erlittenen Angriffe gemeldet. Von den betroffenen Organisationen der Gesundheitswirtschaft gingen 79 Prozent an die Öffentlichkeit ebenso wie 38 Prozent der betroffenen Bildungseinrichtungen. Insgesamt umfassen die Organisationen, die einen Angriff öffentlich bekannt gaben, nur 37 Prozent der von Sophos im Rahmen der Langzeitstudie identifizierten SamSam-Opfer.
Sophos glaubt, dass es hunderte weitere Opfer geben könnte, die keine öffentliche Erklärung abgegeben haben. So hat bisher hat kein Unternehmen anderer Branchen oder des Privatsektors irgendeine öffentliche Erklärung abgegeben, die einen SamSam-Angriff bestätigt – die Studie legt jedoch nahe, dass es diese gegeben hat.
Sicherheitsempfehlungen für Unternehmen
„Es gibt keine einzelne Empfehlung für die Sicherheit. Ein aktives und mehrschichtiges Sicherheitsmodell ist die beste Vorgehensweise“, erklärt Michael Veit, Sicherheitsexperte bei Sophos. Er rät vier Punkte unbedingt zu beachten, um sich möglichst gut gegen Bedrohungen wie SamSam zu schützen:
- Eingeschränkter Zugriff auf Port 3389 (RDP), indem nur Mitarbeitern, die ein VPN verwenden, ermöglicht wird, remote auf beliebige Systeme zuzugreifen. Verwenden Sie die Multi-Faktor-Authentifizierung für den VPN-Zugriff.
- Vollständige, regelmäßige Schwachstellen-Scans und Penetrationstests im gesamten Netzwerk; Wenn Sie die neuesten Testberichte nicht gelesen haben, tun Sie es jetzt.
- Multi-Faktor-Authentifizierung für sensible interne Systeme, auch für Mitarbeiter im LAN oder VPN.
- Erstellen Sie Sicherungen, die offline und offline sind, und entwickeln Sie einen Notfallwiederherstellungsplan, der die Wiederherstellung von Daten und ganzen Systemen umfasst.
Weitere bewährte Sicherheitspraktiken, die Sophos empfiehlt:
- Layer-Sicherheit, die Angreifer von allen Zugangspunkten aus blockiert und keinen Zugang mehr innerhalb eines Netzwerks erhält.
- Rigoroses und sorgfältiges Patchen.
- Serverspezifische Sicherheit mit Lockdown-Funktionen und Anti-Exploit-Schutz, insbesondere für ungepatchte Systeme.
- Sicherheit, die Informationen synchronisiert und teilt, um Sperrungen zu aktivieren.
- Endpoint- und Serversicherheit mit Diebstahlschutz für Anmeldeinformationen.
- Schwer zu knackende und einzigartige IT-Admin-Passwörter mit Multi-Faktor-Authentifizierung.
- Verbesserung der Passwortrichtlinien: Ermutigen Sie die Mitarbeiter, sichere Passwort-Manager, längere Passphrasen und die Nichtwiederverwendung von Passwörtern für mehrere Accounts zu verwenden.
- Periodische Bewertungen, die Tools von Drittanbietern wie Censys oder Shodan verwenden, um öffentlich zugängliche Dienste und Ports in Ihrem öffentlich zugänglichen IP-Adressraum zu identifizieren und diese dann zu schließen.
- Verbesserte Kontozugriffskontrollen: Erarbeiten Sie sinnvolle Richtlinien, um untätige Konten zu schützen. Sperren von Konten und Warnen von IT-Mitarbeitern nach einer Reihe fehlgeschlagener Anmeldeversuche.
- Regelmäßige Phishing-Tests und Mitarbeiterschulungen zu den Gefahren von Phishing.
Info:
Die gesamte Studie findet sich in englischer Sprache unter
Report Link: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf
Naked Security Artikel: https://nakedsecurity.sophos.com/samsam
SophosLabs Uncut: http://news.sophos.com/en-us/samsam-guide-to-coverage
#Netzpalaver #Sophos