Ransomware

Mit Threat Intelligence gegen Ransomware - Cyberbedrohungen priorisieren

, München, ThreatQuotient | Autor: Herbert Wieler

Mit Threat Intelligence gegen Ransomware - Cyberbedrohungen priorisieren

Von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

Anfang Juli legte der Erfurter Halbleiter-Hersteller X-Fab seine Produktion für zwei Wochen still, der Grund war unter anderem eine Infektion mit der Ransomware Maze und einem Erpressungsversuch einer cyberkriminellen Gruppierung. Betroffen war sowohl die Office-IT als auch die Wafer-Produktion selbst. Inzwischen läuft der Betrieb wieder an allen Standorten. Den Angriff auf das Erfurter Unternehmen nimmt das Landeskriminalamt (LKA) in Thüringen zum Anlass, um auf einen Anstieg von Cyberkriminellen Aktivitäten hinzuweisen.

Die Maze-Ransomware ist ein alter Bekannter. Sie war bereits zu Beginn des Jahres 2019 unter dem Namen ChaCha Ransomware erkannt worden, wie die Security-Forscher von McAfee in ihrem Blog schreiben und wurde seither unter anderem bei dem Sicherheitsvorfall beim IT-Dienstleister Cognizant entdeckt. Die IOCs, die zur Erkennung verwendet werden sind laut dem Blogbeitrag die Hash-Werte:

SHA-256 dee863ffa251717b8e56a96e2f9f0b41b09897d3c7cb2e8159fcb0ac0783611b SHA-1 31c3f7b523e1e406d330958e28882227765c3c5e

Hinter der Ransomware steckt eine Gruppe von Cyberkriminellen, die nicht nur alle auffindbaren Daten verschlüsseln, sondern auch beim Erpressungsversuch damit drohen die Daten allesamt im Internet zu veröffentlichen, sollte keine Zahlung erfolgen. Die Gruppe betreibt dafür eine eigene Webseite, auf der alle verschlüsselten und kopierten Daten publik gemacht werden.

Wie das LKA bestätigt, werden Cyber-Angriffe immer komplexer. Man kann seit Jahren den Trend von „Script-Kiddies“ hin zu organisierten kriminellen Vereinigungen und staatlich unterstützen Angreifern verfolgen, welche über gewaltige Ressourcen, sowohl monetär als auch personell, verfügen.

Anbieter von Sicherheitslösungen sind ständig bestrebt, auf neue und immer ausgefeiltere Angriffsmethoden zu regieren und Detection und Response Lösungen mit neuen Signaturen oder Regeln zu versorgen. Threat Intelligence Feeds, also externe Informationen über Bedrohungen, können hierbei proaktiv unterstützen und interne Technologien zusätzlich und schnell mit Informationen über neue und akute Angriffe versorgen. Hierbei ist es wichtig, dass Datenquellen von verschiedenen Anbietern, sowohl kommerzielle als auch freie Quellen (OSINT), betrachtet werden. Um Security Teams nicht mit einer Informationsflut zu überlasten, sollten diese Daten von einer zentralen Plattform automatisch gesammelt, verwaltet, priorisiert und schnell in der eigenen Security-Infrastruktur und den eigenen Prozessen nutzbar gemacht werden können. In diesem Fall könnten die angegebenen Hash-Wert z.B. an SIEM oder Endpoint Protection Lösungen gesandt werden, um schnell das Vorhandensein der Maze-Ransomware im eigenen Netz festzustellen, bzw. zu blockieren.

Durch das proaktive Einspeisen von relevanten Bedrohungsinformationen können bestehende Security Lösungen intelligenter gemacht und auf die Erkennung von neuen und akuten Angriffen angepasst werden, um Sicherheitsvorfälle schneller zu erkennen bzw. zu verhindern.