Laufende Ransomware-Angriffe erkennen und begrenzen

Trotz aller Bemühungen können Unternehmen sich nicht dauerhaft vor Ransomware schützen. Irgendwann werden die Angreifer in ihre Systeme eindringen. Das Ziel ist dann, Ransomware zu erkennen, bevor sie geschäftskritische Daten verschlüsselt und exfiltriert.

„Die Fachwelt hat klar erkannt, dass wir nicht jeden Angriff verhindern können“, sagt Dave Gruber, Analyst bei der Enterprise Strategy Group, einem Geschäftsbereich von TechTarget. „Der Angreifer wird unsere Systeme kompromittieren; er wird eindringen. Der Wettlauf besteht darin, Angreifer zu erkennen und zu stoppen, bevor etwas passiert.“

Wenn Ransomware in ein Netzwerk eindringt, kann sie schwerwiegende Schäden verursachen, die sich auf den Gewinn und das Image des Unternehmens auswirken. In schlimmsten Fall können die Folgen für das Unternehmen existenzbedrohend sein. Bis beim Unternehmen etwaige Lösegeldforderungen eingehen, ist der Schaden bereits angerichtet.

Prävention ist im Kampf gegen Ransomware entscheidend. Allie Mellen, Analystin bei Forrester, weist jedoch darauf hin, dass Erkennungs- und Reaktionsmaßnahmen eine zusätzliche Schutzebene darstellen, insbesondere wenn es darum geht zu verhindern, dass sich Ransomware seitlich in einer Umgebung bewegt.

Bei der Erkennung von Ransomware kommt eine Kombination aus Automatisierung und Malware-Analyse zum Einsatz, um bösartige Dateien in einem frühen Stadium der Kill Chain zu entdecken. Doch Schadsoftware ist nicht immer leicht zu erkennen. Angreifer verstecken Ransomware oft in legitimer Software wie PowerShell-Skripten, VBScript, Mimikatz und PsExec, um der Erkennung zu entgehen.

„Das eigentliche Ziel ist die Erkennung bösartiger Aktivitäten, nicht unbedingt die Erkennung von Malware. Der Erkennungs- und Analyseprozess besteht oft darin, eine Reihe von verdächtigen Aktivitäten zusammenzustellen, um festzustellen, ob tatsächlich etwas Böses passiert“, so Gruber.

Im Folgenden betrachten wir zunächst die Ransomware-Erkennungstechniken, die sich in drei Haupttypen unterteilen lassen: signaturbasierte, verhaltensbasierte und täuschungsbasierte Erkennung.

1. Signaturbasierte Erkennung

Bei der signaturbasierten Ransomware-Erkennung wird der Hash einer Ransomware-Probe mit bekannten Signaturen verglichen. Sie ermöglicht eine schnelle statische Analyse von Dateien in einer Umgebung. Sicherheitsplattformen und Antivirensoftware erfassen Daten innerhalb einer ausführbaren Datei, um die Wahrscheinlichkeit zu ermitteln, dass es sich um Ransomware und nicht um eine autorisierte ausführbare Datei handelt. Die meisten Antivirenprogramme führen diesen Schritt beim Scannen nach Malware durch.

Sicherheitsteams können auch das Windows PowerShell-Cmdlet Get-FileHash oder Open-Source-Informationstools wie VirusTotal verwenden, um den Hash einer Datei zu ermitteln. Mit aktuellen Hash-Algorithmen können Sicherheitsexperten den Hash einer Datei mit bekannten Malware-Mustern vergleichen. Sicherheitsteams können dann mithilfe von Antiviren- und Antimalware-Tools bestimmte Dateitypen auf eine Blockliste setzen. Dadurch wird verhindert, dass Benutzer versehentlich Malware per E-Mail oder über das Internet herunterladen.

Signaturbasierte Ransomware-Erkennungstechniken sind eine erste Verteidigungsstufe. Sie sind zwar hilfreich, wenn es darum geht, bekannte Bedrohungen aufzuspüren, aber signaturbasierte Methoden können neuere Malware nicht immer erkennen.

Angreifer aktualisieren ihre Malware-Dateien häufig, um nicht entdeckt zu werden. Durch das Hinzufügen eines einzigen Bytes zu einer Datei wird ein neuer Hash-Wert erzeugt, der die Erkennbarkeit der Malware verringert. Im Jahr 2022 entdeckte das Netzwerksicherheitsunternehmen SonicWall laut seinem „2023 Cyber Threat Report“ 465.501 nie zuvor gesehene Malware-Varianten.

Trotzdem ist die signaturbasierte Erkennung geeignet, um ältere Ransomware-Muster und bekannt gute Dateien zu identifizieren, so Mario de Boer, Managing Vice President bei Gartner. Sie bietet auch Schutz vor Ransomware-Kampagnen, die eher allgemein als gezielt eingesetzt werden, so de Boer.

2. Verhaltensbasierte Erkennung

Verhaltensbasierte Ransomware-Erkennungsmethoden vergleichen neue Verhaltensweisen mit historischen Daten, um Sicherheitsexperten und -tools bei der Suche nach Indikatoren für eine Kompromittierung zu unterstützen. Diese Methoden können beispielsweise erkennen, ob jemand von einem anderen Staat aus per Fernzugriff auf einen Unternehmensdesktop zugreift, obwohl sich der Mitarbeiter am selben Tag vom Büro aus angemeldet hat.

