Ransomware – ein Blick hinter die Kulissen

Angesichts der steigenden Zahl von Cyberangriffen müssen Unternehmen stetig ihre Sicherheitsmassnahmen anpassen und verbessern. Der Blick hinter die Kulissen von Ransomware-­Attacken liefert dazu wichtige Anhaltspunkte.

Für unser InfoGuard CSIRT (Computer Security Incident Response Team) vergeht kaum ein Tag, an dem nicht Ransomware-Fälle unterschiedlicher Grösse zur Untersuchung anstehen. Inzwischen werden viele dieser Fälle zwar publik – die Dunkelziffer ist jedoch um ein Vielfaches grösser. Die Daten, die unser CSIRT dabei sammelt, beeinflussen zukünftige Untersuchungen erheblich. Wir lernen dabei nicht nur technische Aspekte der Angreifer kennen, sondern auch organisatorische Zusammenhänge. Dies dient wiederum dazu, bei einem Angriff schneller und effektiver reagieren zu können.

Bei einem Sicherheitsvorfall ist unser oberstes Ziel, das Unternehmen schnellst möglich wieder handlungsfähig zu machen. Dabei priorisieren wir drei elementare Punkte:

Klassischerweise beginnt unser Auftrag mit einem Anruf. Entgegen vieler Erwartungen verläuft das Gespräch meist sehr ruhig ab; natürlich besonders, wenn erst ein Verdacht besteht. Gerade hier ist jedoch Eile geboten, da die Angreifer das Ziel – die Verschlüsselung – noch nicht erreicht haben. Sobald die Verschlüsselung stattgefunden hat, kommt es objektiv betrachtet auf eine halbe Stunde mehr oder weniger nicht an.

Ransomware-Angriffe erfolgen meist nach dem gleichen Schema. Initial wird ein Zugang zum Unternehmensnetz hergestellt, zum Beispiel durch Bruteforcing externer Zugangswege oder mittels gezieltem Phishing. Meist erfolgt dieser initiale Hack nicht einmal durch die Angreifer selbst, sondern durch sogenannte Access Broker. Diese haben sich darauf spezialisiert, den unauffälligeren und damit weniger riskanten Teil der Angriffskette durchzuführen. Sie kaufen und verkaufen lediglich die Zugänge. Damit sind sie aus Strafverfolgungssicht auch nur das sekundäre Ziel.

Im zweiten Schritt bauen die Angreifer ihre Präsenz im Netzwerk aus. Hier ist es entscheidend, die entsprechende Gruppe mit einer hohen Wahrscheinlichkeit zu identifizieren. Ein Indiz dafür ist beispielsweise, aus welchem Sprachraum die Angreifer stammen, was wir leicht nachvollziehen können. So unterscheiden sich nordkoreanische Gruppen in einigen Faktoren von russischen, was für uns eine wichtige Information für die technische Untersuchung darstellt. Auch Vorgehensweisen von Gruppen und deren Werkzeuge können wiedererkannt werden. Je besser wir eine Gruppe kennen, desto kleiner das Risiko, etwas zu übersehen.

Sobald die Angreifer einsatzbereit sind, werden sie versuchen, Daten zu stehlen. Oft entdecken wir bei Untersuchungen, dass sich Gruppen auf Daten mit Schlüsselwörtern wie beispielsweise «Finance», «HR» oder «Projects» fokussierten. Ab und zu übersehen Angreifer dadurch Daten, die wesentlich wertvoller wären, aber nicht in ihr Beuteschema passen – zum Glück des Opfers. Daraus schliessen wir, dass die Angriffsvorbereitungen sehr überschaubar sind. Bei einem Fall konnten wir auf einem Unternehmensserver gar nachweisen, dass die Angreifer den Browser öffneten und in einem Branchenportal nach der gehackten Firma suchten.

Sobald die passenden Zieldaten identifiziert wurden, werden diese auf verschiedene Cloud Storage-Dienste ausgeleitet. Auch daran lassen sich Angreifer unterscheiden, denn sie verwenden oftmals unterschiedliche Portale. Solche Strategien rasch zu identifizieren ist unerlässlich, um keine Zeit zu verlieren – jede Minute ist wertvoll. Häufig sehen wir leider auch die Folgen, wenn diese nicht berücksichtigt respektive erkannt wurden. In solchen Fällen wird unser CSIRT teils erst nach Wochen hinzugezogen, wenn der Fall nicht geklärt werden konnte und die Bereinigung nicht vollumfänglich möglich war.

