Hier finden Sie ein Dutzend Möglichkeiten, wie IT-Teams jeder Größe automatische Alarmierungen einrichten können, um Ransomware-Angriffe zu erkennen, bevor es zu spät ist.
Es ist verrückt, wenn man bedenkt, dass es im Mai dieses Jahres fünf Jahre her ist, dass der Ausbruch von WannaCry dazu beigetragen hat, Ransomware in der Öffentlichkeit zu einem Begriff zu machen. In mancher Hinsicht fühlt es sich an, als wäre es schon ein ganzes Leben her (oder länger). Beispiel: Im Vergleich zu den atemberaubenden Zahlen, die in den heutigen Berichten genannt werden, wirken einige der Ransomware-Statistiken aus dem Jahr 2017 geradezu lächerlich.
- Im zweiten Quartal 2017 lag die durchschnittliche geschätzte Lösegeldforderung zwischen 501 und 2.000 US-Dollar. Nach Angaben von Coveware lag die durchschnittliche Lösegeldzahlungim ersten Quartal 2022 bei 211.529 US-Dollar.
- Im Jahr 2017 schätzte Cybersecurity Ventures die Gesamtkosten der durch Ransomware verursachten Gesamtschäden auf 5 Mrd. US-Dollar. In ihrem aktuellen Bericht werden die Gesamtkosten für das Jahr 2021 auf 20 Milliarden Dollar geschätzt.
Es hat sich offensichtlich viel verändert, und angesichts der Milliarden von Dollar, die auf dem Spiel stehen, ist die Aussage, dass die heutigen Ransomware-Operationen ausgereift und weiterentwickelt sind, eine massive Untertreibung.
Wie der Sicherheitsforscher Kevin Beaumont in einem Blogbeitrag ausführt, den jeder gelesen haben sollte:
„Eine Ransomware-Gruppe , die eine Zahlung von 40 Millionen Dollar für den Angriff auf eine Cybersecurity-Versicherungsgesellschaft erhalten hat, verfügt über ein größeres Budget für Cyberangriffe als die meisten mittleren und großen Unternehmen insgesamt für die Abwehr von Angriffen ausgeben können. Und das ist nur ein einziger Angriff einer Gruppe, der kaum auf dem Nachrichtenradar der meisten Menschen auftaucht.“
— Kevin Beaumont, „The Hard Truth about Ransomware“
Das ist eine ernüchternde Einschätzung, aber bevor wir uns nach den „einfacheren“ Tagen des Jahres 2017 zurücksehnen, sollten wir auch bedenken, dass sich in den letzten fünf Jahren zwar vieles verändert hat, aber auch vieles nicht.
Ja, das Ökosystem der Cyberkriminalität ist rund um Ransomware explodiert, und natürlich haben die Angreifer riesige Kriegskassen angehäuft, um Zero-Days zu kaufen und Bug-Bounty-Programme zu starten. Die Wahrheit ist jedoch, dass die meisten trotz alledem immer noch leichter Beute Ausschau halten. Warum sollte man sich auf etwas Ausgefallenes einlassen, wenn man auch mit einfachen Mitteln vielen die Brieftasche abluchsen kann?
- Colonial Pipeline? Gehackt über ein inaktives Konto ohne MFA.
- Irisches Gesundheitsministerium? Ein Excel-Dokument mit Schadsoftware.
- Der 5-monatige Zugriff der LockBit-Ransomware-Bande auf eine US-Regierungsbehörde? Frei zugängliches RDP.
- Der 50 Millionen Dollar schwere Ransomware-Angriff auf den PC-Riesen Acer? Ungepatchte Sicherheitslücke in Microsoft Exchange.
Es stimmt zwar, dass Prävention für heutige Unternehmen eiine Herausforderung darstellt, aber das war nie anders, und ich bin nicht ganz davon überzeugt, dass Prävention heute exponentiell schwieriger ist als vor fünf Jahren. Die Wahrheit ist, dass solide Grundlagen und ein gutes Endpunkt-Hardening KMUs sehr weit bringen können.
