Angriffsvektoren_940x529_SL.jpg
Fünf Jahre Ransomware – kein Grund zum Feiern!
Category : IT-Sicherheit & Kritis
Published by Kim Wehrs on 27.05.2022 08:50

Der Mai 2017 gilt als der Monat mit den ersten dokumentierten Ransomware Attacken. Die Betroffenen waren die spanische Telefónica und eine Vielzahl britischer Gesundheitseinrichtungen des National Health Service (NHS). Dieser Angriff, der unter dem Namen „WannaCry“ in die Geschichte der Cybercrime-Historie einging, zeigte nachhaltig die Verletzlichkeit von Systemen. Innerhalb nur eines Tages wurden über 230.000 Computer in über 150 Ländern Opfer dieser Attacke.

Waren die damaligen Lösegeldforderungen mit ursprünglich 300 US-Dollar, bezahlbar innerhalb von drei Tagen in Bitcoins (bzw. 600 US-Dollar innerhalb von 7 Tagen) an sich noch überschaubar, so entstanden exorbitante Folgekosten, größtenteils verursacht durch die nahezu vollständige Betriebsunterbrechung.

WannaCry kann als Blaupause für Ransomware-Angriffe betrachtet werden. Cyberkriminelle haben sehr schnell das Potential einer Datenentführung erkannt und die damit verbundenen Lösegeldforderungen übersteigen die aus heutiger Sicht geradezu harmlose Summe um ein Vielfaches. So hat der „2021 Unit 42 Ransomware Threat Report“ eine durchschnittliche Forderungshöhe von 5,3 Millionen Dollar ausgemacht.

„Harmlos“ ist deshalb eine Beschreibung, die im Zusammenhang mit Ransomware unangebracht ist.

Wenn Daten als die neue Währung bezeichnet werden, dann führt deren Verlust oder Beschlagnahme und Verschlüsselung zu substanziellen Einschränkungen, bis hin zu existenziellen Bedrohungen der davon betroffenen Organisationen und Einrichtungen

.5 Jahre Ransomware

Aus den Anfängen der kriminellen Erpressung ist ein regelrechter Geschäftszweig entstanden, bei dem Ransomware-Angriffe einerseits auf selektierte Kundenstrukturen mit hohem finanziellem Abschöpfungspotential gerichtet sind, anderseits aber auch destruktive Ziele, wie die Beschädigung von Infrastrukturen verfolgen können. Da die Risiken für cyberkriminelle Strukturen vor dem Hintergrund einer schwierigen Strafverfolgung überschaubar sind und die als Lösegeld genutzten digitalen Währungen noch nicht mittelbar nachverfolgt werden können, ist die Aussicht auf eine Trockenlegung des Sumpfes derzeit eher gering.

Die „vermeiden und verhindern“-Strategie

Vereinfacht gesagt gilt es, das Eindringen von Schadsoftware zu vermeiden - und in Kenntnis des Umstands, dass dies nicht zu 100% gelingen kann, deren Aktivitätsentfaltung zu verhindern.

Die Infiltration von Schadsoftware, die Kompromittierung von Systemen, kann auf vielerlei Wegen erfolgen: Der Link in der E-Mail, der Anhang einer Nachricht, ein zufälliges „Vorbeisurfen“ an einer bösartigen Website, der Download infizierter Dateien, das Öffnen eines unbekannten USB Datenträgers, die Ausführung aktiver Inhalte, zielgerichtete Phishing-Angriffe … all das sind potentielle Eingangstore für jegliche Art von Schadsoftware. Gemeinsam haben sie eines: Sie erfordern eine anwenderseitige Interaktion. Anders formuliert, sie setzen auf den Nutzer als Schwachstelle.

Ungeachtet aller Schulungen und Sensibilisierungsbemühungen, Menschen sind keine digital agierenden Firewall-Systeme. Menschen stehen unter Stress, sind abgelenkt, manchmal leichtgläubig und gelegentlich einfach „den entscheidenden Klick zu schnell“. Deshalb darf es keine Sicherheitsstrategie sein, die Verantwortung für eine schadensauslösende Interaktion auf die Anwender zu verlagern. Vielmehr gilt es den Endpunkt und die jeweiligen Benutzer zu schützen.

Vermeidungsstrategien sind beispielsweise E-Mail Proxy-Systeme mit Absender-Verifikation und auf Attachments angewendete CDR-Technologien (Content Disarm and Reconstruction), Secure Web-Gateways und Secure Browser-Plattformen.

Bereits 2006 hat das BSI eine Empfehlung bezüglich Remote Controlled Browser Systems (ReCoBS) ausgesprochen. Da im Browser immer mehr aktive Inhalte zur Anwendung kommen (auch aufgrund der zahlreichen Web-Konferenz-Lösungen), soll der Browser vom Endpoint isoliert und remote genutzt werden. Hersteller wie Ericom verfolgen hier eine lückenlose ZeroTrust Web Access Strategie. Websessions finden isoliert in einem Container in der Cloud statt, deren Inhalt gerendert an den lokalen Browser übermittelt werden. Dabei wird die Ausführung aktiver Inhalte am Endpunkt verhindert, Datenabgriffe werden blockiert und Downloads vor dem Abspeichern in einem mehrstufigen Desinfektionsprozess analysiert und mittels CDR gegebenenfalls um Malware bereinigt.

Ergänzende Verfahren zur Ausführungsverhinderung von Malware am Endpoint sind zudem Lösungen für Prozesskontrolle, Applikationskontrolle über Zulassungs- und Verbotslisten und ein aktiver Integritätsschutz.

Letztlich befreien uns alle präventiven Maßnahmen nicht davon, eine Notfallplanung für den Schlimmstfall zu entwickeln und funktional zu verproben. Wurde man Opfer einer Cyberattacke sind Reaktionszeit, Maßnahmenkatalog, Ansprechpartner und Instanzen sowie eine zielgerichtete interne und externe Kommunikation essentiell.


Quelle & Foto: Giritech