Ransomware: Typische Angriffswege und Schutzmaßnahmen

Die Bedrohung Ransomware tritt nahezu überall auf, auch in sehr sensiblen Bereichen. Die Palette der ins Visier genommenen Ziele reicht heute von Krankenhäusern bis zu Energieversorgern über Unternehmen mit Produktionsumgebungen. Jede Unternehmensgröße und Branche sind von dieser Bedrohung betroffen.

Aber wie konnte eine Ransomware auf die Systeme der Opfer gelangt konnte? Oder wie könnte sie gar Ihre eigenen Systeme infizieren? Der Schlüssel zum Schutz vor erpresserischer Malware ist, sich darüber klar zu werden, wie sie sich einschleichen kann. Nur wenn Sie die wichtigsten Angriffswege kennen, über die Ransomware in Ihre IT-Infrastruktur eindringt, wissen Sie auch, welche Maßnahmen und Schritte Sie zu ihrer Abwehr ergreifen können.

Die am häufigsten registrierten Wege, über die Ransomware fremde Systeme erreicht, sind Social Engineering und Phishing, das Remote Desktop Protocol (RDP) sowie der Missbrauch geklauter Zugangsdaten und nicht rechtzeitig gepatchte Schwachstellen. Grund genug, diese Vektoren und geeignete Gegenmaßnahmen im Detail zu betrachten.

1. Social Engineering und Phishing

Phishing, die wohl bekannteste Form des Social Engineering, ist und bleibt der Angriffsweg Nummer Eins für alle Arten von Malware und damit auch für Ransomware. Der Grund dafür ist, dass die Methode nach wie vor einfach gut und erfolgreich funktioniert. Cyberkriminelle konzentrieren sich zudem auf Angriffe per E-Mail, da diese direkt in die Mailboxen der Mitarbeiter eines Unternehmens gelangen. Meist werden E-Mails auf einem Arbeitsplatzrechner und innerhalb des Firmennetzes aufgerufen. Das bedeutet für den Angreifer, dass seine verseuchten Nachrichten, wenn sie geöffnet werden, bereits ein für ihn wertvolles Ziel erreicht haben.

Phishing-Nachrichten können auf vielerlei Arten getarnt und an aktuelle Geschehnisse angepasst werden. Breit gestreute Attacken orientieren sie sich an Themen, für die sich derzeit viele Empfänger interessieren. So versprechen etwa E-Mails, die eine Steuerrückzahlung ankündigen, einen besonders großen Erfolg zu haben, wenn der Empfänger vorher seine Steuererklärung abgegeben hat. Anwender in Unternehmen werden aber meist viel gezielter angegangen, mit sehr persönlich gestalteten Nachrichten, die auf Anhieb nicht als Angriff zu erkennen sind – Stichwort Spear Phishing.

Nachdem eine manipulierte E-Mail aber erst einmal den Empfänger erreicht hat, ist nur noch ein kleiner Klick auf das beiliegende Attachment oder einen enthaltenen Link nötig, um einen Dropper auf dem PC des Ziels einzuschleusen. Dieser spezielle Schadcode lädt danach die eigentliche Ransomware herunter und richtet sie heimlich auf dem Computer ein.

Andere Social Engineering-Methoden, mit denen Benutzer zum Herunterladen von Malware verleitet werden, sind Smishing (Text- oder SMS-Phishing), Vishing (Voice-Phishing über das Telefon) und Spear Phishing (gezielte Phishing-Angriffe).

Wie man sich vor Phishing und Social Engineering schützt

Die Security Awareness – also das Sicherheitsbewusstsein – wird mancherorts immer noch nicht genügend ernst genommen. Eine sorgfältig geschulte und auf Sicherheitsgefahren vorbereitete Belegschaft zählt aber zu den effektivsten Schutzmaßnahmen (siehe auch Kostenloser E-Guide: Eine menschliche Firewall bilden). Anstatt die Mitarbeiter wegen eines fehlgeleiteten Klicks an den Pranger zu stellen, sollte vorbildliches Verhalten mit positivem Feedback gefördert werden. So könnten Sie zum Beispiel etwas wie den „Fang des Monats“ ausschreiben und denjenigen Mitarbeiter belohnen, der den interessantesten Phishing-Versuch bemerkt und gemeldet hat.

Technologie ist ebenfalls ein guter Schutz gegen Phishing-Attacken. Systeme zum Filtern der eingehenden E-Mails reduzieren zudem die Last auf den Mail-Servern. Das gilt besonders für Cloud-basierte Lösungen, bei denen die Spam- und Phishing-Erkennung zu einem externen Provider ausgelagert wird. Außerdem lässt sich damit die Flut eintreffender Nachrichten in den Mailboxen der Mitarbeiter verringern, indem leicht zu erkennende Phishing-Versuche bereits entfernt werden, bevor sie Ihr Unternehmen überhaupt erreichen. Weiteren Schutz versprechen Systeme zur Endpoint Detection and Response (EDR). Das gilt besonders dann, wenn sie in der Lage sind, ungewöhnliches Verhalten auf den Clients der Anwender zu identifizieren und zu stoppen. Sie sind damit eine letzte Verteidigungslinie, um Ransomware-Infektionen auch dann noch zu verhindern, wenn sie sowohl an den E-Mail-Filtern als auch den Anwendern vorbeigekommen sind.