Aber in diesem Beitrag geht es ja darum, wie man Ransomware erkennen kann, nicht wahr? Nun, die selben Grundlagen kommen auch hier zum Tragen. Die meisten Unternehmen benötigen nach wie vor spezielle Ressourcen (intern oder extern), um die hier vorgestellten Erkennungsmöglichkeiten zu implementieren und aktiv zu überwachen, aber die Einstiegshürde ist nicht unbedingt so hoch, wie einige Sicherheitsanbieter glauben machen wollen.
Ein typisches Beispiel: Im Folgenden finden Sie 12 gute, grundlegende Ideen für die Risikoerkennung, die Ihnen Ergebnisse liefern können, ohne ein Vermögen zu kosten.
Gehen wir ihnen auf den Grund.
Wie man Ransomware erkennen kann (oder besser gesagt, wann)
Zunächst einmal sollten wir uns darüber einig sein, dass der Versuch, Ransomware-Aktivitäten nach der Ausführung (d. h. Ransomware, die aktiv ausgeführt wird und Daten verschlüsselt) zu erkennen, ein aussichtsloses Unterfangen ist. Einige der am weitesten verbreiteten Ransomware-Varianten können 100.000 Dateien in weniger als fünf Minuten verschlüsseln.
Versuche, plötzliche massenhafte Änderungen von Dateinamen usw. zu erkennen und darauf zu reagieren, kommen oft zu kurz und zu spät.
AV / EDR ist natürlich darauf ausgelegt, ausführbare Ransomware-Dateien zu blockieren, aber die Detection und Blocking sind nicht unfehlbar. Selbst wenn es ihnen gelingt, eine ausführbare Datei zu blockieren, bleibt das Problem bestehen, dass die Angreifer Zugang erhalten haben. Die Angreifer werden nicht so einfach aufgeben.
Es ist auch Routine für Angreifer, Tools und Playbooks zu nutzen, die für die Erlangung erweiterter Zugriffsrechte entwickelt wurden, um Sicherheitstools (und Backups) zu deaktivieren.
Aus diesem Grund ist der beste Zeitpunkt, um Angriffe frühzeitig zu erkennen und zu unterbrechen, idealerweise dann, wenn die Angreifer (oft automatisiert) versuchen, sich auf Ihrem System einzunisten. Es ist viel einfacher, Angriffe im Keim zu ersticken, als sich mit der nächsten Stufe auseinanderzusetzen, wenn Sie es mit einem echten menschlichen Hacker zu tun haben, der mit einem bewährten Playbook und zahlreichen Tools arbeitet, die ihm dabei helfen, Ihr Netzwerk schnell erkunden und die vollständige Kontrolle zu übernehmen.
Wenn wir also über die Erkennung von Ransomware sprechen, sollte die bessere Frage lauten: „Wie erkennen wir die frühen Warnzeichen einer Kompromittierung, die schnell zu einem Angriff mit Ransomware führen könnte?“
Die Betonung liegt dabei auf „schnell“. Aus Berichten geht hervor, dass Ransomware nach dem ersten Zugriff innerhalb von Tagen oder sogar nur Stunden eingesetzt werden kann. Siehe die Aufschlüsselungen des DFIR-Berichts zu IcedID to XingLocker ransomware in 24 hours sowie auch Netwalker Ransomware in 1 Hour.
Mit so wenig Zeit, um die Bedrohung zu erkennen und darauf zu reagieren, ist es wichtig, dass Tools und erfahrene Fachleute die Systeme aktiv überwachen und bereit sind, darauf zu reagieren (idealerweise mit Hilfe von Automatisierungen).
Genug der Vorrede, was sind also Frühwarnzeichen für Ransomware und gute Erkennungsmöglichkeiten?
Die gute Nachricht ist, dass es zwar eine Vielzahl von Akteuren und Gruppen sowie Angriffsvarianten gibt, die meisten aber immer noch auf gängige Playbooks und Tools zurückgreifen. Dank der Arbeit von Forschern wie denen von The DFIR Report und anderen können Verteidiger die gängigsten TTPs erlernen und entsprechende Frühwarnsysteme entwickeln.
Im Folgenden finden Sie eine Liste von Erkennungsmöglichkeiten, die gängigen Ransomware-Angriffsmustern zugeordnet sind (mit einem großen Verweis auf den Jahresrückblick 2021 des DFIR-Berichts). Diese Liste ist keineswegs vollständig, aber sie sollte Ihnen eine gute Orientierung für den Einstieg bieten.
