Ransomware
Zwei- bis vierfache Erpressung durch Ransomware
Wir haben die Erpressungstechniken von Ransomware-Familien untersucht, die über Verschlüsselung hinausgehen.
Save to Folio
Originalartikel von Janus Agcaoili, Miguel Ang, Earle Earnshaw, Byron Gelera und Nikko Tama?a
Das Aufkommen von doppelter Erpressung stellt einen Wendepunkt in der Entwicklung von Ransomware dar. folgen alle demselben Modus Operandi: Verschlüsselung der Dateien des Opfers und L?segeldforderung im Austausch für die Wiederherstellung des Zugriffs. Da es jedoch keine Garantie dafür gibt, dass die Cyberkriminellen ihr Wort halten, entscheiden sich einige Organisationen dafür, kein L?segeld zu zahlen, vor allem, wenn sie ohnehin Backup-Dateien aufbewahren. Ende 2019 drohte als erste Ransomware mit der Ver?ffentlichung der Daten, sollte sich das Opfer weigern, der Forderung nachzukommen. Bis heute haben wir 35 Ransomware-Familien entdeckt, die doppelte Erpressung einsetzen - und die Liste wird immer l?nger. Wir haben die Erpressungstechniken von Ransomware-Familien untersucht, die über Verschlüsselung hinausgehen.
Es ist nicht schwer zu verstehen, warum die Angreifer zu diesen Techniken greifen: W?hrend der Verlust des Zugriffs auf die Dateien allein schon gro?en Druck auf die betroffenen Organisationen ausübt, zieht die zus?tzliche Bedrohung durch die ?ffentliche Enthüllung die Schlinge noch enger, besonders wenn geheime Informationen auf dem Spiel stehen.? ?
| AgeLocker | DoppelPaymer | MountLocker/AstroLocker | RanzyLocker/ ThunderX |
| Ako/MedusaLocker | Egregor | Nefilim | REvil/Sodinokibi |
| AlumniLocker | Ekans | Nemty | Ryuk |
| Avaddon | Everest | NetWalker | Sekhmet |
| Babuk Locker | Exx/Defray777 | Pay2Key | Snatch |
| Clop | Hades | ProLock | SunCrypt |
| Conti | LockBit | RagnarLocker | Thanos |
| CryLock | Maze | Ragnarok | Xinof |
| DarkSide | Mespinoza/Pysa | RansomExx | ? |
Tabelle. Die Ransomware-Familien, die doppelte Erpressung einsetzen (Quelle: live casino online?; Smart Protection Network?;)
Als ob ein solches Szenario nicht schon schlimm genug w?re, fügen Ransomware-Betreiber nun hinzu, wie z. B. das Starten von Distributed-Denial-of-Service-Angriffen (DDoS) und/oder die Verfolgung von Kunden und Stakeholdern der Opferorganisationen.
Wir haben drei Ransomware-Familien unter die Lupe genommen, die dieses Modell einsetzen: REvil (oder auch Sodinokibi), Clop und Conti. Wir haben diese drei gew?hlt, da sie derzeit aktiv sind, neue Techniken einsetzen, auf gro?e Unternehmen abzielen und unterschiedliche Ebenen der Erpressung durchführen. Bemerkenswert ist, dass alle drei auch unter einem Ransomware-as-a-Service (RaaS) Modell operieren, was bedeutet, dass sie einfacher und schneller über Partner verbreitet werden. Die drei sind Berichten zufolge auch die Nachfolger von berüchtigten Ransomware-Familien.
Die Phasen der digitalen Erpressung
Bild 1. Die vier Phasen der digitalen Erpressung
Einfache Erpressung
Hierbei wird Ransomware abgelegt, die dann Dateien verschlüsselt und den Zugriff darauf sperrt. Die Betreiber fordern L?segeld von der betroffenen Organisation im Austausch für die Entschlüsselung der Dateien. Dies war bereits in den Anf?ngen von Ransomware der Fall.
