Verbreitung von Ransomware – Beobachtungen zur Entwicklung

bei

 / 27. November. 2018

Vor vier Jahren wurde die Aussage, dass Cryptolocker bald an einzelne E-Mail-Adresse im Internet verschickt werden, belächelt. Damals haben Cyberkriminelle Phishing-E-Mails an Millionen von E-Mail-Adressen verschickt und Ransomware-Varianten über infizierte Links oder Word-Dokumente verbreitet, ohne dass sich Rückschlüsse auf die wahre Zielgruppe ziehen ließen. Von Studenten bis hin zu Großeltern, von Privatanwendern bis hin zu IT-Experten – jegliche Gruppen wurden Opfer dieser Angriffe. Als die Ransomware dann jedoch damit begann, netzwerkfähige Ressourcen zu verschlüsseln, schenkten ihr auch Unternehmen mehr Aufmerksamkeit.

In dieser Phase der Entwicklung wurde die sogenannte Scattershot-Delivery-Methode mit der Funktion der Verschlüsselung von Dateien auf dem lokalen Dateisystem und auf Unternehmensserver-Ressourcen kombiniert. Die Verschlüsselung des Dateiservers einer Infrastruktur oder des NAS (Network Attached Storage)-Systems verursacht mehr Schaden für Unternehmen als die Verschlüsselung eines einzelnen Arbeitsplatzes. Aus diesem Grund erhielten die Incident Response-Hotlines verstärkt Anrufe, bei denen IT-Administratoren auf der Suche nach einer Lösung verstärkt wissen wollten, welche Auswirkungen eine Lösegeldzahlung haben könnte.

Dieser Trend zur Verschlüsselung von Netzwerkfreigaben durch Ransomware und die damit verbundene erhöhte Aufmerksamkeit ist wahrscheinlich der Beginn der nächsten Phase der Ransomware-Verteilungstechniken.

Der Aufstieg des Remote Desktop-Protokolls

Angreifer und Opfer interagierten aufgrund der Auswirkungen der Ransomware auf die Unternehmensumgebung vermehrt miteinander um die Zahlung des Lösegeldes zu diskutieren. 2016 gab es dann zudem verstärkt Masseninfektionen, bei denen mehrere kritische Unternehmensbereiche in der Umgebung des Opfers gleichzeitig infiziert wurden. Die Security Community führte weitere Untersuchungen durch, was den Verdacht bestätigte: Cyberkriminelle haben, das von Microsoft entwickelte Remote Desktop-Protocol (ein proprietäres Protokoll, kurz RDP) genutzt, um über eine grafische Oberfläche eines entfernten Systems in der Umgebung des Opfers Fuß zu fassen.

Sobald die Angreifer in ein System eingedrungen waren, wurden in der Regel Tools eingesetzt, die es ermöglicht haben, falsch konfigurierte und unbeabsichtigte Benutzer/Gruppen/ Administrator-Beziehungen zu finden und diese Schwachstellen auszunutzen. Fehlkonfigurierte oder unbeabsichtigte Active Directory-Konfigurationen sind der beste Freund eines Cyberkriminellen. Sie ermöglichen den Angreifern den Zugriff auf die Rechte des Domainadministrators und somit auch den Zugriff auf das Netzwerk. Die Cyberkriminellen finden dadurch heraus, welche Objekte besonders wertvoll für das Opfer und somit auch für den Angreifer sind, und infizieren diese.

Nachdem kritische Server und Backup-Systeme in der Umgebung identifiziert wurden, konnten die Angreifer nun integrierte Windows-Systemadministrationswerkzeuge verwenden, um jede Ransomware massenhaft einzusetzen. Angreifer versuchten nicht mehr, jede Person im Internet per E-Mail zu erreichen – mit dem Remote Desktop-Protocol wussten sie genau, auf was sie sich konzentrieren sollten, und infizierten gleichzeitig kritische Vermögenswerte dank ihres neu erlangten tiefen Zugriffs in die Umgebung der Opfer.