Die verhaltensbasierte Erkennung umfasst die folgenden Schritte:

Überwachung von Dateisystemänderungen. Sicherheitsteams sollten auf ungewöhnliche Dateiausführungen achten, zum Beispiel auf eine übermäßige Anzahl von Dateiumbenennungen. An einem normalen Arbeitstag kommen einige wenige vor, aber Hunderte innerhalb kurzer Zeit sind ein Warnsignal. Ransomware kann eine Zeit lang in Systemen verborgen bleiben, bevor sie ausgeführt wird. Daher sollten Sicherheitsteams auch auf die Erstellung einer Datei mit größerer Entropie als die Originaldatei sowie auf die Aufzählung und Verschlüsselung von Dateien achten.

Überprüfung auf ungewöhnlichen Datenverkehr. Sicherheitsteams sollten den Datenverkehr auf Anomalien untersuchen, zum Beispiel, ob eine Software eine Verbindung zu verdächtigen File-Sharing-Sites herstellt, und den Zeitpunkt solcher Aktionen. Die Teams sollten auch prüfen, ob das Verkehrsaufkommen in letzter Zeit zugenommen hat und wohin es geht. Ransomware benötigt Netzwerkverbindungen zu externen Servern, um Befehls- und Steuerungsanweisungen zu erhalten und Entschlüsselungsschlüssel auszutauschen. Beachten Sie, dass diese Erkennungsmethode zwar hilfreich ist, aber zu Fehlalarmen führen kann und viel Zeit für die Analyse erfordert. Angreifer können auch legitime Dateifreigabe-Websites nutzen, die von dem infizierten Unternehmen zugelassen sind, so dass sie unbemerkt bleiben können.

Prüfung von API-Aufrufen. Sicherheitsteams sollten API-Aufrufe untersuchen, um zu erfahren, welche Befehle Dateien ausführen und ob diese verdächtig sind. Spyware und Keylogger verwenden beispielsweise GetWindowDC, um Informationen aus einem ganzen Fenster zu erfassen, oder IsDebuggerPresent, um festzustellen, ob ein Debugger auf einem System aktiv ist. Ein weiterer Trick von Ransomware ist die Verwendung von GetTickCount, um auf die Millisekunde genau festzustellen, wie lange ein System eingeschaltet war. Eine kurze Zeitspanne könnte darauf hinweisen, dass sich die Ransomware in einer VM befindet und daher keine bösartigen Aktionen ausführt.

3. Täuschungsbasierte Erkennung

Bei den auf Täuschung (Deception) basierenden Ransomware-Erkennungstechniken werden die Angreifer ausgetrickst, während sie im System des Unternehmens nach Daten suchen, die sie verschlüsseln oder exfiltrieren können. Sicherheitsteams verwenden Täuschungstechniken, um böswillige Angreifer dazu zu bringen, mit gefälschten Ressourcen im Netzwerk zu interagieren. Legitime Benutzer werden diese gefälschten Ressourcen nicht berühren, so dass Sicherheitsteams einen zuverlässigen Hinweis auf verdächtige Aktivitäten erhalten. Sicherheitsteams können Köder wie Honeynets, Honeypots und Honey Tokens einsetzen und sie ignorieren, solange kein Alarm protokolliert wird. Im Folgenden werden einige Merkmale dieser Arten von Lockvögeln beschrieben:

• Honeynets sind Netze aus Honeypots und Honey Tokens.
• Honeypots sind absichtlich verwundbare, mit dem Netzwerk verbundene Systeme, wie zum Beispiel ein Computer, eine VM, eine Anwendung, ein Dateispeicher oder ein Server.
• Honey Tokens sind einzelne Dateien, E-Mail-Adressen oder Benutzerkonten, die Angreifer anlocken sollen.

Ein mehrschichtiger Ansatz gegen Ransomware

Der kombinierte Einsatz mehrerer Ransomware-Erkennungstechniken bietet Sicherheitsteams eine bessere Chance, einen Ransomware-Angriff zu erkennen und zu überwachen - und ihn zu isolieren, bevor er zu weit in ein System eindringt.

Unternehmen müssen mehr tun, als nur Antiviren-Software zu installieren und auszuführen. Neben einer Kombination von Ransomware-Erkennungstechniken sollten Sicherheitsteams auch auf Angriffe achten, die durch die Vordertür kommen. Insider-Bedrohungen wie die Wiederverwendung von Anmeldeinformationen und Social Engineering können Angreifern den Zugriff auf ein System ermöglichen.

Nutzen Sie Best Practices, um Mitarbeiter über die Ransomware-Risiken zu schulen, und vermitteln Sie Sicherheitsexperten das Mitre ATT&CK-Framework, das Informationen über Taktiken, Techniken und Verfahren von Angreifern enthält. Mit diesem Wissen können die Sicherheitsteams die Stärken und Schwächen des Unternehmens ermitteln und die Systemsicherheit entsprechend verbessern.