DDI macht Ransomware-as-a-Service das Leben schwer

bei

 / 26. November. 2021

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Wie Unternehmen ohne zusätzliche Infrastruktur den Kriminellen die Stirn bieten können

Ransomware-Angriffe haben in letzter Zeit enorme Ausmaße angenommen. Nachdem im Jahr 2021 weltweit mehrere namhafte Unternehmen Opfer solcher Angriffe wurden – zuletzt unter anderem die private, gemeinnützige Stiftung SRH Holding [1] in Deutschland – ist klar: Niemand ist sicher. Dabei ist der Grund für die stetige Zunahme von Ransomware-Angriffen simpel: Mit der Erpresser-Masche lässt sich einfach Geld erbeuten. Für einen gelungenen Angriff reicht oft schon ein unvorsichtiger Arbeitnehmer, der auf einen infizierten E-Mail-Anhang oder -Weblink klickt. Ist die Cybersecurity dann auch technisch nicht auf dem aktuellen Stand, haben Kriminelle einfaches Spiel. Das Perfide daran: Im Gegensatz zu einem Unternehmen, das sich schützen möchte, sind IT-Kenntnisse für die Erpresser keine Voraussetzung mehr. Man muss nicht ein ausgeklügelter Hacker sein, um eine Ransomware-Attacke zu planen. In den Tiefen des Internets steht Amateuren Schadsoftware als Dienstleistung zum Mieten zur Verfügung. Das Ganze nennt sich dann „Ransomware-as-a-Service (RaaS)“. Doch auch für die Verteidiger gibt es Unterstützung: Auf Unternehmensseite erleichtert das Domain Name System zusammen mit DHCP- und IP-Adressmanagement (DDI) den Security-Experten das Leben.

Das Geschäftsmodell Ransomware-as-a-Service

Bei Ransomware-as-a-Service (RaaS) handelt es sich um ein Geschäftsmodell, das sich stark an gängigen Software-as-a-Service-Modellen (SaaS) orientiert – nur, dass anstatt einer Business-Anwendung schadhafte Erpresser-Software zur freien Nutzung angeboten wird. Ransomware-Entwickler stellen ihre Schadsoftware-Varianten häufig auf Marktplätzen im Darknet zur Verfügung, wo sie wie legale Software-Produkte im „normalen“ Internet beworben werden. Dort wird sie dann schließlich von Kriminellen verwendet, um Attacken zu planen und zu starten. In vielen Fällen sind technische Kenntnisse nicht erforderlich. Der geneigte Käufer muss sich lediglich über ein Portal anmelden und ein Konto erstellen, um die Dienste von RaaS-Anbietern nutzen zu können – Tutorials und Supportleistungen inklusive. Natürlich lassen sich die Ransomware-Entwickler die Bereitstellung ihrer Software und ihren Service gut bezahlen – bevorzugt in Bitcoins.

Zentrale Rollen von DNS für Ransomware-Angriffe

Leider sagt der Erfolg von RaaS mehr über den Zustand der Cybersecurity aus als über die Kriminellen selbst. Eigentlich sind RaaS-Angriffe gut zu erkennen. Ihre IP-Adressen sind bekannt. Jeder anständige und sichere DNS-Server sollte RaaS automatisch blockieren. Doch viele Unternehmen handeln in Sachen IT-Sicherheit schlicht und ergreifend nachlässig: Patches werden nicht installiert, Aktualisierungen nicht durchgeführt, Passwörter nicht geändert, Einstellungen werden nicht überprüft – und frei verfügbare Informationen über alle Arten von Bedrohungen, ob groß oder klein, werden systematisch ignoriert.

Die optimale Abwehr steht längst zur Verfügung

Dabei sollten Unternehmen alle zur Verfügung stehenden Mittel einsetzen, um den Cyberkriminellen Herr zu werden. Als „Telefonbuch“ des Internets sind DNS-Server eine wesentliche Komponente in jedem Netzwerk. Die Server übersetzen die Domain-Namen in IP-Adressen und sorgen so dafür, dass der Netzwerkverkehr an der richtigen Stelle ankommt. Da der gesamte Netzwerkverkehr immer über ein Domain Name System (DNS) läuft, nutz auch Ransomware in einer oder mehreren Phasen der Cyber-Kill-Chain das DNS. Beispielsweise wird DNS in der Angriffsphase verwendet, wenn potenzielle Opfer unwissentlich DNS-Anfragen an IP-Adressen stellen, die an dem Angriff beteiligt sind. Aber auch die E-Mail-Zustellung, wenn sich die Ransomware über Spam-Kampagnen verbreitet, läuft über DNS. Auch das sogenannte „Command and Controll“ (C&C), also die Steuerung der Malware, kommuniziert über das DNS. Denn das Infizieren eines Netzwerks allein reicht nicht aus. Über C&C bekommt die Schadsoftware genaue Anweisungen, wie sie sich im Netzwerk ausbreiten oder welche Daten sie verschlüsseln soll.

