Ransomware-Prävention

18. Dezember 2017

Die Rolle, die Sicherheit und Privatsphäre heute in der IT und im Privaten spielen, ist nach Meinung von Rubrik enorm. Effektive Sicherheitspraktiken sind nicht nur im Interesse der Öffentlichkeit, sondern ein Standard, der heute und zukünftig mehr denn je von den Benutzern erwartet wird. Ransomware hat in den letzten Jahren die Schlagzeilen dominiert, vor allem, wenn Unternehmen ins Visier gerieten. Allein 2017 hat es einige spektakuläre Angriffe gegeben (WannaCry, Bad Rabbit, NonPetya etc.), die allesamt auf Unternehmen abzielten, um deren Daten zu verschlüsseln und Lösegeld zu ergaunern. Einige Zahlen und Fakten zum jüngsten Erfolg von Ransomware:

  • 209 Millionen US-Dollar Umsatz im 1. Quartal 2016 und eine Milliarde US-Dollar im gesamten Jahr 2016
  • 56.000 Infektionen po Monat
  • 101 bekannte Ransomware-Familien
  • Bereitstellung über eine Reihe von Mechanismen aus Exploit-Kits, E-Mail und Website-Links

 Ransomware-as-a-Service

Was vielen nicht bewusst ist, ist das bestens funktionierende Ökosystem, in dem diese Ransomware-Familien gedeihen. Die Cerber-Ransomware-Familie beispielsweise machte dieses Jahr, bis „Wannacry“ kam, 70 Prozent aller Angriffe aus. Dies geht zurück auf die zunehmende Verfügbarkeit von „Ransomware-as-a-Service“ oder „RaaS“, wodurch Ransomware nun für ein breiteres Publikum jenseits von Cyberkriminellen zugänglich wird.nRaaS ist ein einfaches Franchise-ähnliches Bereitstellungsmodell. Anstatt ihren eigenen Schadcode zu schreiben, können sich Kriminelle nun bei ihrem bevorzugten RaaS-Portal anmelden, ihre Ransomware einfach konfigurieren und die Malware sofort an unwissende Opfer versenden lassen.

Ransomware gewinnt an Raffinesse

Frühe Formen von Ransomware waren nicht übermäßig anspruchsvoll. Die Cerber-Familie zeigte jedoch eine beispiellose Menge an Details und Raffinesse. Einige Eigenschaften von Cerber: Eine verschlüsselte JSON-Datei gibt dem Benutzer die Möglichkeit, Einstellungen zu ändern (z.B. bestimmte Dateitypen auszuwählen), bestimmte Sprachpakete oder IP-Bereiche zu meiden oder Umgebungsüberprüfungen durchzuführen (sucht nach Anti-Virus und virtuellen Maschinen).

Moderne Ransomware sucht nach fast allen Dateitypen, einschließlich VMware, Datenbanken, Java-Script und E-Mails. Sie erstellt mehrere Mutex-Dateien, nistet sich in Windows ein und verfügt über Fault- oder Watcher-Prozesse, so dass sie erneut erzeugt werden kann. Wenn Cerber feststellt, dass es gejagt wird, wird es beendet und vorerst nicht ausgeführt. Der UAC-Modus (User Account Control) wird vollständig umgangen.

  • Cerber kann verschlüsseln, ohne auf eine Internetverbindung angewiesen zu sein, denn es enthält die Schlüssel in der Nutzlast (RSA-2048).
  • Cerber sendet Statistiken über UDP (User Datagram Protocol) zum Angreifer. Im Wesentlichen wird es Statistiken von dem, was es in der Umgebung entdeckt, wenn möglich, hochladen.
  • Cerber verschlüsselt Daten mit einem hohen Grad an Entropie.

 

Die Rolle, die Sicherheit und Privatsphäre heute in der IT und im Privaten spielen, ist nach Meinung von Rubrik enorm. Effektive Sicherheitspraktiken sind nicht nur im Interesse der Öffentlichkeit, sondern ein Standard, der heute und zukünftig mehr denn je von den Benutzern erwartet wird. Ransomware hat in den letzten Jahren die Schlagzeilen dominiert, vor allem, wenn Unternehmen ins Visier gerieten. Allein 2017 hat es einige spektakuläre Angriffe gegeben (WannaCry, Bad Rabbit, NonPetya etc.), die allesamt auf Unternehmen abzielten, um deren Daten zu verschlüsseln und Lösegeld zu ergaunern. Einige Zahlen und Fakten zum jüngsten Erfolg von Ransomware:

  • 209 Millionen US-Dollar Umsatz im 1. Quartal 2016 und eine Milliarde US-Dollar im gesamten Jahr 2016
  • 56.000 Infektionen po Monat
  • 101 bekannte Ransomware-Familien
  • Bereitstellung über eine Reihe von Mechanismen aus Exploit-Kits, E-Mail und Website-Links

 Ransomware-as-a-Service

Was vielen nicht bewusst ist, ist das bestens funktionierende Ökosystem, in dem diese Ransomware-Familien gedeihen. Die Cerber-Ransomware-Familie beispielsweise machte dieses Jahr, bis „Wannacry“ kam, 70 Prozent aller Angriffe aus. Dies geht zurück auf die zunehmende Verfügbarkeit von „Ransomware-as-a-Service“ oder „RaaS“, wodurch Ransomware nun für ein breiteres Publikum jenseits von Cyberkriminellen zugänglich wird.nRaaS ist ein einfaches Franchise-ähnliches Bereitstellungsmodell. Anstatt ihren eigenen Schadcode zu schreiben, können sich Kriminelle nun bei ihrem bevorzugten RaaS-Portal anmelden, ihre Ransomware einfach konfigurieren und die Malware sofort an unwissende Opfer versenden lassen.

Ransomware gewinnt an Raffinesse

Frühe Formen von Ransomware waren nicht übermäßig anspruchsvoll. Die Cerber-Familie zeigte jedoch eine beispiellose Menge an Details und Raffinesse. Einige Eigenschaften von Cerber: Eine verschlüsselte JSON-Datei gibt dem Benutzer die Möglichkeit, Einstellungen zu ändern (z.B. bestimmte Dateitypen auszuwählen), bestimmte Sprachpakete oder IP-Bereiche zu meiden oder Umgebungsüberprüfungen durchzuführen (sucht nach Anti-Virus und virtuellen Maschinen).

Moderne Ransomware sucht nach fast allen Dateitypen, einschließlich VMware, Datenbanken, Java-Script und E-Mails. Sie erstellt mehrere Mutex-Dateien, nistet sich in Windows ein und verfügt über Fault- oder Watcher-Prozesse, so dass sie erneut erzeugt werden kann. Wenn Cerber feststellt, dass es gejagt wird, wird es beendet und vorerst nicht ausgeführt. Der UAC-Modus (User Account Control) wird vollständig umgangen.

  • Cerber kann verschlüsseln, ohne auf eine Internetverbindung angewiesen zu sein, denn es enthält die Schlüssel in der Nutzlast (RSA-2048).
  • Cerber sendet Statistiken über UDP (User Datagram Protocol) zum Angreifer. Im Wesentlichen wird es Statistiken von dem, was es in der Umgebung entdeckt, wenn möglich, hochladen.
  • Cerber verschlüsselt Daten mit einem hohen Grad an Entropie.

Lesen Sie auch