Ransomware
Active Directory im Fadenkreuz von Ransomware-as-a-Service-Gruppen
Semperis erläutert Schutz weitverbreiteter Schwachstellen
Die Besorgnis über den Ransomware-Angriff auf Colonial Pipeline durch DarkSide hat sich über die Cyber Security-Branche hinaus deutlich in das Bewusstsein der Öffentlichkeit ausgebreitet. Dies ist ein Indikator für die weitreichenden Auswirkungen des Angriffs auf Wirtschaft und Verbraucher. Als mittelbare Reaktion darauf hat die Biden-Administration eine Executive Order erlassen. Parallel dazu haben sich Experten darangemacht, die Server der DarkSide-Ransomware-Gruppe auszuschalten.
Bleibt jedoch für die Zukunft die Frage: Wie können sich Unternehmen vor einem Ransomware-as-a-Service (RaaS)-Angriff schützen, der dem jüngsten Angriff ähnelt, der Colonial Pipeline lahmgelegt hat?
Zunächst sollten Sicherheitsverantwortliche verstehen, wie RaaS-Angriffe typischerweise ausgeführt werden. In der Regel nutzen die Angreifer Windows-Schwachstellen für den ersten Zugriff aus.
Guido Grillenmeier, Chief Technologist bei Semperis erläutert, wie Angreifer in Active Directory eindringen. Demnach folgen RaaS-Gruppen in der Regel einem bestimmten Verhaltensmuster:
- Ein Angriff beginnt mit einer Erkundung („Reconnaissance“), bei der Penetration-Tools eingesetzt werden, um einen ersten Zugang zu den Systemen zu erhalten.
- Nachdem sie erfolgreich Fuß gefasst haben, verbringen die Angreifer meist Wochen damit, unbemerkt nach Schwachstellen zu suchen und sich Zugang zu privilegierten Benutzerkonten zu verschaffen.
- Wer Eindringling wird versuchen, die Auswirkungen zu maximieren, nachdem er die Systeme gesperrt und Lösegeld gefordert hat.
- Der Angreifer stiehlt nicht nur sensible Daten, sondern droht wahrscheinlich auch damit, die Daten zu veröffentlichen, wenn das Lösegeld nicht rechtzeitig gezahlt wird.
Vor allem die DarkSide-Ransomware-Gruppe weist einige Besonderheiten auf:
- DarkSide ist geschäftsorientiert. Die Gruppe behauptet nicht nur, „Prinzipien“ zu haben, wie z. B. keine Krankenhäuser oder Schulen anzugreifen, sondern greift nur Unternehmen an, von denen sie weiß, dass sie zahlen können und werden.
- Die Bande ist opportunistisch und schlägt dann zu, wenn die Unternehmen am ehesten zahlen werden. Sie ist geduldig und führt mehrere Wochen lang Erkundungen durch, um die „Kronjuwelen“ ausfindig zu machen.
- Schließlich weiß sie, dass die Einnahmen aus Ransomware vorhersehbar sind, denn es gibt keine Anzeichen dafür, dass Ransomware-as-a-Service nachlässt. Der Angriff auf Colonial Pipeline zeigt, dass Gruppen wie DarkSide die Jagd auf Infrastrukturanbieter und SCADA-Systeme eröffnet haben.
Auch wenn das eigene Unternehmen kein Infrastrukturbetreiber ist, gilt es das Folgende zu bedenken: Ransomware-as-a-Service-Angriffsgruppen bevorzugen Windows-Schwachstellen. Gängige Ratschläge wie „Halten Sie Ihre Windows-Systeme auf dem neuesten Stand“ sind bei dieser Art von Angriffen besonders wichtig. Es ist jedoch auch wichtig, proaktiv nach schwachen Konfigurationen in den Identitätssystemen (insbesondere Active Directory) zu suchen, die ein bevorzugtes Ziel für Angreifer darstellen.
Sicherheitsbewertungstools sind frei verfügbar
Um Unternehmen beim Schutz vor Ransomware-as-a-Service-Angriffen zu unterstützen, gibt es bereits leistungsfähige Tools, die nur wenig Vorwissen voraussetzen.
„Unlängst haben wir das kostenlose Sicherheitsbewertungstool Purple Knight veröffentlicht. Unternehmen können damit auf sichere Weise ihre Microsoft Active Directory-Umgebung überprüfen, um gefährliche Fehlkonfigurationen und andere Schwachstellen zu identifizieren. Angreifer könnten diese ausnutzen, um Daten zu stehlen und Malware-Kampagnen zu starten“, erklärt Guido Grillenmeier von Semperis. „Das von Microsoft-Identitätsexperten entwickelte und verwaltete Tool versetzt Unternehmen in die Lage, die Flut von eskalierenden Angriffen auf AD zu bekämpfen, indem es Indikatoren für die Gefährdung und Kompromittierung ihrer Umgebungen aufspürt und korrigierende Anleitungen zum Schließen von Lücken bereitstellt.“
Das Tool wird derzeit von einigen der größten Unternehmen mit den komplexesten Identitätsumgebungen der Welt eingesetzt. Zu Beginn meldeten die Anwender eine durchschnittliche Fehlerquote von 61 Prozent, was erklärt, warum AD ein leichtes Ziel für Ransomware-Banden ist. Die Software hilft Unternehmen, Bereiche zu identifizieren, in denen die Sicherheit ihres Identitätssystems Aufmerksamkeit benötigt, einschließlich Kerberos-Sicherheit, AD-Delegation, Kontosicherheit, AD-Infrastruktursicherheit und Gruppenrichtliniensicherheit.