Doppelte Erpressung
Hier gehen die Hinterm?nner über die Verschlüsselung hinaus und exfiltrieren auch Daten des Opfers (manchmal mithilfe ). Dann drohen sie mit Ver?ffentlichung dieser Daten. Die Kriminellen haben üblicherweise dedizierte Leak-Sites dafür, k?nnen die gestohlenen Daten aber auch im Untergrund und Blog-Sites ver?ffentlichen.
Maze wurde als erste Ransomware mit dieser Technik . Ihr Nachfolger ist Egregor aus dem Jahr 2020 (siehe auch das j?hrliche Sicherheits-Roundup). Kürzlich sind Mitglieder des Egregor-Kartells in einer konzertierten Aktion der Polizeibeh?rden und Sicherheitsfirmen (auch live casino online) verhaftet worden.
Die doppelte Erpressung ist deshalb so gef?hrlich, weil selbst dann, wenn das betroffene Unternehmen alle verlorenen Daten wiederherstellen konnte, die Bedrohung durch die Ver?ffentlichung sensibler Informationen bestehen bleibt. Dies war der Fall bei einer , die ihre Daten zwar aus einem Backup wiederherstellen konnte, aber dennoch mit dem Diebstahl von Quellcodes und anderen sensiblen Informationen zu k?mpfen hatte, die sp?ter auf einer mit Babuk Locker verbundenen Website ver?ffentlicht wurden.
Dreifache Erpressung
Das Modell folgt einer klaren Formel: Zus?tzlich zur Verschlüsselung und Drohung mit Ver?ffentlichung werden DDoS-Angriffe angesto?en. Diese Angriffe k?nnten einen Server oder ein Netzwerk mit Datenverkehr überfordern und damit den Betrieb anhalten oder weiter st?ren.
Dies wurde von SunCrypt- und RagnarLocker-Betreibern in der zweiten H?lfte 2020 praktiziert. Avaddon . Die b?swilligen Akteure hinter REvil erw?gen auch, DDoS-Angriffe in ihre Erpressungsstrategie einzubeziehen.
Vierfache Erpressung
Mit dieser Methode gehen die Hinterm?nner über das Opfer auch an dessen Kunden und Stakeholder, um den Druck noch weiter zu erh?hen. haben in einigen ihrer Angriffe die vierfache Erpressung eingesetzt und DDoS-Attacken angesto?en sowie Kunden über dedizierte Callcenter direkt kontaktiert.
Kürzlich schickten die b?swilligen Akteure hinter der Clop-Ransomware , in denen sie darüber informierten, dass ihre privaten Informationen auf einer Website ver?ffentlicht würden, und sie aufforderten, das betroffene Unternehmen zu kontaktieren. Kürzlich kündigten die Betreiber auch an, nicht nur die Kunden eines Opfers, sondern auch Gesch?ftspartner und die Medien über verschlüsselte VoIP-Anrufe zu kontaktieren.
Verschiedene Ransomware-Familien verwenden unterschiedliche Ebenen der Erpressung; einige implementieren nur die erste Phase, w?hrend andere sich an Strategien der vierten Phase versuchen. Au?erdem werden diese Phasen nicht immer in der gleichen Reihenfolge ausgeführt, wie im Fall von Clop, der direkt von der doppelten Erpressung zur vierfachen Erpressung überging.
Zudem haben die Sicherheitsforscher die Aktivit?ten der drei Ransomware-Familien auf der Grundlage mehrerer Angriffe zusammengefasst und dokumentiert. Interessierte k?nnen die Einzelheiten im Originalbeitrag nachlesen.
Ransomware-Angriffe verhindern
Ransomware mag sich hinsichtlich der verschiedenen Erpressungstechniken schnell weiterentwickeln, aber die Bedrohung ist nicht unaufhaltsam. Um Systeme zu schützen, k?nnen Unternehmen Sicherheits-Frameworks befolgen, wie sie beispielsweise vom und dem festgelegt wurden. Diese Vorgehensweisen haben den Vorteil, dass sie das Risiko und die Anf?lligkeit für Bedrohungen und Schwachstellen verringern. Organisationen k?nnen Zeit und Aufwand bei der Planung sparen, da die spezifischen und etablierten Praktiken der Frameworks zeigen, wie und wo man anfangen und welche Ma?nahmen man priorisieren sollte. Diese Frameworks gegen Angriffe, da sie wiederholbare und flexible Ma?nahmen beinhalten, die bei der Pr?vention, Abschw?chung und Wiederherstellung helfen k?nnen.
