Originalartikel von Janus Agcaoili, Miguel Ang, Earle Earnshaw, Byron Gelera und Nikko Tamaña
Das Aufkommen von doppelter Erpressung stellt einen Wendepunkt in der Entwicklung von Ransomware dar. Moderne Ransomware-Angriffe folgen alle demselben Modus Operandi: Verschlüsselung der Dateien des Opfers und Lösegeldforderung im Austausch für die Wiederherstellung des Zugriffs. Da es jedoch keine Garantie dafür gibt, dass die Cyberkriminellen ihr Wort halten, entscheiden sich einige Organisationen dafür, kein Lösegeld zu zahlen, vor allem, wenn sie ohnehin Backup-Dateien aufbewahren. Ende 2019 drohte Maze als erste Ransomware mit der Veröffentlichung der Daten, sollte sich das Opfer weigern, der Forderung nachzukommen. Bis heute haben wir 35 Ransomware-Familien entdeckt, die doppelte Erpressung einsetzen - und die Liste wird immer länger. Wir haben die Erpressungstechniken von Ransomware-Familien untersucht, die über Verschlüsselung hinausgehen.
Es ist nicht schwer zu verstehen, warum die Angreifer zu diesen Techniken greifen: Während der Verlust des Zugriffs auf die Dateien allein schon großen Druck auf die betroffenen Organisationen ausübt, zieht die zusätzliche Bedrohung durch die öffentliche Enthüllung die Schlinge noch enger, besonders wenn geheime Informationen auf dem Spiel stehen.
AgeLocker | DoppelPaymer | MountLocker/AstroLocker | RanzyLocker/ ThunderX |
Ako/MedusaLocker | Egregor | Nefilim | REvil/Sodinokibi |
AlumniLocker | Ekans | Nemty | Ryuk |
Avaddon | Everest | NetWalker | Sekhmet |
Babuk Locker | Exx/Defray777 | Pay2Key | Snatch |
Clop | Hades | ProLock | SunCrypt |
Conti | LockBit | RagnarLocker | Thanos |
CryLock | Maze | Ragnarok | Xinof |
DarkSide | Mespinoza/Pysa | RansomExx |
Tabelle. Die Ransomware-Familien, die doppelte Erpressung einsetzen (Quelle: Trend Micro™; Smart Protection Network™;)
Als ob ein solches Szenario nicht schon schlimm genug wäre, fügen Ransomware-Betreiber nun mehrstufige Erpressungstechniken hinzu, wie z. B. das Starten von Distributed-Denial-of-Service-Angriffen (DDoS) und/oder die Verfolgung von Kunden und Stakeholdern der Opferorganisationen.
Wir haben drei Ransomware-Familien unter die Lupe genommen, die dieses Modell einsetzen: REvil (oder auch Sodinokibi), Clop und Conti. Wir haben diese drei gewählt, da sie derzeit aktiv sind, neue Techniken einsetzen, auf große Unternehmen abzielen und unterschiedliche Ebenen der Erpressung durchführen. Bemerkenswert ist, dass alle drei auch unter einem Ransomware-as-a-Service (RaaS) Modell operieren, was bedeutet, dass sie einfacher und schneller über Partner verbreitet werden. Die drei sind Berichten zufolge auch die Nachfolger von berüchtigten Ransomware-Familien.
Die Phasen der digitalen Erpressung
Bild 1. Die vier Phasen der digitalen Erpressung
Einfache Erpressung
Hierbei wird Ransomware abgelegt, die dann Dateien verschlüsselt und den Zugriff darauf sperrt. Die Betreiber fordern Lösegeld von der betroffenen Organisation im Austausch für die Entschlüsselung der Dateien. Dies war bereits in den Anfängen von Ransomware der Fall.
Doppelte Erpressung
Hier gehen die Hintermänner über die Verschlüsselung hinaus und exfiltrieren auch Daten des Opfers (manchmal mithilfe legitimer Tools). Dann drohen sie mit Veröffentlichung dieser Daten. Die Kriminellen haben üblicherweise dedizierte Leak-Sites dafür, können die gestohlenen Daten aber auch im Untergrund und Blog-Sites veröffentlichen.
