Wenn wir in den letzten Jahren etwas gelernt haben, dann, dass Ransomware-Angriffe eine Bedrohung sind – und bleiben werden. Während Ransomware-Angriffe als Drive-by-Angriffe begannen, die nicht speziell auf eine Person oder ein Unternehmen abzielten, haben sie sich heute zu einem lukrativen und professionellen Geschäft entwickelt. Wie Sie sich erfolgreich davor schützen können, zeigen wir Ihnen in diesem Beitrag.
Wie kam es zu Ransomware?
Wenn wir einige Jahre zurückblicken, nutzten die meisten Ransomware-Angriffe Malvertising als initialen Vektor und zielten auf so ziemlich alle ab, die diese bösartigen Anzeigen laden würden. Wenn die Opfer zahlten – grossartig! Wenn nicht, war es auch in Ordnung, denn es gab genug andere Fische im Meer. Dies änderte sich jedoch im Jahr 2012 mit Shamoon, einem gezielten iranischen Cyberangriff auf das Unternehmen Saudi Aramco. Shamoon ermöglichte es den Angreifern, grosse Mengen an Informationen aus Aramco zu exfiltrieren. Sobald die Exfiltration abgeschlossen war, nutzten die Angreifer Shamoon, um den Master Boot Record auf den angegriffenen Computern zu überschreiben, wodurch diese bis zur Neuinstallation unbrauchbar wurden. Dies verursachte eine erhebliche Ausfallzeit für das Unternehmen und war die eigentliche Geburtsstunde von Ransomware.
Wie hat sich die Ransomware entwickelt?
Ransomware hat sich aber natürlich seitdem weiterentwickelt. Springen wir ins Jahr 2017: WannaCry und NotPetya, zwei verheerende Ransomware-Angriffe, richteten bei grossen Unternehmen und Regierungseinrichtungen verheerenden Schaden an, beispielsweise beim Schifffahrtskonzern MAERSK. Das Besondere an diesen Angriffen war nicht nur die schonungslose Offenlegung, wie anfällig das Internet ist, sondern auch, dass diese Angriffe Zero-Day-Schwachstellen nutzten, um sich seitlich zwischen Computern im Netzwerk zu bewegen und jeden Rechner, auf den sie trafen, zu infizieren und völlig unbrauchbar zu machen. Diese Ransomware-Angriffe wurden dann von Crimeware-Gruppen genutzt, die sich bis zu diesem Zeitpunkt vor allem darauf konzentrierten, mit Malware wie Zeus (und all ihren Varianten) in Bankkonten einzudringen und Geld zu entwenden.
Kommen wir ins Jahr 2020: Während weltweit die COVID-19-Pandemie wütet und viele Menschen gezwungen waren, von zu Hause aus zu arbeiten, änderten die Betreiber von Ransomware-Angriffen ihren Modus Operandi. Sie zielten nun auf grosse Unternehmen ab, indem sie einen doppelten Erpressungsangriff durchführten. Dabei drangen sie nicht nur in das Unternehmen ein, verschlüsselten die Dateien und hielten diese quasi als Geiseln. Sie exfiltrierten diese Daten auch vorgängig und drohten, diese vertraulichen Daten öffentlich zugänglich zu machen, falls das Lösegeld nicht gezahlt würde.
Wie können wir also die Ransomware-Bedrohung bekämpfen?
Dieses neue Zeitalter der Ransomware-Angriffe wirft Licht auf ein Problem, dessen Lösung schon lange überfällig ist: laterale Bewegungen. Damit Angreifer all diese Daten exfiltrieren können, müssen sie wissen, wo sie sich im Netzwerk befinden. Um das zu wissen, müssen sie das Netzwerk abbilden und es genauso gut (wenn nicht sogar besser) kennen als die Personen, die es ursprünglich aufgebaut haben. Dazu müssen sich die Angreifer seitlich von einem Rechner/Server zum anderen bewegen, wobei sie oft unterschiedliche Anmeldeinformationen verwenden. Diese wiederum haben sie von verschiedenen Rechnern im Netzwerk gestohlen.
Viele Anbieter von Sicherheitslösungen haben versucht, dieses Problem zu lösen, beispielsweise mit DLP-Lösungen, EDRs und EPPs. Die Lösung des Problems von lateralen Bewegungen ist jedoch äusserst schwierig, denn Angreifer nutzen die Eigenschaften eines Netzwerks gegen dieses selbst. Einfallsreich verwenden sie Administrator-Anmeldeinformationen und verschiedene legitime Verwaltungstools wie das Microsoft-eigene Psexec, Remote Desktop oder sogar WMI. Dabei bewegen sie sich von Rechner zu Rechner, um Daten zu stehlen und später das Netzwerk zu verschlüsseln sowie die Erpressungsoperation zu starten. Die Unterbindung von Lateral-Movement durch die Überwachung mit EDR/EPP-Lösungen ist dabei nur bedingt erfolgreich.