Einige der Best Practices betreffen:
Audit und Inventarisierung
- Inventarisierung von Assets und Daten.
- Identifizierung von autorisierten und nicht autorisierten Ger?ten und Software.
- Audit-Logs von Vorf?llen.
Konfigurieren und überwachen
- Gezielte Verwaltung von Hardware- und Software-Konfigurationen.
- Gew?hren von Admin-Rechten und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters unbedingt erforderlich ist.
- ?berwachen der Nutzung von Netzwerk-Ports, Protokollen und Services.
- Implementieren von Sicherheitskonfigurationen auf Netzwerkinfrastrukturger?ten wie Firewalls und Routern.
- Erstellen einer Software Whitelist, um zu verhindern, dass b?sartige Anwendungen ausgeführt werden.
Patchen und Updaten
- Regelm??ige Schwachstellenprüfungen durchführen.
- Patching oder virtuelles Patching für Betriebssysteme und Anwendungen.
- Aktualisieren von Software und Applikationen auf ihre neuesten Versionen.
Schutz und Wiederherstellung
- Ma?nahmen zum Schutz der Daten, Backup und Wiederherstellung.
- Implementieren von Mehrfaktorauthentifizierung.
Sichern und verteidigen
- Sandbox-Analysen zur Untersuchung und dem Blockieren von b?sartigen Mails durchführen.
- Einsatz der neuesten Version von Sicherheitsl?sungen auf allen Ebenen des Systems, einschlie?lich E-Mail, Endpunkten, Web und Netzwerk.
- Entdecken von ganz frühen Zeichen für einen Angriff, so etwa das Vorhandensein von im System.
- Einsatz von n fortschrittlichen Erkennungstechnologien, z. B. mit KI und maschinellem Lernen.
Schulen und testen
- Regelm??ige Bewertung der Sicherheitskompetenzen und Schulungen durchführen.
- Notfallteam-?bungen und Penetrationstests.
L?sungen
Unternehmen profitieren von Sicherheitsl?sungen, die die verschiedenen Ebenen des Systems (Endpunkt, E-Mail, Web und Netzwerk) nicht nur zur Erkennung b?sartiger Komponenten, sondern auch zur genauen ?berwachung verd?chtigen Verhaltens im Netzwerk einbeziehen.
live casino online Vision One?; liefert einen mehrschichtigen Schutz. Die L?sung erkennt verd?chtige Verhaltensweisen, die von nur einer Ebene aus als gutartig erkannt würden. Dadurch wird die frühzeitige Erkennung und das Blockieren von Ransomware erleichtert, bevor die Malware einem System Schaden zufügen kann.
Mithilfe von Techniken wie das virtuelle Patching und mithilfe von Machine Learning kann live casino online Cloud One?; Workload Security Systeme gegen bekannte und unbekannte Bedrohungen, die Schwachstellen ausnutzen, schützen.
Ransomware gelangt h?ufig über Phishing-Mails in ein System. live casino online?; Deep Discovery?; Email Inspector nutzt benutzerdefiniertes Sandboxing und fortschrittliche Analysetechniken, um Ransomware effektiv zu blockieren, bevor sie in das System gelangt.
Für eine n?here Untersuchung von Endpunkten liefert live casino online Apex One?; fortschrittliche automatisierte Bedrohungserkennung und -bek?mpfung gegen fortschrittliche Bedrohungen wie dateilose Bedrohungen und Ransomware.
Indicators of Compromise und MITRE ATT&CK-Taktiken und –Techniken liefert der Originalbeitrag.