Auf den verschlungenen Spuren eines Ransomware-Angriffs
5. Mai 2020Noch vor wenigen Wochen haben einige Hackergruppen angesichts der kursierenden Corona-Pandemie ihre angekündigten Attacken auf IT-Infrastrukturen von Krankenhäusern, Pflegeheimen und sonstigen medizinische Einrichtungen ausgesetzt. Es wirkte so, als ob es eine Art von Ehrgefühl auch unter Hackern gebe. Dem scheint sich allerdings nicht jeder Cyber-Kriminelle verpflichtet zu fühlen.
Als hätte die Gesundheitsbranche im Moment nicht schon genug zu bewältigen, sind viele Hacker immer noch bereit, Gesundheitsorganisationen ins Visier zu nehmen und überhäufen beispielsweise Krankenhäuser mit Spear-Phishing- und Ransomware-Attacken. Selbst vor dem deutschen Gesundheitsminister, Jens Spahn, sollen die Angreifer nicht Halt gemacht haben. Kliniken in Tschechien, Frankreich und auch in Deutschland seien ebenfalls angegriffen worden.
Die dabei häufig genutzte Maze-Variante verschlüsselt nicht nur Daten, sondern exfiltriert sie auch, um sie für einen späteren Erpressungsversuch zu verwenden: Weigert sich das Opfer Lösegeld zu zahlen, sind die Daten nicht nur verloren, sondern die Kriminellen drohen damit, diese zu veröffentlichen.
Gesundheitswesen ist besonders betroffen
Die Gesundheitsbranche ist seit Jahren ein beliebtes Ziel, weil Kriminelle mehrere Möglichkeiten haben, den Angriff zu monetarisieren:
- Die Unterbrechung von IT-Diensten kann den Betrieb gefährlich verlangsamen. Kriminelle setzten darauf, dass die Opfer ein Lösegeld zahlen werden. Insbesondere in Notfällen, wenn der ohnehin schon stressige Normalbetrieb noch mehr unter Druck steht.
- Die Offenlegung geschützter (oder persönlicher) Gesundheitsinformationen und elektronischer Gesundheitsakten (eGA) kann für jeden Beteiligten verheerend sein. Kriminelle, die Daten aus der Organisation abgreifen, haben ein hohes Druckmittel, Lösegeld erfolgreich einzutreiben.
- Kritische Gesundheitsinformationen sind für Kriminelle äußerst lohnend und lassen sich einerseits für einen höheren Preis als etwa Kreditkartennummern veräußern. Andererseits können Kriminelle diese Identitätsdiebstähle für ihre eigenen Vorhaben nutzen.
- Die weltweite Reaktion auf das neuartige COVID-19 hat dazu geführt, dass Kriminelle verstärkt versuchen, in Netzwerke einzudringen. Alle Informationen über ein mögliches Heilmittel oder einen Impfstoff wären für private Käufer oder andere Regierungen von großem Interesse. Forschungslabors, Testeinrichtungen, Krankenhäuser und selbst die WHO sind prädestinierte Ziele, wie entsprechende Attacken bewiesen haben. Generell prognostiziert Cybersecurity Ventures, dass bis Ende 2021 alle 11 Sekunden ein Unternehmen Opfer eines Ransomware-Angriffs sein wird.
Wo also kann eine Organisation, die sich gegen einen Lösegeldangriff wehren will, ansetzen? Am besten, indem sie einen möglichen Angriff verstehen lernt, das heißt, ihn in seine einzelnen Phasen zergliedert. Derer sind es typischerweise drei:
- Lieferung: Bösartiger Inhalt zur Auslieferung der Ransomware erreicht das Unternehmen.
- Infektion: Der Ansteckungsherd wird freigesetzt und/oder über ein Endpunktgerät verbreitet.
- Genesung: Wiederherstellung der Daten in den Zustand vor dem Angriff.
Eine solche Aufschlüsselung erlaubt es, jede Phase eingehender zu untersuchen und mit der Entwicklung von Verteidigungsstrategien zur Abwehr eines Angriffs zu beginnen:
Phase I: Lieferung
Dies ist der Moment, in dem die Ransomware zum ersten Mal in das Netzwerk gelangt. Zu diesem Zeitpunkt gibt es verschiedene Überlegungen: Die Art der Ransomware-Software und die von ihr verwendeten Bedrohungsvektoren.