Nachdem die Daten abgezogen wurden, beginnt die eigentliche Verschlüsselung. Auch hier gibt es noch Chancen, den Prozess zu unterbrechen, da die meisten Verschlüsselungsprogramme vom Angreifer manuell bzw. durch Scripts ausgelöst werden müssen. Wenn das Verschlüsselung jedoch vollumfänglich ausgelöst wurde – und das ist leider mehrheitlich der Fall –, ist der Schaden oft beträchtlich. An dieser Stelle muss vorsichtig agiert werden, um nicht aus Versehen oder aufgrund von Erfahrungsmangel den Schaden weiter zu vergrössern. Das bedeutet auch, von den technischen Komponenten über Value Chain-Aspekte bis hin zu rechtlichen Themen und der Kommunikation alles miteinzubeziehen. Das betroffene Unternehmen kann am besten unterstützt werden, wenn wir möglichst umfassend unsere Erfahrungen einbringen, zum Beispiel beim Verhandeln mit den Angreifern oder auch beim Verfassen von Pressemeldungen.

Sollte es zur Verschlüsselung der Daten gekommen sein, ist der direkte Kontakt mit den Angreifern wichtig. Wir werden auch ab und zu gefragt: Warum überhaupt Kontakt aufnehmen, wenn das Unternehmen von vornherein die Strategie «Bezahlen» ausschliesst? Tatsächlich gibt es auch dann einige gute Gründe, die sich am besten an Beispielen aufzeigen lassen.

Gehen wir davon aus, ein Unternehmen wurde Opfer eines Ransomware-Angriffs und die Angreifer konnten alle beschriebenen Stufen erfolgreich durchlaufen. In der Regel ist das Unternehmen nun mit einem Zeitlimit konfrontiert, sich für oder gegen die Zahlung der Lösegeldforderung zu entscheiden. Mit den Angreifern in Kontakt zu treten ist in beiden Fällen ratsam, da ansonsten jede Möglichkeit, mehr über den Angreifer und den Angriff zu erfahren sowie daraus zu lernen, verpasst würde. Die Reaktion des Angreifers auf ein «silent treatment» – sprich, bewusst keinen Kontakt aufnehmen und Kontaktversuche der Angreifer ignorieren – kann unterschiedlich ausfallen. Wir erlebten Situationen, wo die gestohlenen Daten im Darknet veröffentlich wurden. Es gab aber auch Fälle, wo Angreifer gezielt Partner und Kunden des Opfers über den Vorfall informierten, teils sogar per Telefon.

Tritt man mit den Angreifern in Kontakt, erfährt man nicht nur «explizit» einiges, sondern noch wesentlich mehr implizit. Zum einen werden sie natürlich die Höhe der Lösegeldforderung bekannt geben. Zudem anderen sind sie in der Regel jedoch auch bereit zu beweisen, dass sie die Entschlüsselung tatsächlich durchführen können und im Besitz der Daten sind. Hierzu kann beispielsweise eine kritische Datei für einen Entschlüsselungstest verlangt werden. Das ermöglicht zudem zeitnahen Zugriff auf eine wichtige Konfigurationsdatei – und das ganz ohne Bezahlung.

Durch den Kontakt mit den Angreifern kann somit einerseits Zeit gewonnen, andererseits aber teils auch über die Lösegeldforderung verhandelt werden. Der Spielraum dabei ist sehr unterschiedlich. Obwohl nur ein kleiner Teil der von uns betreuten Unternehmen bezahlt, signalisieren wir den Angreifern immer – natürlich nur vorgetäuscht – Zahlungsbereitschaft. Die Angreifer nehmen sich als Geschäftsleute wahr, was in gewissen Aspekten auch so sein mag. Wir sehen jedoch häufig, dass ihnen wirtschaftliche Grundsätze nicht geläufig sind. So bewegt sich die geforderte Summe meist zwischen 3 % und 5 % des erkennbaren Jahresumsatzes. Dabei wird nicht unterschieden, welche Marge in der jeweiligen Branche üblich ist.

Hinter Ransomware-Angriffen stecken professionelle Gruppen, die viele Unternehmen gleichzeitig unter Kontrolle haben. Desto auffälliger der Breach, zum Beispiel durch einen Systemausfall im Unternehmen, desto höher der Druck. Soweit sollte es jedoch gar nicht erst kommen. Bei den ersten Anzeichen gilt es, nicht lange zu zögern und Spezialisten beizuziehen. Denn einen kühlen Kopf bewahren kann nur, wer objektiv und erfahren an solche Fälle herantritt.