Doch das DNS kann auch von Unternehmen als erste und effiziente Verteidigungslinie genutzt werden, um Schaden durch RaaS zu verhindern. Denn Fakt ist: Der RaaS-Markt wird in Zukunft nur noch wachsen. Untersuchungen [2] ergaben, dass bereits 2020 fast zwei Drittel der Ransomware-Angriffe mit RaaS-Tools durchgeführt wurden. Das Ausmaß und die Raffinesse dieser Angriffe sind beunruhigend. Deshalb sollten Unternehmen alle zur Verfügung stehenden Mittel nutzen. DNS ist in den Netzwerken bereits vorhanden. Für einen effektiven Schutz vor Ransomware muss somit nicht zusätzlich eine neue Infrastruktur aufgebaut werden. Es gilt lediglich vorhandene Ressourcen richtig für die Gefahrenabwehr zu nutzen und damit eine zusätzliche Verteidigungsschicht zu schaffen. Die offene Architektur des DNS sowie seine Allgegenwärtigkeit sind der Schlüssel zu seiner Verwendung bei der Abwehr von Ransomware-Aktivitäten. Durch den Einsatz von Threat Intelligence und Analysen über das interne DNS können bösartige Aktivitäten frühzeitig erkannt und blockiert werden, bevor sich Ransomware verbreitet oder die Verschlüsselungssoftware herunterlädt.

Next Level: Kombination von Netzwerkbasisdiensten für noch mehr Transparenz

Um in Sachen DNS-basierte Sicherheit die nächste Stufe zu erlangen, sollten Unternehmen DNS außerdem mit DHCP (Dynamic Host Configuration Protocol) und IPAM (IP Address Management) zusammenführen. Auch diese Dienste sind bereits Teil eines jeden Netzwerks. Die Kombination dieser Technologien – bekannt als DDI – kann Bedrohungen in den frühesten Stadien erkennen, blockieren und gleichzeitig dafür sorgen, dass das gesamte Security Stack effektiver mit der Bedrohung umgeht. DDI ermöglicht eine umfangreiche Transparenz von Netzwerken: Beispielsweise kann eine DDI-Lösung dafür sorgen, dass alle Layer-2- und Layer-3-Geräte, wie Firewalls, Router oder Load Balancer, die mit dem Netzwerk verbunden sind, in eine zentrale Datenbank integriert und automatische dokumentiert werden. Alle vergebenen IP-Adressen werden dafür durch IPAM automatisch bereitgestellt. Durch die Kombination mit DHCP und DNS erhalten Netzwerkadministratoren dann übersichtliche Details zu IP-Adresse, Hostname, Trunkstatus, Schnittstelle, Portverwaltung, Betriebsstatus, MAC und VLANs. Nicht-berechtigte Geräte, Netzwerke oder Endhosts werden hervorgehoben, IP-Konflikte identifiziert. All diese Informationen können auf die Lokation, den Access Point u.ä. heruntergebrochen werden – und das in Echtzeit.

So können den einzelnen Insellösungen, wie Next-Generation Firewalls, NACs, DLPs, Endpoint Security oder Sandboxing, die forensischen Daten so zugespielt werden, wie es für deren sinnvollen Einsatz notwendig ist. Die DDI-Lösung ermöglicht damit die Interaktion von Security-Tools, die normalerweise gar nicht interagieren und verschafft den IT-Verantwortlichen die notwendigen Einblicke ins eigene Netzwerk.

Schluss mit „Mut zur Lücke“

Mit der Menge an Ransomware angriffen, die wir sehen, ist „Mut zur Lücke“ in der Cybersecurity ein Spiel mit dem Feuer. DDI kann diese Lücken aber schließen. Die Grundlagen dafür sind in jedem Netzwerk vorhanden – das Potential muss oft nur noch freigesetzt werden. Denn richtig genutzt bietet es nicht nur umfängliche Einblicke in das Netzwerk, sondern hilft auch, es auf ganzer Breite zu schützen.

Quellen und Referenzen:

[1] https://www.sueddeutsche.de/panorama/kriminalitaet-heidelberg-nach-cyberattacke-kehrt-srh-langsam-zur-it-normalitaet-zurueck-dpa.urn-newsml-dpa-com-20090101-211006-99-501954

[2] https://info.infoblox.com/resources-whitepapers-infoblox-q2-2021-cyberthreat-intelligence-report

Über den Autor / die Autorin:


Steffen Eid ist Manager, Solution Architects für Central Europe bei Infoblox. Als Fachinformatiker kennt er die Branche von der Pike auf. Seit 2016 begleitet er Infoblox auf der Reise vom Netzwerkmanagement unternehmen zu SaaS-Anbieter für DDI-basierte Netzwerk- und Securitylösungen.