Wenn Sie eine Endpunktverwaltungslösung oder ein RMM wie NinjaOne verwenden, können Sie für viele dieser Erkennungs- und Überwachungsstrategien alarmierungen erstellen, die Sie dann einfach auf allen Endpunkten ausrollen können. Das erspart Ihnen und Ihrem Team viel manuelle Arbeit. Sie können auch automatisierte Aktionen einrichten, die durch Alarmierungen ausgelöst werden, z. B. automatisiert Neuinstallationen/Neustarts von AV / EDR-Prozessen einzuleiten, wenn diese als fehlend oder deaktiviert erkannt werden.
Wenn Sie noch einen Schritt weiter gehen wollen, haben die Experten von The DFIR Report auch eine ganze Reihe äußerst nützlicher Sigma-Regeln zur Verfügung gestellt, die Sie mit Chainsaw nutzen können, einem kostenlosen Open-Source-Tool von F-Secure Labs, das eine schnelle Möglichkeit bietet, Ereignisprotokolle zu durchforsten und verdächtige Anzeichen eines Angriffs zu identifizieren.
Typen von Ransomware-Angriffstaktiken und wie man sie erkennt – Detektion in verschiedenen Angriffstadien
Initial access (anfänglicher Zugriff)
Berichte von Endbenutzern über verdächtige E-Mails: Sie machen zwar nicht so viel Schlagzeilen wie Zero-Day-Schwachstellen, und doch sind schädliche E-Mails, die Benutzer zum Herunterladen und Ausführen von Malware verleiten sollen, nach wie vor eine der meistgenutzten Angriffsmethoden. Warum? Weil es immer noch funktioniert.
- Wie man verdächtige E-Mails erkennt: Es ist wichtig, dass Unternehmen ihren Mitarbeitern Schulungen zum Thema Sicherheit anbieten, aber auch eine Kultur schaffen, in der sie aktiv ermutigt und belohnt werden, verdächtige E-Mails zu melden UND potenzielle Fehler dabei zu machen.
Verdächtige RDP-Verbindungen: Ungeschütztes RDP ist ein weiterer Angriffsvektor, über den einige IT- und Sicherheitsexperten vielleicht die Augen verdrehen, der aber nach wie vor einen der wichtigsten Angriffspunkte für Ransomware-Vorfälle darstellt.
- Wie man verdächtige RDP-Verbindungen erkennt: In diesem Beitrag von NCCGroup wird erläutert, wie unauffällige Ereignisse protokolliert werden können, die im Zusammenhang mit versuchten und erfolgreichen RDP-Sitzungen stehen. Darüber hinaus geht dieses Skript des PowerShell-Experten Kelvin Tegelaar noch einen Schritt weiter, indem es dokumentiert, ob verschiedene Fernzugriffstools installiert sind (Remote Desktop, Teamviewer, Connectwise ScreenConnect und andere) und protokolliert, wenn eine erfolgreiche Verbindung hergestellt wurde.
Persistence (andauernde Bedrohung)
Erstellung suspekter geplanter Aufgaben: Eine der häufigsten Methoden, mit denen Angreifer sich in Ihr System hereinarbeiten und Traktion erlangen.
- So erkennen Sie verdächtige geplante Aufgabenerstellungen: Überwachung und Benachrichtigung zu den Windows-Ereignis-IDs 4698 und 4700 einrichten oder dieses PowerShell-Skript von Kelvin Tegelaar verwenden.
Nicht genehmigte Fernzugriffssoftware: Eine weitere Taktik, die sich immer mehr durchsetzt, ist die Installation von von Drittanbieter-Software wie AnyDesk (die bei weitem beliebteste), Atera, TeamViewer und Splashtop durch Angreifer.
- Wie man unerwünschte Fernzugriffssoftware erkennt: Entsprechende Tools sind bei MSPs sehr beliebt, aber wenn Sie einige oder alle dieser Tools NICHT verwenden, sollten sie eine Überwachung dafür einrichten und sich unbedingt benachrichtigen lassen, sobald die entsprechende Software in Ihrer Umgebung auftaucht. Auch hierfür kann Kelvins Skript verwendet werden (siehe den Kommentar von Luke Whitlock für eine Modifikation, die auf AnyDesk überwacht).
