5 Phasen im Lebenszyklus von Ransomware

Ein Grund, warum es nach wie vor schwerfällt, Ransomware abzuwehren, liegt an ihrer unterschiedlichen Vorgehensweise. So hat jeder Ransomware-Stamm seine eigene Art, in ein Netzwerk einzudringen, sich dort fortzubewegen, sich Zugang zu Ressourcen zu verschaffen und Daten zu exfiltrieren. Dennoch kann man fünf Hauptphasen im Lebenszyklus einer Ransomware definieren. Die entscheidende dabei ist die anfängliche Infiltrationsphase, in der die Ransomware versucht, irgendwo im Netzwerk bzw. auf einem der Rechner Fuß zu fassen. Ist diese Infiltration gelungen, kann die Ransomware meist problemlos zur nächsten Phase übergehen. In dieser versucht sie, ihre Rechte Schritt für Schritt zu erweitern und Anmeldeinformationen zu sammeln, mit denen sie sich lateral im Netzwerk fortbewegen kann. In ihrer dritten Phase wird die Erpressersoftware dann versuchen, das Netzwerk auszukundschaften, um die wertvollsten Ressourcen ausfindig zu machen. Darauf folgt die Kommunikation mit einem Command-and-Control-Server, um weitere Befehle zu erhalten und weitere Tools herunterzuladen, um noch tiefer in das Netzwerk einzudringen und dieses noch großflächiger zu kompromittieren. Der Lebenszyklus endet schließlich mit der Exfiltration und Verschlüsselung von Dateien, die es den Angreifern dann ermöglichen, Lösegeld zu fordern.

Selbstverständlich muss ein Angriff nicht unbedingt zwingend in dieser Reihenfolge ablaufen. Vielmehr kann die Malware nach der anfänglichen Kompromittierung eines Rechners auch sofort einen Command-and-Control-Server kontaktieren, um die nächste Stufe eines Angriffs herunterzuladen.

So kommen die Angreifer in die Systeme

Der Einstieg in die Systeme der Opfer gelingt dabei meist über Sicherheitslücken, wie die Log4j-Schwachstelle, die weltweit für Schlagzeilen sorgte, weil Millionen von Geräten betroffen waren und es zudem nicht sehr viel Geschick und Können erfordert, sie auszunutzen. Ein gefährlicher Ransomware-Stamm namens Khonsari hat das Potenzial dieser Sicherheitslücke rasch erkannt und unmittelbar damit begonnen, diese zu missbrauchen, um Rechner zu infiltrieren und Ransomware zu installieren. Und auch ProxyLogon, eine Kette von Sicherheitslücken in Microsoft Exchange-Servern, wird von Cyber-Erpressern gerne als Einstiegspunkt genutzt. So konnte sich etwa die bekannte DearCry-Ransomware über diese Schwachstelle in verschiedenen Unternehmen ausbreiten. Andere Arten von Ransomware, wie etwa Try2Cry, haben es bei der Infiltration hingegen gezielt auf infizierte USB-Laufwerke abgesehen.

Verschlüsselung + Exfiltration = Worst Case

Sobald sich die Schadsoftware in einem Netzwerk installiert hat, wird sie alles versuchen, um die höchste Stufe der Privilegien-Eskalation zu erreichen: den Zugriff auf wertvolle und erpressbare Daten. Hier beginnt das Endspiel der Ransomware und für die Opfer der Worst Case. Denn neben der Verschlüsselung der Daten mit anschließender Lösegeldforderung, droht den betroffenen Unternehmen auch eine Exfiltration von Daten. Nicht selten exfiltriert Ransomware – noch bevor sie mit der Verschlüsselung beginnt – Dateien von infizierten Computern. Für die betroffenen Unternehmen bedeutet das, dass sensible Daten wie personenbezogene Informationen oder geistiges Eigentum in die Hände von Kriminellen gelangt sind. Daran kann auch die Zahlung des geforderten Lösegeldes und die anschließende Entschlüsselung der Dateien nichts ändern. Möglich wäre dann eine erneute Erpressung mit der Drohung, die sensiblen Inhalte zu veröffentlichen oder zu verkaufen. Einmal infiziert, sind die Unternehmen der Gnade der Cyberkriminellen ausgeliefert, denn ob die nötigen Entschlüsselungswerkzeuge nach der Zahlung auch tatsächlich bereitgestellt werden bzw. exfiltrierte Daten auch langfristig geheim bleiben, kann niemand garantieren.

