Sie befinden sich hier:

Angriffsvektoren für Ransomware

Ransomware ist weiterhin eine ersthafte Bedrohung, die außerdem große (ungewollte) Medienaufmerksamkeit nach sich ziehen kann.

Neben großen Konzernen waren in Deutschland bereits auch zahlreiche kleine und mittelständische Unternehmen, Krankenhäuser, Universitäten, kommunale Verwaltungen und Privatanwender von Ransomware-Angriffen betroffen.

Die Konsequenzen sind mitunter schwerwiegend. So kann ein Schaden sich schnell auf eine Millionensumme addieren. Erschwerend kommt durch die Anfang 2020 erstmals aufgetretene COVID-19-Pandemie für viele Organisationen ein wirtschaftlicher und finanzieller Ausnahmezustand hinzu, der eine unter normalen Umständen mögliche Erholung von einem derartigen Angriff stark hemmt oder gar unmöglich macht.

Ransomware stellt eine spezielle Form der Trojanischen Pferde dar, setzt sich aus den englischen Wörtern Ransom (Lösegeld) und Software zusammen und wird seit 2010/2011 verbreitet für Cyber-Angriffe eingesetzt.

Bei Ransomware handelt es sich um Schadprogramme, die den Zugang zu Computern und mobilen Geräten (z. B. Tablets oder Smartphones) verhindern und/oder darauf gespeicherte Daten verschlüsseln. Der Benutzer erhält bei Zugriffsversuchen häufig lediglich eine Meldung, dass sein Gerät gesperrt und die Daten verschlüsselt sind. Zusätzlich wird eingeblendet, auf welche Weise er womit und wohin Lösegeld bezahlen muss, um wieder auf seine Daten zugreifen zu können.

Von einer Bezahlung rät aber das Bundesamt für Sicherheit in der Informationstechnik (BSI) ab, da auch nach Bezahlung des Lösegelds nicht sicher sei, ob die Daten tatsächlich wieder entschlüsselt würden. Zudem würde die Zahlungsbereitschaft des Opfers identifiziert, wodurch weitere Forderungen nicht auszuschließen seien. Bei einer Zahlung mittels Kreditkarte würden dem Täter darüber hinaus weitere private Informationen zugänglich. Stattdessen rät das BSI, Anzeige zu erstatten.

Die meisten Ransomware-Angriff gehen neben der reinen Verschlüsselung von Daten auch mit Datenabfluss und Drohung der Veröffentlichung einher, falls Betroffene die Zahlung des geforderten Lösegelds verweigern. Da sich für Betroffene aus einer Veröffentlichung unter Umständen ein Reputationsverlust und weitere negative finanzielle Auswirkungen ergeben würden, steigern die Täter hiermit den Handlungsdruck bei den Betroffenen hin zu einer Zahlung des Lösegelds.

So gehen die Täter in vielen Fällen mittlerweile stufenweise vor. Während vor einiger Zeit noch einzelne Computer lediglich verschlüsselt wurden und Lösegeld pro verschlüsseltem PC verlangt wurde, werden heute betroffene Unternehmensnetzwerke zunächst gezielt ausspioniert. Dabei werden oftmals Daten ausgeleitet und eine Bewertung des jeweiligen Opfers vorgenommen. Die Täter passen ihre Lösegeldforderung dann der betroffenen Organisation an. Die Verschlüsselung erfolgt oftmals gezielt und kann dabei auch vorhandene Backups umfassen. Die Unternehmensnetzwerke sind häufig vollständig kompromittiert.

Im Folgenden werden die gebräuchlichsten Angriffsvektoren für Ransomware beschrieben.

Spam

Bei Angriffen mittels Spam wird versucht, über meist professionelles Social Engineering den Benutzer zum Öffnen von E-Mail-Anhängen zu bewegen. So werden angebliche Rechnungen, Bestellbestätigungen, Paketempfangsbestätigungen, eingescannte Dokumente, empfangene Faxe, teilweise unter Verwendung von echten Firmennamen und -adressen und zum Teil in perfekter Nachahmung tatsächlicher Firmen-E-Mails, versendet. Im Anhang befindet sich meist ein sog. Downloader, der die eigentliche Schadsoftware nachlädt. So bleibt das Verteilungsnetz flexibel, da die Angreifer die zum Download bereit gestellte Schadsoftware auf aktuellem Stand (d. h. schlechte AV-Erkennung) halten können. Der Download findet meist von kompromittierten Webservern vor allem kleiner Webpräsenzen statt. Es wird vermutet, dass die Angreifer diese Webpräsenzen über Schwachstellen in nicht aktuell gehaltener Serversoftware und über Trojaner abgegriffene Zugangsdaten kompromittieren konnten. In der Vergangenheit wurden auch Kampagnen gesichtet, in denen die Schadsoftware direkt verteilt wurde, z. B. als (meist gezippte) EXE-Datei oder eingebettet / kodiert in einem Microsoft-Office-Dokument. Das Entpacken und Starten musste dann vom Benutzer manuell durchgeführt werden oder wurde von Makros erledigt.