Darüber hinaus können Sie auch die Windows-Ereignis-ID 7045 überwachen.
Hochstufung von Zugriffsprivilegien / Zugriff auf Zugangsdaten
Extrahieren von Anmeldeinformationen aus der lokalen Sicherheitsautorität (LSASS) von Windows: Es gibt zwar noch andere Möglichkeiten für Angreifer, Zugangsdaten abzugreifen, aber dies ist bei weitem eine der häufigsten.
- Wie man LSASS-Missbrauch erkennt: Eine gute Möglichkeit, zu überwachen (und diese Möglichkeit zu blockieren), ob jemand versucht Zugangsdaten über LSASS zu stehlen, ist die Nutzung von Microsofts Regeln zur Reduzierung der Angriffsfläche (ASR) (Windows 10 Version 1709 / Windows Server Version 1809 oder höher erforderlich). Nebenbei bemerkt: Andere ASR-Regeln eignen sich auch hervorragend zum Blockieren einer Vielzahl gängiger Versuche, bösartigen Code auszuführen und sich einen ersten Zugang zu verschaffen (Beispiele: Blockieren der Erstellung untergeordneter Prozesse durch Office-Programme; Verweigerung des Starts ausführbarer Programme durch JavaScript oder VBScript; etc.) Lesen Sie dazu diesen englischsprachigen Post von Palantir’s Security Team über assessment of ASR rule impact and recommended settings. Viele EDR-Tools bieten auch ähnliche Funktionen zum Blockieren und Auffinden zum Schutz der LSASS-Prozesse.
Umgehung von Abwehrmaßnahmen
Deaktivierung/Deinstallation von Antivirus und anderen Sicherheitstools: Warum sollten sich Angreifer die Mühe machen, Sicherheitstools an der Nase herum zu führen, wenn es Möglichkeiten gibt, diese schlicht zu deaktivieren?
- Wie man Manipulationen beim Antivirus-Schutz erkennen kann: Werfen Sie einen Blick auf dieses Skript von Kelvin Tegelaar oder, falls vorhanden, nutzen Sie die Vorteile Ihrer RMM-Software, um regelmäßig zu überprüfen, ob Ihre Sicherheitstools installiert und aktiviert sind.
Erkennung / Discovery
Nicht genehmigte Ausführung von Port-Scans und Werkzeugen zur Netzwerkerkennung (network discovery tools): Sobald ein Zugangspunkt geschaffen wurde, müssen sich die Angreifer sich orientieren und herausfinden, wo genau sie gelandet sind und welche Optionen bestehen, sich horizontal durch Ihre IT-Umgebung zu fortzubewegen. Oft werden in Windows integrierte Dienstprogramme wie nltest.exe, ipconfig, whoami sowie ADFind, etc. genutzt. Andere Angreifer verwenden Port-Scanning-Tools wie Advanced IP Scanner.
- Wie man verdächtige Port-Scanner und Erkundungstools identifiziert: Wie bei den Tools für den Fernzugriff können Sie versuchen, sofern Sie diese Werkzeuge nicht regelmäßig selbst einsetzen, entsprechende Überwachungen und Monitore einzusetzen. Nutzen Sie Automatisierungsregeln, um diese Werkzeuge aktiv zu blockieren und Ihre Systeme auf Ihren Einsatz hin zu überwachen.
Lateral Movement (Horizontalbewegungen)
Verdacht auf Einsatz von Cobalt Strike: Cobalt Strike ist eine „Software zur Simulation feindlicher Angriffe“, die leider bei Angreifern ebenso beliebt ist, wie bei Penetrationstestern, für welche die Software ursprünglich gedacht war. Es macht eine breite Palette von Post-Exploit-Taktiken sehr einfach und wird routinemäßig für Ransomware-Angriffe eingesetzt.
- Wie man Cobalt Strike erkennt: Viele EDR-Tools und Sicherheitsexperten konzentrieren sich auf das Erkennen von Cobalt Strike. Hier finden Sie eine großartige Sammlung von Ressourcen, die Ihnen dabei helfen werden, es ihnen gleich zu tun.
Nicht genehmigte Fernzugriffssoftware: Siehe den Abschnitt über den Fernzugriff unter „Persistence“ weiter oben.
Verdächtige Fernzugriffsverbindungen: Dies kann die Verwendung von RDP, SMB, VNC und mehr umfassen.