Netzwerkbasierter Ransomware-Schutz dank SASE

Die Identifizierung, Eindämmung und Abwehr von Ransomware braucht eine umfangreiche Security-Strategie, die auch die Netzwerkverwaltung umfasst. Ein innovativer Ansatz, der fortschrittliche Sicherheits- und Netzwerkdienste in einer Lösung integriert, ist dabei Secure Access Service Edge (SASE). Er ermöglicht es IT-Teams, eine robustere, zuverlässigere und vertrauenswürdigere Netzwerkinfrastruktur zu schaffen, um effizient und sicher zu arbeiten und die Benutzer gleichzeitig optimal zu bedienen. Fortschrittliche SASE-Lösungen schützen Unternehmen dabei durch die enge Integration von Sicherheitsdiensten wie VPN, Secure SD-WAN, Edge Compute Protection, Next-Generation Firewall, Next-Generation Firewall as a Service, Secure Web Gateway (SWG) und Zero Trust Network Access (ZTNA) und bieten gleichzeitig kontextbezogene Sicherheit auf Basis von Benutzer, Rolle, Gerät, Anwendung, Standort, Sicherheitsstatus des Geräts und Inhalt.

Im Kampf gegen Ransomware-Angriffe profitieren Unternehmen vor allem von folgenden Sicherheitsfunktionen moderner SASE-Lösungen:

• Verdächtige Dateien identifizieren: Mit Hilfe von statischen und dynamischen Analysetools, die Teil der IPS-Engine bzw. Firewall-as-a-Service (FaaS)-Funktionalität sind, können Sicherheitsverantwortliche verdächtige Dateien wirksam identifizieren. Denn sobald eine Datei den Rechner eines Benutzers verlässt und über ein SASE Edge-Gateway in das interne Netzwerk gelangt, werden die Dateien automatisch auf bösartigen Code untersucht

• Netzwerkverkehr-Analyse: SASE bietet eine spezielle Netzwerkverkehr-Analyse mit Anomalie-Erkennung, die es ermöglicht, laterale Bewegungen und ungewöhnliche Netzwerkaktivitäten, die ein Hinweis auf Ransomware sein können, wirksam zu identifizieren.

• Übersicht über die Netzwerk-Segmentierung: Ein hoher Grad an Netzwerk-Transparenz sorgt dafür, dass IT- und Security-Abteilungen ihr Netzwerk sowie die Segmentierung innerhalb von diesem klar verstehen und spezifische Sicherheitsrichtlinien und Berechtigungen auf der Grundlage der Netzwerkdynamik anwenden können.

• Least Privilege umsetzen: SASE unterstützt Unternehmen bei der Umsetzung von Zero Trust Networking (ZTN) sowie einem Least-Privilege-Prinzip, um sicherzustellen, dass sämtliche Benutzer ausschließlich über die für die Erfüllung ihrer Aufgaben erforderlichen Rechte verfügen und zu weit gefasste Rechte, die Privilegien-Missbrauch begünstigen, mit Hilfe von Netzwerkrichtlinien verhindert werden.

• Transparenz über den SASE-Client: Das Host Information Profile (HIP) von SASE prüft den Zustand eines SASE-Clients, der sich mit dem SASE-Gateway verbindet. Dabei werden zahlreiche Parameter inspiziert, um den einwandfreien Zustand des Clients zu garantieren, einschließlich Patch-Level, Betriebssystemversion, Vorhandensein einer aktuellen AV-Engine mit Signaturen, Registry-Einstellungen, Überwachung der laufenden Prozesse und Dienste usw. Auf der Grundlage der Scan-Ergebnisse kann das SASE-Gateway dann Richtlinien durchsetzen, z. B. den Zugriff auf den Host verhindern oder ihn in ein Quarantänenetz verschieben. Schließlich bieten fortschrittliche SASE-Lösungen auch eine URL-Reputationsfunktion, die überwacht und meldet, wenn ein Prozess auf einem SASE-Client eine bösartige Domain kontaktiert.

Fazit

Ransomware ist eine allgegenwärtige Sicherheitsbedrohung. Niemand weiß, wann der nächste große Angriff erfolgen wird bzw. ob die Erpressersoftware nicht bereits versucht, in den Systemen des eigenen Unternehmens vorzudringen. Umso wichtiger ist es, nun schnellstmöglich Präventivmaßnahmen umzusetzen, um wertvolle Daten vor der drohenden Kompromittierung zu schützen. Neben gängigen Maßnahmen wie Deception-Technologien und Backup-Techniken bietet SASE Unternehmen eine Reihe von Sicherheitsfunktionen, die einen wichtigen Beitrag beim Eindämmen von Ransomware-Angriffen leisten und gleichzeitig gesunde Netzwerkleistung und -dienste sicherstellen.