Ransomware

Logpoint beschreibt 14 Schritte wie Ransomware-Gruppen vorgehen

, Logpoint

Logpoint beschreibt 14 Schritte wie Ransomware-Gruppen vorgehen

Von Alon Schwartz, Security Analyst bei Logpoint

Seit mehr als zehn Jahren sorgt Ransomware für Schlagzeilen, wann immer ein weiteres Unternehmen oder eine weitere Organisation ihr zum Opfer fällt.

Alon Schwartz, Security Analyst bei Logpoint

Die Professionalisierung der cyberkriminellen Gruppierungen hat zu einem regen Austausch auf Untergrundmärkten gesorgt, auf denen die verschiedensten Spezialisten ihre Dienstleistungen feilbieten und ihre RaaS-Software anbieten. Zusammen mit der Verbreitung und Verfügbarkeit von Krypt-Währungen wie Bitcoin und anderen digitalen Zahlungsmitteln, ist es für diese Akteure sehr einfach Geld zu verdienen und ihre Geschäftsmodelle weiterzuentwickeln.

Die Gruppen gehen sehr strukturiert vor, wenn sie einen Ransomware-Angriff starten. Dieser Prozess ist inzwischen so gut erforscht, dass er sich in verschiedenen Taktiken und Methoden sowie Phasen unterteilen lässt, was in diesem Beitrag beleuchtet wird. Die folgenden 14 Schritte wurden zusammengefasst, um einen Überblick darüber zu geben, wie Ransomware-Gruppen vorgehen.

1. Reconnaissance

Unter der Aufklärung ist das Sammeln von Informationen über ein oder mehrere Ziele gemeint, um ein besseres Verständnis zu erlangen. Sie ist eine kritische Phase in der ersten Phase eines Cyberangriffs und kann viele Formen annehmen, einschließlich passiver Ansätze wie die Analyse der Website eines Unternehmens oder von Firmen-Accounts in sozialen Medien sowie aktiver Techniken wie Port-Scanning oder Schwachstellen-Scanning. Der Zweck der Aufklärung besteht darin, genügend Wissen über ein Ziel zu sammeln, um einem Angreifer zu ermöglichen, Lücken für einen späteren Angriff zu finden.

2. Ressourcenentwicklung

Die Ressourcenentwicklung ist eine der Untertechniken in der Taktik des Erstzugriffs laut dem MITRE ATT&CK-Framework. Bei dieser Technik geht es um die Identifizierung und Beschaffung von Ressourcen wie anfälligen Systemen, Anmeldeinformationen und Zugangspunkten, die für eine weitere Kompromittierung des Zielnetzwerks genutzt werden können. Sie umfasst mehrere Methoden, darunter die passive Erkundung und das aktive Scannen des Zielnetzwerks, die Ausnutzung bekannter Schwachstellen in Software und Hardware sowie Social Engineering-Techniken wie Phishing und Pretexting. Indem sie sich Zugang zu wertvollen Ressourcen verschaffen, können die Angreifer ihre Position im Netzwerk ausbauen und sich ihren eigentlichen Zielen nähern.

3. Initial Access

Beim Erstzugang geht es darum, wie ein Angreifer in einem Zielnetz oder -system Fuß fassen kann. Dies kann durch das Ausnutzen von Schwachstellen, durch gestohlene oder erratene Anmeldeinformationen oder durch Social Engineering erreicht werden. Das Ziel des Erstzugriffs ist es, eine Präsenz im Zielnetzwerk oder -system aufzubauen, die als Ausgangspunkt für weitere Angriffe genutzt werden kann. Dies ist ein entscheidender Schritt, der es dem Angreifer ermöglicht, Fuß zu fassen und sich seitlich durch das Netzwerk zu bewegen.

4. Ausführung

Die Ausführung ist die Phase eines Angriffs, in der ein Angreifer die zur Erreichung seiner Ziele beabsichtigten Aktionen durchführt. Dies kann von der Ausführung von Malware über die Ausführung eines Befehls zum Datendiebstahl bis hin zum Diebstahl von Anmeldeinformationen oder der Deaktivierung von Sicherheitskontrollen reichen. Hierbei handelt es sich um eine der wichtigsten Phasen eines Angriffs, da hier die Ziele des Angreifers tatsächlich umgesetzt werden.

5. Persistence

Bei dieser Technik werden alle Aktivitäten berücksichtigt, die von Angreifern durchgeführt werden, um den Zugang zu den Opfersystemen aufrechtzuerhalten, z. B. die Beendigung ihres Beacon- oder Payload-Prozesses, das Hochfahren und Neustarten des Systems oder die Änderung der Anmeldedaten des Opfers. Nach dem ersten Zugriff versuchen die Angreifer stets, im Netzwerk des Opfers Fuß zu fassen.

6. Privilege Escalation

Nachdem sie sich Zugang zu einem System oder Netzwerk verschafft haben, versuchen Angreifer in der Regel, Zugang zu höher privilegierten Konten zu erhalten, um ihre Ziele zu erreichen. Diese Taktik deckt alle Aktionen ab, die von Angreifern durchgeführt werden, um höhere Privilegien zu erlangen.

