Ransomware: 84 Minuten bis zum Lateral Movement

Die letzten Wochen und Monate sind geprägt von negativen Presseberichten über Cyberangriffe, in vielen Fällen mit sogenannten «Ransomware»-Erpressungen. Dies möchte ich zum Anlass nehmen, die aktuelle Cyber-Bedrohungslage etwas genauer zu betrachten und speziell das Thema Ransomware unter die Lupe zu nehmen.


Zahlen sprechen für sich

Gemäss dem aktuellen Halbjahresbericht vom 11. Mai 2023 gingen beim Nationalen Zentrum für Cybersicherheit (NCSC) im Jahr 2022 insgesamt 747 Meldungen alleine zu Schadsoftware ein. Etwa die Hälfte aller Meldungen gehören der Kategorie Ransomware an. Meldungen in der Kategorie Hacking haben sich zur Vorhalbjahresperiode fast verdoppelt. Es kann angenommen werden, dass die Dunkelziffer nicht gemeldeter Fälle hoch ist.

Aktuelle Cyber-Bedrohungslage NCSC-Bericht

Nicht nur die Anzahl der Cyberangriffe häuft sich, die Cyberkriminellen werden auch immer professioneller in deren Ausführung. CrowdStrike, einer der führenden «Threat Intelligence & Endpoint Protection»-Anbieter, wertete die durchschnittlichen Zeiten zwischen der initialen Kompromittierung eines Systems bis zu einem «Lateral Movement» auf ein weiteres System innerhalb der Umgebung aus. Im 2022 Betrug diese Zeit 84 Minuten, im 2021 waren dies vergleichsweise noch 98 Minuten. Das Zeitfenster, um Angriffe abzuwehren, bevor diese einen grösseren Schaden anrichten, wird entsprechend immer kleiner.


Ransomware – die Taktiken der Angreifer

In der Vergangenheit haben sich die Angreifer darauf beschränkt, die kompromittierten Systeme zu verschlüsseln und gegen Bezahlung eines Lösegeldes den Entschlüsselungsschlüssel herauszugeben. Die Angreifer haben aber schnell verstanden, dass sie mit den Daten des Unternehmens ein weiteres Druckmittel in den Händen halten und haben damit begonnen, vor der Verschlüsselung die Daten zu exfiltrieren. Diese mehrstufige Erpressungstaktik nennt sich «Double Extortion». Weigert sich der Erpresste das Lösegeld zu bezahlen, werden die oft sensitiven Daten meist im Dark Web verkauft oder publiziert. In den jüngsten Fällen finden sich z.B. Kontoauszüge, Lohnlisten, Pässe von Mitarbeitetenden, Telefonlisten mit privaten Mobiltelefonnummern der Angestellten und viele weitere schützenswerte Daten.

Manchmal gehen die Angreifer noch einen Schritt weiter und erpressen Drittfirmen oder einzelne Personen, deren Daten sich in der ursprünglichen Exfiltration befanden.


Wie verschaffen sich die Angreifer Zugriff?

Die Angreifer bedienen sich verschiedenster Methoden, um einen initialen Zugriff auf ein System zu erlangen:

    • Viele Firmen machen es den Angreifern nach wie vor viel zu einfach, etwa durch ungenügend geschützte, von extern erreichbaren Diensten wie z.B. eines VPN-Portals oder gar mittels direkt erreichbarer Systeme via RDP, die nur mit Benutzernamen und Passwort gesichert sind. Mindestens für externe Zugriffe ist die Zwei-Faktor-Authentisierung absolut unerlässlich.
    • Durch die Ausnutzung von Software-Schwachstellen oder Fehlkonfigurationen können Systeme kompromittiert werden. Vulnerability- und Patch-Management-Prozesse sind oft unzureichend. Die Schwachstellen wären nicht selten seit Monaten bekannt und könnten problemlos behoben werden.
    • Ein «Klassiker» ist nach wie vor das Ausführen von Malware, die z.B. per E-Mail in Form eines Anhangs oder einer URL an den Benutzer gelangt ist. Neben der Förderung der Awareness bei den Mitarbeitenden hat sich in der Praxis die Kombination von mehrstufigen Sicherheitsmassnahmen bewährt.

Schlusswort

Schweizer Unternehmen sind vermehrt professionell organisierten Cyberangriffen ausgesetzt. Die angewandten Taktiken und Techniken der kriminellen Gruppierungen entwickeln sich stetig weiter, sie agieren schneller und effektiver als in der Vergangenheit. Neben einem guten präventiven Schutz ist es essenziell, Kompromittierungen innert kürzester Zeit (rund um die Uhr – 24/7) zu erkennen und Massnahmen zur Eindämmung umgehend einzuleiten. In den letzten Monaten sind zunehmend mittelständische Unternehmen in das Visier der Kriminellen gerückt, nicht ohne Grund. Sie stellen ein finanziell lukratives Ziel dar und sind im Gegensatz zu grösseren Unternehmen im Bereich Cyber Security oft schwächer aufgestellt. Es zeigt sich, dass die Sicherheitsmassnahmen von gestern für die aktuelle Bedrohungslage nicht mehr adäquat sind. Fehlen intern die Spezialisten für den Aufbau und die Sicherstellung der Cyber-Defense-Fähigkeiten, können diese als Managed Service von spezialisierten Anbietern wie AVANTEC bezogen werden.


Der Beitrag Ransomware: 84 Minuten bis zum Lateral Movement erschien zuerst auf Tec-Bite.