Maze wurde als erste Ransomware mit dieser Technik in Verbindung gebracht. Ihr Nachfolger ist Egregor aus dem Jahr 2020 (siehe auch das jährliche Sicherheits-Roundup). Kürzlich sind Mitglieder des Egregor-Kartells in einer konzertierten Aktion der Polizeibehörden und Sicherheitsfirmen (auch Trend Micro) verhaftet worden.
Die doppelte Erpressung ist deshalb so gefährlich, weil selbst dann, wenn das betroffene Unternehmen alle verlorenen Daten wiederherstellen konnte, die Bedrohung durch die Veröffentlichung sensibler Informationen bestehen bleibt. Dies war der Fall bei einer Videospielentwicklungsfirma, die ihre Daten zwar aus einem Backup wiederherstellen konnte, aber dennoch mit dem Diebstahl von Quellcodes und anderen sensiblen Informationen zu kämpfen hatte, die später auf einer mit Babuk Locker verbundenen Website veröffentlicht wurden.
Dreifache Erpressung
Das Modell folgt einer klaren Formel: Zusätzlich zur Verschlüsselung und Drohung mit Veröffentlichung werden DDoS-Angriffe angestoßen. Diese Angriffe könnten einen Server oder ein Netzwerk mit Datenverkehr überfordern und damit den Betrieb anhalten oder weiter stören.
Dies wurde erstmals von SunCrypt- und RagnarLocker-Betreibern in der zweiten Hälfte 2020 praktiziert. Avaddon folgte bald darauf. Die böswilligen Akteure hinter REvil erwägen auch, DDoS-Angriffe in ihre Erpressungsstrategie einzubeziehen.
Vierfache Erpressung
Mit dieser Methode gehen die Hintermänner über das Opfer auch an dessen Kunden und Stakeholder, um den Druck noch weiter zu erhöhen. DarkSide-Hintermänner haben in einigen ihrer Angriffe die vierfache Erpressung eingesetzt und DDoS-Attacken angestoßen sowie Kunden über dedizierte Callcenter direkt kontaktiert.
Kürzlich schickten die böswilligen Akteure hinter der Clop-Ransomware E-Mails an Kunden, in denen sie darüber informierten, dass ihre privaten Informationen auf einer Website veröffentlicht würden, und sie aufforderten, das betroffene Unternehmen zu kontaktieren. Kürzlich kündigten die Betreiber auch an, nicht nur die Kunden eines Opfers, sondern auch Geschäftspartner und die Medien über verschlüsselte VoIP-Anrufe zu kontaktieren.
Verschiedene Ransomware-Familien verwenden unterschiedliche Ebenen der Erpressung; einige implementieren nur die erste Phase, während andere sich an Strategien der vierten Phase versuchen. Außerdem werden diese Phasen nicht immer in der gleichen Reihenfolge ausgeführt, wie im Fall von Clop, der direkt von der doppelten Erpressung zur vierfachen Erpressung überging.
Zudem haben die Sicherheitsforscher die Aktivitäten der drei Ransomware-Familien auf der Grundlage mehrerer Angriffe zusammengefasst und dokumentiert. Interessierte können die Einzelheiten im Originalbeitrag nachlesen.
Ransomware-Angriffe verhindern
Ransomware mag sich hinsichtlich der verschiedenen Erpressungstechniken schnell weiterentwickeln, aber die Bedrohung ist nicht unaufhaltsam. Um Systeme zu schützen, können Unternehmen Sicherheits-Frameworks befolgen, wie sie beispielsweise vom Center of Internet Security und dem National Institute of Standards and Technology festgelegt wurden. Diese Vorgehensweisen haben den Vorteil, dass sie das Risiko und die Anfälligkeit für Bedrohungen und Schwachstellen verringern. Organisationen können Zeit und Aufwand bei der Planung sparen, da die spezifischen und etablierten Praktiken der Frameworks zeigen, wie und wo man anfangen und welche Maßnahmen man priorisieren sollte. Diese Frameworks verbessern auch die Widerstandsfähigkeit gegen Angriffe, da sie wiederholbare und flexible Maßnahmen beinhalten, die bei der Prävention, Abschwächung und Wiederherstellung helfen können.