- Wie man verdächtige Fernzugriffsverbindungen erkennt: Sehen Sie sich diese Liste mit Überwachungsideen von MITRE an (z. B. Aufbau von Netzwerkverbindungen, Zugriff auf Netzwerkfreigaben usw.) und arbeiten Sie sich zu den entsprechenden Untertechniken vor, um Einzelheiten zum Missbrauch von RDP, SMB, VNC, SSH usw. zu erfahren.
Verdächtige Verwendung von PsExec: PsExec ist ein weiteres integriertes Microsoft-Tool, das häufig von Angreifern missbraucht wird. So können Sie als SYSTEM Befehle oder Skripte aus der Ferne ausführen.
- Wie man PsExec-Missbrauch erkennt: Unser Mann Kelvin hat auch dafür ein Skript. Hier finden Sie weitere Windows-Ereignis-IDs und Registry-Änderungen, auf die Sie achten sollten.
Datenexfiltration
Verdächtige ausgehende Verbindungen und Ausschläge im Datenverkehr: Um ihre Opfer besser erpressen zu können, verschlüsseln Angreifer immer häufiger nicht nur Daten, sondern exfiltrieren sie zuvor. Damit drohen sie zusätzlich damit, die Daten zu verkaufen oder sie für alle Welt zugänglich zu veröffentlichen.
- Wie man die Exfiltration von Daten erkennt: Zu den Indikatoren für eine potenzielle Datenexfiltration gehören große Ausschläge im ausgehenden Datenverkehr, unerwartete Verbindungen zu öffentlichen IP-Adressen, ungewöhnliche Verwendung von Ports, große Mengen an DNS-Anfragen, verdächtige Quelldateierweiterungen (.rar, .7z, .zip usw.) und vieles mehr. Netzwerküberwachung und Firewall-Regeln können hier eine wichtige Rolle bei der Verteidigung spielen. Weitere Ideen finden Sie im Abschnitt „Exfiltration“ von MITRE ATT&CK.
Missbrauch von Open-Source-Tools zur Dateiübertragung (integriert und/oder Open Source): Angreifer verwenden gerne ansonsten legitime Tools, um Ihre Aktionen zu tarnen. Für die Datenexfiltration bieten sich Microsoft BITS, curl.exe, Rclone, Mega (MegaSync und MegaCmd) und andere Werkzeuge an.
- Wie man verdächtige Aktivitäten in Bezug auf Dateiübertragungen erkennt: Angreifer könnten diese Programme umbenennen, aber manche machen sich diese Mühe einfach nicht. Somit ist das Blockieren und/oder die Überwachung und Alarmierung auf ihre Verwendung hin ein guter Ausgangspunkt für Ihre Defensivbemühungen. Für weitere Ideen zu fortgeschrittenen Abwehrmaßnahmen empfehlen wir: detecting Rclone, detecting Mega and Rclone, sowie MITRE ATT&CK ID T1197.
Ransomware Detection: Zusätzliche Sicherheitsebene – verwaltet und skalierbar
Die aktive Überwachung und Alarmierung in Bezug auf die beschriebenen Aktivitäten kann für Unternehmen ohne qualifizierte und geschulte Mitarbeiter eine Herausforderung darstellen. In vielen Fällen ist die Zusammenarbeit mit den richtigen externen Experten der ratsame, richtige Weg.
Falls Sie weitere Inspirationen für Automatisierungen erhalten möchten, die IT-Teams mit Hilfe der NinjaOne-Plattform implementieren können und nutzen können, lesen Sie unseren Artikel „Was sollten Sie mithilfe Ihres RMM überwachen? 28 Monitoring-Empfehlungen“
NinjaOne arbeitet auch mit Bitdefender zusammen und bietet eine integrierte Anti-Ransomware-Lösung als Teil seiner Unified-IT-Management-Plattform an. Durch die Kombination von Ninja + Bitdefender GravityZone + Ninja Data Protection unterstützt das Sicherheitspaket namens NinjaOne Protect IT-Experten und Unternehmen dabei, Ransomware-Angriffe zu verhindern, zu erkennen und erfolgreich darauf zu reagieren.
Registrieren Sie sich hier für eine kostenlose Testversion von NinjaOne Protect.