Stoppen der Seitwärtsbewegung durch Segmentierung
Es gibt jedoch eine Lösung, die viel einfacher zu implementieren ist, als Sie vielleicht denken: die Netzwerksegmentierung. Die Segmentierung wird oft vergessen oder sogar gänzlich ignoriert, weil viele glauben, die Implementierung sei (zu) komplex. Das führt dazu, dass die Netzwerke «flach» sind; das bedeutet, sämtliche Endpunkte oder Server können ohne jegliche Einschränkung miteinander kommunizieren. Verstehen Sie mich aber richtig: Die Netzwerksegmentierung ist keine Alternative zu einem Virenschutz oder einer EDR-Plattform, sondern ein zusätzlicher Ansatz, der das Risiko gross angelegter Angriffe auf Basis von Lateral-Movement in Unternehmen reduziert – wenn nicht sogar vollständig eliminiert.
Bis vor kurzem bedeutete die Segmentierung eines Netzwerks, dass verschiedene Ressourcen in verschiedenen Subnetzen mit einer Firewall in der Mitte untergebracht wurden. Dadurch wurde die Granularität verunmöglicht, die Verwaltung des Netzwerks erheblich erschwert und von den Administratoren die Verwaltung komplexer Firewall-Konfigurationen zusammen mit der Verwaltung von IP-Adressenzuweisungen in verschiedenen Subnetzen verlangt. Dies erschwerte wiederum das Design und die Skalierung des Netzwerks für das IT-Personal erheblich. Gleichzeitig konnten falsche Konfigurationen entweder zu einem Sicherheitsrisiko oder zu einem Netzwerkausfall (und in einigen Fällen sogar zu beidem!) führen. All dies führte dazu, dass viele Netze völlig flach und unsegmentiert blieben.
Stoppen der Seitwärtsbewegung durch Segmentierung
In einem kürzlich veröffentlichten Memo des Weissen Hauses, in dem die Zunahme von Ransomware-Angriffen erörtert wird, wurde neben den traditionellen Vorsichtsmassnahmen und Empfehlungen wie Patches, 2-Faktor-Authentifizierung und aktualisierte Sicherheitsprodukte auch die oft übersehene Bedeutung der Netzwerksegmentierung hervorgehoben.
Die Netzwerksegmentierung trägt aber nicht nur dazu bei, das Risiko in einigen Fällen zu mindern, sondern auch das Risiko eines doppelten Erpressungsangriffs deutlich zu senken, wenn sie richtig implementiert wird. Denn der «Explosionsradius» eines Ransomware-Angriffs wird eingedämmt und minimiert. Selbst wenn die Antivirenprogramme und EDRs die Ausführung der Ransomware nicht verhindern konnten, hält eine ordnungsgemässe Segmentierung den Schaden in Grenzen. Zudem wird verhindert, dass sich die Angreifer seitlich durch das Netzwerk bewegen, noch mehr Daten stehlen und weitere Rechner verschlüsseln können.
Guardicore verhindert Lateral-Movement und stoppt Ransomware-Angriffe
Ransomware-Angriffe und Lateral-Movement zu verhindern, ist eine echte Herausforderung in hybriden IT-Umgebungen. Unsere Empfehlung: Guardicore Centra. Die Lösung von Guardicore ermöglicht es Ihnen, die benötigte Segmentierung und Transparenz in Ihrer Infrastruktur zu erlangen und dank der Echtzeiterkennung von Sicherheitsverstössen die Systeme zu schützen. Sie erhalten mit Guardicore eine kosteneffektive Möglichkeit, durch softwarebasierte Segmentierung permanente und konsistente Sicherheit zu erlangen – egal für welche Anwendung, egal in welcher IT-Umgebung. Die Stärke der Verringerung des Ransomware-Risikos durch den Einsatz einer angemessenen Segmentierungsrichtlinie liegt in ihrer Einfachheit.
Interessiert? Besuchen Sie unser Webinar «Stoppen Sie Ransomware»
Zusammen mit unserem Partner Guardicore zeigen wir Ihnen an unserem Webinar, wie sich Angreifer ohne geeignete Massnahmen ungehindert im Netzwerk fortbewegen und mit Ransomware Schaden anrichten können. Sie erfahren, wie Sie mit dem «Infection Monkey» von Guardicore einen Ransomware-Angriff auf das eigene Netzwerk simulieren und so Schwachstellen in der digitalen Verteidigung frühzeitig erkennen und beheben können.
Gerne zeigen wir Ihnen die Möglichkeiten von Guardicore im Detail auf und unterstützen Sie in allen Fragen der Cybersicherheit. Haben Sie Fragen?
![[Webcast] Hinter den Kulissen von Ransomware-Attacken](https://www.infoguard.ch/hubfs/infoguard-blog-webcast-matthias.jpg)