7. Umgehung der Verteidigung

Bei dieser Taktik setzen die Angreifer verschiedene Techniken ein, um zu vermeiden, dass ihre Aktivitäten oder Tools während ihres Zugriffs entdeckt werden. Bislang sind 42 verschiedene Techniken bekannt, die eingesetzt werden, um die Verteidigung zu umgehen. Zu diesen Techniken gehören die Deaktivierung von Sicherheitsprodukten, das Löschen und Deaktivieren der Protokollierung, die Verschleierung der Payload oder die Verwendung von Systemdienstprogrammen für die Ausführung von Payloads.

8. Credential Access

Credential Access ist eine Taktik, die von Angreifern eingesetzt wird, um Anmeldedaten von einem System abzurufen. Dies kann durch verschiedene Techniken erreicht werden, z. B. durch das Dumping des Local Security Authority Subsystem Service (LSASS)-Prozesses, die Aktivierung von Authentifizierungsprotokollen wie WDigest, die Kennwörter im Klartext speichern, Brute-Force-Angriffe und Keylogging.

9. Entdeckung

Die Entdeckungstaktik wird von Angreifern eingesetzt, um Informationen über Systeme, Benutzer, Zeit, Standort, Hosts, Netzwerke, Systemsprache, Netzwerkfreigaben und mehr zu sammeln. Diese Taktik zielt darauf ab, so viele Informationen wie möglich über das Ziel, einschließlich der Infrastruktur und der Anlagen des Ziels, zu sammeln, um Schwachstellen und Schwachpunkte im Netzwerk zu identifizieren. Diese Informationen werden dann für die Planung und Durchführung fortgeschrittener Angriffe verwendet.

10. Lateral Movement

Nachdem sie sich Zugang zu einem Netzwerk verschafft haben, versuchen die Angreifer, sich lateral, also seitlich im Netzwerk zu bewegen. Durch den Wechsel zu anderen Hosts im Netzwerk können Bedrohungsakteure eine Präsenz aufbauen, auf sensible Informationen zugreifen und ihre Ziele erreichen. Angreifer versuchen, sich über verschiedene Systeme hinweg zu bewegen und ihre Privilegien auf unterschiedliche Weise zu erweitern, z. B. durch Diebstahl von Anmeldeinformationen, Pass-the-Hash-Angriffe und Ausnutzung von Schwachstellen.

11. Sammeln

Diese Taktik umfasst alle Techniken, die von Angreifern zum Sammeln von Daten aus Systemen und Netzwerken verwendet werden, um diese zu exfiltrieren.

12. Command & Control

Diese Taktik umfasst verschiedene Methoden, die von Angreifern eingesetzt werden, um die Kommunikation zwischen dem Opfersystem und anderen von Angreifern kontrollierten Systemen herzustellen. Insgesamt 16 Techniken werden im Rahmen dieser Taktik von verschiedenen Bedrohungsakteuren missbraucht.

13. Exfiltration

Unter Exfiltration versteht man den Prozess der Extraktion sensibler Daten aus einem kompromittierten System oder Netzwerk. Angreifer können eine Vielzahl von Methoden zur Exfiltration von Daten verwenden, z. B. das Kopieren von Dateien auf Wechselmedien, das Senden von Daten über ein Netzwerk oder die Nutzung von Cloud-Diensten. Sie können auch Verschlüsselungs- oder andere Methoden verwenden, um die Daten während der Exfiltration zu verbergen. Die Exfiltration kann als letzte Phase eines Angriffs erfolgen, nachdem ein Angreifer Zugang zu den gewünschten Daten erhalten und diese gesammelt hat, oder sie kann ein kontinuierlicher Prozess während der Kompromittierung sein. Das Ziel der Exfiltration ist es, dass der Angreifer sensible Daten erhält und sie aus der Zielumgebung entfernt.

14. Impact

Zu den Auswirkungen zählen Techniken, die Angreifer zu einem späteren Zeitpunkt einsetzen, um die Verfügbarkeit zu stören, die Integrität zu beeinträchtigen oder Geschäfts- und Betriebsprozesse zu manipulieren. Zu diesen Techniken gehören die Zerstörung oder Manipulation von Daten, die Änderung von Geschäftsprozessen oder die Nutzung als Deckmantel für eine Verletzung der Vertraulichkeit. Die Angreifer setzen diese Techniken ein, um ihre eigentlichen Ziele zu erreichen und dem Zielunternehmen teils erheblichen Schaden zuzufügen.

Fazit

Die Ransomware-Bedrohung stellt nach wie vor eine Herausforderung für IT-Sicherheitsabteilungen dar, da sich die von den Angreifern eingesetzten Taktiken und Techniken ständig weiterentwickeln und immer ausgefeilter werden. Durch die Nutzung des Wissens und der Erfahrung, die durch die Zuordnung von Ransomware-Taktiken und -Techniken mit dem MITRE ATT&CK®-Framework gewonnen wurden, können Unternehmen diese Angriffe jedoch besser verstehen und abwehren. Wenn IT-Sicherheitsabteilungen proaktive Maßnahmen wie regelmäßige Backups, Netzwerksegmentierung und Mitarbeiterschulungen ergreifen, können sie sich wappnen. Die Implementierung fortschrittlicher Lösungen zur Erkennung und zur Einleitung von Incident Response-Maßnahmen helfen Unternehmen dabei, Ransomware nicht zuletzt durch Threat Intelligence-Informationen schneller zu erkennen und darauf zu reagieren.