2. RDP und der Missbrauch von Zugangsdaten

Das von Microsoft entwickelte RDP-Protokoll (Remote Desktop Protocol) ist für moderne Unternehmen von besonders großer Bedeutung, da es Administratoren ermöglicht, die von ihnen verwalteten Desktops und Server von nahezu überall aus zu erreichen. Wenn es aber nicht ausreichend gut geschützt wird, erlaubt es Cyberangreifern genau dies ebenfalls zu tun.

Hacker benötigen in der Regel gültige Zugangsdaten, um RDP für ihre Zwecke zu missbrauchen. Um in den Besitz solcher Daten zu gelangen, verwenden Ransomware-Banden eine Vielzahl von Techniken und Tricks. Sie reichen von Brute-Force-Angriffen bis zum Kauf geklauter Benutzernamen und Passwörter im Darknet.

Schutz vor RDP-Attacken und dem Missbrauch von Zugangsdaten

• Führen Sie moderne Multifaktor-Authentifizierungen ein und setzen sie ihre Nutzung für alle Fernzugriffe durch. Selbst mit gültigen Zugangsdaten kann ein Angreifer dann nicht mehr auf Ihre Systeme zugreifen, ohne dazu auch über den zusätzlichen Faktor zu verfügen, sei es ein Einmal-Code (OTP, Einmalpasswort), ein Dongle oder eine auf das Smartphone geschickte SMS.
• Sichern Sie Ihre Fernzugriffe zusätzlich mit Virtuellen Privaten Netzen (VPNs) ab. Administratorzugriffe aus der Ferne sollten im Idealfall nur über spezielle Geräte wie dedizierte Jump-Server oder sogenannte Privileged Access Workstations erfolgen dürfen. Das bedeutet, dass ein Angreifer erst diese Systeme erfolgreich infiltrieren muss, bevor er sich aus der Ferne mit dem RDP-Server verbinden kann.
• Denken Sie zudem darüber nach, die für RDP benötigten Ports geschlossen zu halten und nur jeweils kurz für verifizierte Nutzeranfragen zu öffnen. Auf diese Weise sind Ihre Systeme nicht mehr rund um die Uhr von außerhalb erreichbar. Ihre Admins können aber trotzdem ihre eigentlichen Aufgaben erfüllen.

3. Ausnutzbare Schwachstellen

Der letzte Angriffsvektor in dieser Aufstellung, den Ransomware häufig nutzt, befindet sich in der Kategorie „andere“. Damit sind nicht gepatchte Systeme wie Webseiten und VPN-Server gemeint. Jedes Gerät, das mit dem Internet verbunden und nicht auf dem aktuellen Stand ist, kann für eine solche Attacke missbraucht werden. Vergessen Sie auch nicht, dass viele Webseiten aufgrund der immer komplexer gewordenen Systeme und Softwarelieferketten (Supply Chains) zahlreiche Plug-ins und Bibliotheken eingebunden haben. Dazu kommt, dass viele Low-Code- oder No-Code-Workflows sich mit verschiedenen Diensten und Funktionen verbinden. Eine Schwachstelle in einer dieser Komponenten könnte von einer Ransomware ebenfalls für eine Attacke ausgenutzt werden.

So lassen sich die Risiken durch Sicherheitslücken reduzieren

Wenn Sie Ihr Patch-Management-Programm noch nicht auf den aktuellen Stand gebracht haben, dann tun Sie es jetzt:

• Erstens sollten Sie sicherstellen, dass alle Systeme, die Ihr Unternehmen nutzt, auf dem aktuellen Patch-Level sind. Das gilt besonders für diejenigen Anwendungen und Server, die Verbindungen nach außen erlauben.
• Für Software und Workflows sollten Sie zusätzlich ein Application Lifecycle Program (ALM) einrichten, das alle im Unternehmen eingesetzten Applikationen und Dienste auflistet und überwacht.
• Darüber hinaus sollten Sie eine Liste erstellen, die alle Komponenten der von Ihnen verwendeten Anwendungen enthält. (Software Bill of Materials, SBOM) Solche Aufzeichnungen werden immer wichtiger, da sie der IT-Abteilung eine größere Einsicht darüber gewähren, was wirklich eingesetzt wird.

Unternehmen, die diese Punkte erfüllen, sind weit besser vorbereitet als andere Firmen, sobald sich wieder einmal eine Zero-Day-Schwachstelle rasend schnell im Internet verbreitet und für eine Flut an neuen Ransomware-Infektionen sorgt.