Ransomware ist eine spezifische Untergruppe sogenannter Advanced Threats, das heißt, es handelt sich um ein ausgeklügeltes Stück Malware, das häufig neu verpackt wird, um nicht entdeckt zu werden. Neue Malware-Varianten sind darauf ausgelegt, traditionelle Erkennungstechniken zu umgehen, und werden häufig durch gezielte Zero-Hour-Angriffe verbreitet. Zur Abwehr dieser intelligenteren Art von Malware hilft Advanced Threat Protection (ATP), idealerweise eine ATP-Lösung, die die den Verkehr über alle wichtigen Bedrohungsvektoren hinweg analysiert.
Als typische Bedrohungsvektoren, von denen jeder ein Angriffspunkt sein kann, gelten:
- E-Mail: E-Mail ist der Haupt-Bedrohungsvektor. Die überwiegende Mehrheit der Malware-Lieferungen wird über diesen Weg verteilt.
- Web: Drive-by-Downloads, Cross-Site-Scripting-Angriffe, Sicherheitslücken in sozialen Medien und infizierte Werbung können Malware an einen Endpunkt liefern.
- Netzwerk: Angreifer können automatisierte Tools einsetzen, um Netzwerke zu scannen und Lücken zu finden, die es ihnen ermöglichen, in das Netzwerk einzudringen. Wenn sie erst einmal im Netzwerk sind, können sie dort zusätzliche Malware verbreiten.
- Anwendungen: Zu den anfälligsten Vektoren zählen Webanwendungen wie Webmail, Online-Shops oder Online-Formulare.
Phase II: Infektion
Die zweite Phase beginnt, wenn der Ransomware-Prozess im Netzwerk ausgeführt wird. In den meisten Fällen dringt ein Angreifer mit einem Phishing-Angriff in das Netzwerk ein, bei dem er sich als Autoritätsperson ausgibt, um einen Mitarbeiter im Zielnetzwerk dazu zu bringen, unwissentlich einen infizierten E-Mail-Anhang mit der Malware zu öffnen.
Häufig gibt der Hacker vor, ein Mitarbeiter der Personal- oder Finanzabteilung oder einer externen, der Organisation bekannten Stelle zu sein, wie etwa ein Dienstleister oder Lieferant. Sobald der Mitarbeiter den E-Mail-Anhang öffnet, wird eine darin eingebettete Bedrohung ausgeführt, die die Malware im Netzwerk freigibt.
Phase III: Wiederherstellung
Wenn ein Ransomware-Angriff innerhalb des Netzwerks erfolgreich war, liegt der Focus in der Schadenbegrenzung, das heißt, Eindämmung und Wiederherstellung. Hierzu gehört, die Verbreitung der Malware stoppen, sie aus dem Netzwerk entfernen, das Netzwerk auf weitere Malware prüfen und den Endpunkt-Antivirus testen.
Sobald das Netzwerk gründlich gesäubert und resistent ist, sind Backups zur Wiederherstellung von Dateien einsetzbar. Um ab sofort effektiv zu sein, müssen das Netzwerk und der Endpunktschutz auf dem neuesten Stand sein und einwandfrei funktionieren, damit keine infizierten Dateien versehentlich wiederhergestellt werden, und die Malware zu neuem Leben erwachen kann.
Die in dieser Phase erforderlichen Maßnahmen sind je nach Organisation unterschiedlich. Zu den möglichen Schritten gehören die Prüfung von Datenprotokollen, die Befragung von Mitarbeitern, Vorher-Nachher-Vergleiche und die Bewertung vorhandener Disaster-Recovery-Lösungen. Wichtig ist, dass Management und IT zusammenarbeiten, um festzulegen, welche Maßnahmen in der Wiederherstellungsphase nach der Infektion sinnvoll sind.
Gesundheitseinrichtungen werden auch weiterhin ein beliebtes Angriffsziel von Cyber-Kriminellen bleiben, aber sie müssen nicht zwangsläufig Opfer sein. Die richtigen Systeme und Prozesse sowie eine robuste Backup- und Wiederherstellungslösung stellen sicher, dass selbst im schlimmsten Fall, berechtigte Hoffnungen auf baldige Genesung besteht.
Hatem Naguib ist SVP & Head of Security bei Barracuda Networks.