Geschrieben von Thomas Philipp Haas
Erfolgreiche Angriffe nehmen zu. Doch Lösegeld-Erpressung ist keineswegs das einzige Ziel der Angreifer. Immer häufiger wird der Verkauf oder die Veröffentlichung der Daten für Unternehmen zum Hauptproblem.
Alle Systeme wurden vom Netz getrennt und auch telefonisch war das Versicherungsunternehmen nicht mehr erreichbar. Die Haftpflichtkasse Darmstadt stellte in der Nacht vom 10. auf den 11. Juli einen Ransomware-Angriff fest. „Wann der Geschäftsbetrieb vollständig wiederhergestellt sein wird, ist derzeit noch nicht absehbar“, teilt das Unternehmen auch zwei Wochen danach noch auf seiner Webseite mit. Es vergeht keine Woche ohne derartige Meldungen, das Problem Ransomware hat inzwischen weltweit gigantische Ausmaße erreicht.
In der Regel weisen diese Angriffe eine längere Vorbereitungsphase auf, die den ins Visier geratenen Organisationen Hinweise auf einen geplanten Angriff liefern kann. Wenn die Kriminellen nicht im Darknet Zugangsdaten ergattern können, beginnt der Angriff zumeist mit einer ausgiebigen Erkundungsphase. Angreifer forschen einige Wochen oder Monate das Umfeld des Opfers in spe aus, zum Beispiel in Social-Media-Kanälen. Informationen zu eingesetzten IT-Systemen sowie deren potenzielle Sicherheitslücken oder Mitarbeiter, die als Opfer für Phishing-Kampagnen dienen können, werden ausgekundschaftet.
Ist der Einbruch ins Unternehmensnetz gelungen, suchen die Kriminellen nach attraktiven Zielen wie Windows Domain Controller oder Active Directory Server, denn darüber lassen sich Zugriffsrechte steuern. Diese lateralen Bewegungen im Netz sind durchaus auffällig, weil zum Beispiel Nutzeranmeldungen auf Systemen auftauchen, die vorher nie vorkamen. Auch die sukzessive Erweiterung von Zugriffsrechten gehackter Accounts, ein typischer nächster Schritt. Alle Daten, die den Gangstern beim Herumstöbern in die Hände fallen, werden entwendet. Das waren in einem jüngsten Fall 700 Gigabyte. Spätestens das sollte im Unternehmen die Alarmglocken auslösen. Als eine der letzten Maßnahme werden Spuren entfernt, erreichbare Datensicherungen gelöscht sowie Datenbanken und Mailserver gestoppt. Bald darauf ist es zu spät: Der letzte Schritt, die Verschlüsselung relevanter Dateien, fällt meist recht schnell auf, aber dann ist auch nicht mehr viel zu machen.
So oder ähnlich arbeiten die meisten Ransomware-Gangs. Laut Untersuchungen von Spezialisten dominieren sechs Gruppen den „Markt“, wobei jede den Schwerpunkt auf bestimmte Branchen legt. Dem gehen häufig harte Konkurrenzkämpfe zwischen den Gruppen voraus, wie Sicherheitsforscher berichten. Dabei versuchen die Gangs beispielsweise, gegenseitig die für Angriffe genutzte Infrastruktur zu übernehmen oder zu zerstören. Manchmal kooperieren sie aber auch. Beispielsweise konzentriert sich die Ryuk/Conti-Gang auf große Industrie-, Bau- und Transport-Unternehmen, hingegen greift die Sodin/Revil-Gruppe bevorzugt das Gesundheitswesen oder Laptop-Hersteller an. Eins ihrer Ziele war der taiwanesische IT-Hersteller Quanta, der unter anderem Notebooks für Apple herstellt. Quanta verweigerte jedoch die Zahlung der geforderten 50 Millionen US-Dollar Lösegeld. Daraufhin veröffentlichen die Datendiebe Details zu neuen Apple-Produkten¬ was im Silicon Valley keine Begeisterung auslöste.
Viele Unternehmen haben ihre Backup-Strategien verbessert und sind nicht mehr bereit, Lösegeld zu zahlen. Stattdessen ersetzen sie verschlüsselte Dateien lieber aus der Datensicherung. Der nachlassenden Zahlungsbereitschaft vieler Unternehmen begegnen die Kriminellen mit der Drohung von Veröffentlichung oder Verkauf gestohlener Daten. Unternehmen sind schon allein deswegen gut beraten, sensible Daten ausschließlich verschlüsselt zu speichern. Laut einem FBI-Bericht betreibt die Darkside-Gruppe für Veröffentlichungen eigens Server im Iran. Das FBI vermutet, „dass das System dazu dient, Störungen des Geschäftsbetriebs von Darkside durch Konkurrenten oder Strafverfolgungsbehörden zu verhindern“.
FBI und die US-Cybersecurity-Behörde CISA raten Unternehmen dringend zu verstärkten Schutzmaßnahmen. Dazu zählen sie eine „Netzwerksegmentierung zwischen IT- und OT-Netzwerken, eine robuste Backup-Strategie, die regelmäßig getestet wird, sowie Backup-Systeme, die vom Unternehmensnetzwerk isoliert sind“. Außerdem sollten Backups kritischer Daten an verschiedenen Orten gesichert werden. Moderne Spamfilter helfen, Phishing-Mails auszusortieren. „Zugriffsrechte sollten auf das Notwendigste reduziert und Systemsverwaltungsrechte auf einen kleinen Personenkreis eingeschränkt werden“. Remote Access, also Fernzugriffe, auf OT- und IT-Netze sollten mittels Multi-Faktor-Authentifizierung abgesichert werden, so lauten die Empfehlungen der US-Behörden.
Autor: Uwe Sievers
