Gewappnet gegen Ransomware mittels präventiver Notfallplanung

Zahlreiche Vorfälle im Bereich Ramsomware und Sicherheitslücken wie Log4j stellen IT-Verantwortliche vor scheinbar unüberwindbare Herausforderungen. Was es mit Ransomware auf sich hat, wie Hacker vorgehen, was diese Art der Verschlüsselung so gefährlich macht, und wie man sich für den Ernstfall rüsten kann., erläutert Contechnet.

Cyberkriminelle haben heutzutage eine Vielzahl von Möglichkeiten, um Unternehmen zu schaden. Neben dem Ausspähen von Computersystemen und Netzwerken zur (Wirtschafts-) Spionage und der gezielten Überlastung von Diensten und Services, damit diese nicht mehr genutzt werden können, existieren noch Angriffe mit sogenannter Ransomware. Hierbei handelt es sich um Angriffe auf die Daten von Unternehmen oder Organisationen, bei denen die Computersysteme verschlüsselt werden, um das Opfer anschließend erpressen zu können. Die Angreifer kontaktieren nach einer erfolgreichen Verschlüsselung der Daten das Opfer und fordern ein Lösegeld ein (englisch: ransom). Wenn das Opfer sich entschließt, das Lösegeld zu bezahlen, erhält es von den Erpressern ein Werkzeug zur Entschlüsselung der Daten. Häufig kopieren die Erpresser einen Teil oder alle Daten eines Opfers und drohen mit der Veröffentlichung von sensiblen oder wichtigen Informationen (z.B. Finanzdaten, Konstruktionspläne, Rezepturen oder Quellcodes) um zusätzlichen Druck auf das Opfer auszuüben.

Bei einem Angriff mit Ransomware handelt es sich meist um einen lange geplanten Cyberangriff, der in mehreren Phasen abläuft.

  1. Ausspähen: Sammeln von Informationen über das „Opfer“
  2. Erlangen von Zugang „Initial Access“
  3. Erweitern der Rechte oder Anlegen von weiteren Benutzern mit privilegierten Rechten
  4. Nutzung der erlangten Rechte (Verschlüsselung)
  5. Lösegeldforderung

Vor dem eigentlichen Angriff müssen die Angreifer geeignete Unternehmen als Ziele identifizieren. In dieser Phase wird die Struktur des Unternehmens analysiert. Auf der Webseite des Unternehmens finden sich häufig Angaben zu Standorten und Organisationsstrukturen. Die Geschäftszahlen in Form von Berichten können ebenfalls auf der Website oder im Bundesanzeiger eingesehen werden. Hieraus und über ausgeschriebene Stellenprofile können die Angreifer Rückschlüsse auf die Ausgaben (und den Zeitpunkt) für Sicherheitssysteme und die konkret eingesetzten Sicherheitssysteme ziehen. Abschließend werden die erhobenen Informationen zusammengefasst und der erwartete Aufwand eines Angriffs bewertet.

Ausgehend von den erlangten Informationen wählen die Angreifer aus unterschiedlichen Angriffsmöglichkeiten aus, um Zugang zum Netzwerk des potenziellen Opfers zu erhalten. Hierfür nutzen die Angreifer unter anderem Phishing-Mails oder Social-Engineering, um Zugangsdaten von Mitarbeitern zu erhalten, oder sie nutzen bekannte Schwachstellen in IT-Systemen, wie die aktuelle Sicherheitslücke Log4j. Durch dieses Vorgehen haben die Angreifer valide Nutzeraccounts mit Zugangsberechtigungen, über die weitere Software für den Angriff auf die befallenen Systeme geladen wird.

In der dritten Phase versuchen die Angreifer, die Rechte ihrer erbeuteten Nutzeraccounts zu erweitern und/oder weitere Benutzer mit privilegierten Rechten zu erstellen, sowie das Netzwerk nach sensiblen und wichtigen Daten zu durchsuchen.

Sobald die Angreifer Zugang und Zugriff auf sensible und wichtige Daten oder auf das gesamte Netzwerk haben, können sie mit der Verschlüsselung beginnen. Häufig werden aber zuvor gesammelte Daten aus dem internen Netzwerk kopiert. Dies geschieht über einen längeren Zeitraum, um keinen Verdacht zu erwecken. Sobald die Daten vollständig kopiert wurden, beginnt die Verschlüsselung.

Die Angreifer kontaktieren anschließend das Opfer und fordern ein Lösegeld ein. Das Opfer erhält im Gegenzug ein Tool zum Entschlüsseln der Daten und die erbeuteten Daten werden nicht veröffentlicht.

In genau diesen Fällen zeigt sich wieder, dass der Erfolg eines jeden Unternehmens maßgeblich von funktionierenden Geschäftsprozessen abhängig ist. Häufig zeigt sich erst in Krisenphasen, wie belastbar Prozesse und Strukturen wirklich sind. Präventive Notfallplanung ist also auf Grund der steigenden Vorfälle im Bereich Ransomware das A und O!

Eine Notfallplanung stellt Maßnahmen und Handlungsanweisungen bereit, um in gerade diesen Krisenphasen strukturiert reagieren und den Geschäftsbetrieb schnell wiederherstellen zu können. Hierdurch können unnötige Kosten vermieden, Fachabteilungen wieder koordiniert in den Betrieb gebracht und Reputationsschaden vermieden werden.

Im Idealfall kann hier eine entsprechende Software, wie „INDART Professional“, Abhilfe schaffen. Ein optimales Risikomanagement ist hierbei ebenso wie die automatisierte Pflege der Assets und des Personals über intelligente Schnittstellen ein wichtiger Punkt für die Auswahl der Software.

#Contechnet