Die nächste Stufe der Ransomware: Botnetze

Die Taktik, das RDP als Ausgangsbasis für diese massenhaften, geplanten, interaktiven oder manuellen Einsätze von Ransomware zu verwenden, war sehr verbreitet. Mit jüngsten Fällen wie der Ryuk-Ransomware sehen die Sicherheitsforscher jedoch eine Weiterentwicklung der Taktik. Bei der Untersuchung, ob sich Opfer durch RDP exponiert haben, wurden entweder keine RDP gefunden, oder es war nur über VPN zugänglich und nicht direkt mit dem Internet verbunden. Diese Fälle erforderten tiefere Untersuchungen. In mehreren weiteren Fällen wurden Bot-Infektionen gefunden, die mit dem Auftreten von Ransomware-Infektionen korrelieren.

Im letzten Monat wurden vermehrt TrickBot-, Emotet- und AdvisorsBot-Infektionen beobachtet, die mit dem Zeitpunkt der Bereitstellung von Ransomware übereinstimmen. Diese Bot-Infektionen sind in der Opferumgebung weit verbreitet und haben ebenfalls falsch konfigurierte Active Directory-Beziehungen genutzt, um sich im Netzwerk auszubreiten.

In diesen Fällen wurde festgestellt, dass Phishing-E-Mails mit bösartigen Word-Dokumenten der Bot-Zustellungsvektor sind. Diese Dokumente enthalten Makros – eine Folge von Anweisungen und Deklarationen, die per einfachem Aufruf ausgeführt werden können. In TrickBot und AdvisorsBot Infektionsuntersuchungen im Zusammenhang mit Ransomware wurde festgestellt, dass das Opfer folgende Aktionen durchgeführt hat:

  1. Die Phishing-Mail wurde geöffnet.
  2. Das bösartige Dokument wurde geöffnet.
  3. Makros zur Ausführung wurden aktiviert.

An dieser Stelle installiert der ausführbare Inhalt in den Makros entweder einen Bot oder er erreicht den Botnet Command-and-Control-Server, um letztendlich die Bot-Malware herunterzuladen.

Wir sehen dies als eine Weiterentwicklung der Ransomware-Auslieferungstaktik. Es gibt einen beobachtbaren Trend bei der Bereitstellung von Ransomware, der von opportunistischem Phishing über kompromittiertes RDP geht.

Zusammenfassend gehen die Sicherheitsforscher davon aus, dass Bot-Aktivitäten für den Vertrieb von Ransomware zunehmen werden. Bots sind eine einfache Methode zur Verbreitung zusätzlicher Malware, was sie wiederum zu einer attraktiven Möglichkeit für die Verbreitung von Ransomware macht.

Der Autor: Dietmar Schnabel, Regional Director Central Europe, ist verantwortlich für die Bereiche Sales und Marketing bei Check Point. Schnabel besetzt die Position seit Januar 2013. Er blickt auf mehr als 25 Jahre Berufserfahrung im Sales und Marketing in führenden Positionen bei renommierten Unternehmen zurück. Schnabel wechselte von BlueCoat Systems, einem Markt- und Technologieführer bei Lösungen für Websicherheit und WAN-Optimierung, zu Check Point. Bei BlueCoat Systems war er als Regional Manager DACH & EE verantwortlich für Sales, Marketing sowie die Neukunden- und Partnerakquise. Weitere Stationen seiner Karriere waren unter anderem Packeteer, Hitachi Data Systems und Gupta Technologies. Seine berufliche Laufbahn begann Schnabel 1985 bei Metrologie. Dietmar Schnabel hat einen Abschluss als Software Engineer (Organisations-Programmierer) am Control Data Institut München. Er ist verheiratet und hat zwei Kinder.

Vorheriger ArtikelKünstliche Intelligenz: Lernen und lernen lassen
Nächster ArtikelWas heute besser als mit Katzenbildern geht