Ransomware-Kompendium kostenfrei von SophosLabs

Sophos hat eine neue Ausgabe in seiner englischsprachigen Reihe der „Playbooks for Defenders“ veröffentlicht. Mit dem Titel „How Ransomware Attacks“ beschreiben die SophosLabs detailliert, wie unterschiedliche Ransomware-Varianten ihre Opfer angreifen und welche Vorsichtsmaßnahmen zum Schutz zu treffen sind. Das Kompendium richtet sich speziell an IT- sowie Security-Fachleute und ist eine Ergänzung zum jüngsten Sophos-Threat-Report-2020. Analysiert werden elf der gängigsten und beständigsten Ransomware-Familien, darunter Ryuk, BitPaymer und MegaCortex.

Detaillierte Einblicke in die Vorgehensweise der Kriminellen

Im neuesten Playbook for Defenders beschreiben die SophosLabs detailliert, wie Ransomware versucht, unbemerkt an der Security vorbeizuschlüpfen. Meist nutzen die Angreifer dafür vertrauenswürdige und legitime Prozesse, um dann über interne Systeme eine maximale Anzahl von Dateien zu verschlüsseln sowie Backup- und Wiederherstellungsprozesse zu deaktivieren, bevor ein IT-Sicherheitsteam einschreiten kann. Die wichtigsten Kapitel des Kompendiums umfassen:

 

Verbreitung

Ransomware wird typischerweise auf eine von drei Arten verteilt: Als Kryptowurm, der sich schnell auf andere Computer repliziert, um eine maximale Wirkung zu erzielen (z.B. WannaCry). Eine weitere Variante ist Ransomware-as-a-Service (RaaS), der verstärkt im Dark Web als Distributions-Kit verkauft wird (z.B. Sodinokibi). Die dritte Art der Verteilung erfolgt mittels eines automatisierten, aktiven gegnerischen Angriffs, bei dem Angreifer die Ransomware nach einem automatisierten Scan von Netzwerken für Systeme mit schwachem Schutz manuell einsetzen.

 

Kryptographisches Code-Signing

Kryptographische Code-Signing-Ransomware mit einem gekauften oder gestohlenen legitimen Zertifikat versucht Sicherheitssoftware davon zu überzeugen, dass der Code vertrauenswürdig ist und keine Analyse benötigt.

 

Privilegien

Um Privilegien beziehungsweise Zugriffsrechte zu erhöhen, nutzen Angreifer leicht verfügbare Exploits wie EternalBlue. Auf diese Weise kann der Angreifer Programme wie Remote-Access-Tools (RATs) installieren, Daten anzeigen, ändern oder löschen sowie neue Konten mit vollen Benutzerrechten erstellen und Sicherheitssoftware deaktivieren.

 

Bewegung im Netz

Angreifer nutzen die seitliche Bewegung bei ihrer Jagd im Netzwerk nach Datei- und Backup-Servern, um die volle Wirkung des Ransomware-Angriffs zu entfalten. Dabei bleiben sie unter dem Radar, quasi unbemerkt. Innerhalb einer Stunde können Angreifer ein Skript erstellen, um die Ransomware auf vernetzten Endpunkten und Servern zu kopieren und auszuführen.

 

Fernangriffe

Dateiserver sind oft nicht mit der Ransomware infiziert. Stattdessen läuft die Attacke typischerweise auf einem oder mehreren kompromittierten Endpunkten, wobei ein privilegiertes Benutzerkonto missbraucht wird Der Zugriff kann auch über das Remote-Desktop-Protocol (RDP) oder via Remote-Monitoring and Management (RMM)-Lösungen erfolgen.

 

Dateiverschlüsselung und Umbenennung

Es existiert eine Reihe von unterschiedlichen Methoden zur Dateiverschlüsselung, einschließlich des einfachen Überschreibens des Dokuments. Die meisten Methoden werden durch das Löschen des Backups oder der Originalkopie ergänzt, um den Wiederherstellungsprozess zu verhindern.

 

Tipps zum Ransomware-Schutz

  • Überprüfung, ob man über einen vollständigen Bestand aller mit dem Netzwerk verbundenen Geräte verfügt und ob alle Sicherheitssoftware-Lösungen, die man auf diesen Geräten verwendet, auf dem neuesten Stand ist.
  • Installation der neuesten Sicherheitsupdates auf allen Geräten im Netzwerk.
  • Patchen aller Computer gegen die von WannaCry verwendete EternalBlue-Schwachstelle.
  • Regelmäßig Backups der wichtigsten und aktuellsten Daten auf einem Offline-Speicher.
  • Administratoren sollten die Multi-Faktor-Authentifizierung auf allen Managementsystemen aktivieren, um zu verhindern, dass Angreifer Sicherheitsprodukte während eines Angriffs deaktivieren.
  • Die Strategie eines mehrschichtigen Sicherheitsmodells ist die beste Vorgehensweise zur Vorbeugung.
  • Geeignete Security-Lösungen: „Sophos Intercept X“ bietet Schutz für Endgeräte, indem diverse Next-Generation-Technologien kombiniert werden, um Malware-Erkennung, Exploit-Schutz sowie eine Endpoint-Detection and Response (EDR) bereitzustellen.

 

Das vollständige Playbook How Ransomware Attacks sowie ein ergänzender Artikel von SophosLabs, How the Most Damaging Ransomware Evades IT Security, sind unter folgenden Links verfügbar:

#Netzpalaver #Sophos