In den bisher am weitesten verbreiteten Kampagnen wurden Microsoft Office Dokumente mit stark verschleierten Makros (teilweise mit ungewöhnlichen Kodierungen wie HTML oder MIME) und JavaScript- sowie VirtualBasicScript-Dateien versendet. Teilweise wurden die Dateien in einem Archiv (meist ZIP) ausgeliefert, welches mit einem in der Spam-Mail stehenden Passwort verschlüsselt war.

Unter anderem war seit September 2019 bis zum Takedown durch Strafverfolgungsbehörden das Netzwerk um den Trojaner Emotet aktiv. Dieser spähte z. B. Outlook Kontakte und E-Mails aus und verteilte Schadprogramme, indem die Spam-Mails als vermeintliche Antworten auf zuvor ausgespähte tatsächliche E-Mails versendeten. Die bekannten Betreffzeilen und Zitate einer vorhergehenden Kommunikation ließen die gefälschten E-Mails für die Empfänger noch authentischer erscheinen. Entsprechende Verteilung mit echtem Text in der E-Mail wird aber auch von anderer Schadsoftware genutzt. Emotet lud im Auftrag anderer Tätergruppen andere Schadprogramme wie z. B. Trickbot nach, welches wiederum die Ransomware Ryuk verteilen kann.

Mittlerweile wird die Methode des Social Engineerings mittels gestohlen E-Mails durch andere Tätergruppen aufgegriffen. Die Bedrohung bleibt daher bestehen.

Drive-By Infektionen mittels Exploit-Kits

Exploit-Kits gehören seit mehreren Jahren ebenfalls zu den Infektionsvektoren für Schadsoftware. Neue Exploits für Schwachstellen in weit verbreiteten Programmen werden binnen kürzester Zeit in Exploit-Kits integriert und auch zur Verteilung von Ransomware oder anderen Schadprogramm-Typen verwendet. Aber auch andere Schwachstellen in nicht aktueller Software wie dem Browser oder dem Flash Player werden hierfür ausgenutzt.

In vielen Fällen werden die Exploit-Kits über Drive-By-Infektionen auf kompromittierten Webseiten oder Werbebannern verbreitet. Danach wird die jeweilige Schadsoftware, z. B. Ransomware, nachgeladen.

Durch ein gutes Patchmanagement lassen sich Drive-By Infektionen relativ einfach verhindern.

Schwachstellen in Servern

Stellt das Opfer selbst einen Server bereit, der aus dem Internet zu erreichen ist, so können Täter durch Ausnutzung von Schwachstellen oder Erraten von schwachen Passwörtern in diesen eindringen. Die große Zahl an in den vergangenen Jahren veröffentlichten Zugangsdaten erhöht die Wahrscheinlichkeit, dass Täter im Besitz noch anwendbarer Zugangsdaten sind. Diese können Täter für zum Beispiel Credential Stuffing oder Brute-Force Angriffe missbrauchen.

Als Schutz vor entsprechenden Angriffen hilft beispielsweise die konsequente Verwendung von zweiten Faktoren zur Authentisierung.

Nicht schnell genug geschlossene Schwachstellen in Server-Programmen wie etwa VPN-Software oder Microsoft Exchange werden immer wieder von Angreifern ausgenutzt. Teilweise wird sich auch kurzfristig ein Zugang verschafft und Monate später für weitere Aktionen ausgenutzt.

Nachladen von Ransomware bei bestehenden Schadsoftware-Infektionen

Ist ein System mit Schadsoftware wie einem Bot oder einem Trojanischen Pferd infiziert, steht das System vollständig unter der Kontrolle des Angreifers. Bleibt die Infektion unentdeckt, kann das System beispielsweise zum Versand von Spam-Nachrichten, für DDoS-Angriffe oder zur Manipulation von Online-Banking missbraucht werden. Weiterhin ist es möglich, über die bestehende Infektion weitere beliebige Schadprogramme nachzuladen. So kann das System auch mit einer Ransomware infiziert werden. Ein Angreifer kann die bestehende Schadsoftware-Infektion dadurch auf neue Art monetarisieren.

Ungeschützte Fernzugänge

Bei Vorfällen mit Infektionen wurde in einigen Fällen ein zusätzlicher Modus Operandi der Täter festgestellt. Diese scannen das Internet aktiv nach Systemen, welche Fernzugänge ins Internet anbieten, wie zum Beispiel Microsoft Remote-Desktop (RDP). Dort führen sie Brute-Force Angriffe auf das Passwort durch. Bei einem erfolgreichen Login installieren sie z. B. die Malware Trickbot und Ransomware Ryuk.

nach oben