Einige der Best Practices betreffen:
Audit und Inventarisierung
- Inventarisierung von Assets und Daten.
- Identifizierung von autorisierten und nicht autorisierten Geräten und Software.
- Audit-Logs von Vorfällen.
Konfigurieren und überwachen
- Gezielte Verwaltung von Hardware- und Software-Konfigurationen.
- Gewähren von Admin-Rechten und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters unbedingt erforderlich ist.
- Überwachen der Nutzung von Netzwerk-Ports, Protokollen und Services.
- Implementieren von Sicherheitskonfigurationen auf Netzwerkinfrastrukturgeräten wie Firewalls und Routern.
- Erstellen einer Software Whitelist, um zu verhindern, dass bösartige Anwendungen ausgeführt werden.
Patchen und Updaten
- Regelmäßige Schwachstellenprüfungen durchführen.
- Patching oder virtuelles Patching für Betriebssysteme und Anwendungen.
- Aktualisieren von Software und Applikationen auf ihre neuesten Versionen.
Schutz und Wiederherstellung
- Maßnahmen zum Schutz der Daten, Backup und Wiederherstellung.
- Implementieren von Mehrfaktorauthentifizierung.
Sichern und verteidigen
- Sandbox-Analysen zur Untersuchung und dem Blockieren von bösartigen Mails durchführen.
- Einsatz der neuesten Version von Sicherheitslösungen auf allen Ebenen des Systems, einschließlich E-Mail, Endpunkten, Web und Netzwerk.
- Entdecken von ganz frühen Zeichen für einen Angriff, so etwa das Vorhandensein von verdächtigen Tools im System.
- Einsatz von n fortschrittlichen Erkennungstechnologien, z. B. mit KI und maschinellem Lernen.
Schulen und testen
- Regelmäßige Bewertung der Sicherheitskompetenzen und Schulungen durchführen.
- Notfallteam-Übungen und Penetrationstests.
Lösungen
Unternehmen profitieren von Sicherheitslösungen, die die verschiedenen Ebenen des Systems (Endpunkt, E-Mail, Web und Netzwerk) nicht nur zur Erkennung bösartiger Komponenten, sondern auch zur genauen Überwachung verdächtigen Verhaltens im Netzwerk einbeziehen.
Trend Micro Vision One™; liefert einen mehrschichtigen Schutz. Die Lösung erkennt verdächtige Verhaltensweisen, die von nur einer Ebene aus als gutartig erkannt würden. Dadurch wird die frühzeitige Erkennung und das Blockieren von Ransomware erleichtert, bevor die Malware einem System Schaden zufügen kann.
Mithilfe von Techniken wie das virtuelle Patching und mithilfe von Machine Learning kann Trend Micro Cloud One™; Workload Security Systeme gegen bekannte und unbekannte Bedrohungen, die Schwachstellen ausnutzen, schützen.
Ransomware gelangt häufig über Phishing-Mails in ein System. Trend Micro™; Deep Discovery™; Email Inspector nutzt benutzerdefiniertes Sandboxing und fortschrittliche Analysetechniken, um Ransomware effektiv zu blockieren, bevor sie in das System gelangt.
Für eine nähere Untersuchung von Endpunkten liefert Trend Micro Apex One™; fortschrittliche automatisierte Bedrohungserkennung und -bekämpfung gegen fortschrittliche Bedrohungen wie dateilose Bedrohungen und Ransomware.
Indicators of Compromise und MITRE ATT&CK-Taktiken und –Techniken liefert der Originalbeitrag.