Ransomware Kill Chain
Teil 1: Warum Ransomware kein typischer Cyberangriff ist
IT Knowlege Base
Im Allgemeinen ist es so, dass die meisten Cyberangriffe im Verborgenen ablaufen. Die bei diesen Angriffsformen eingesetzte Schadsoftware wird dabei unauffällig in das Zielsystem eingeschleust. Im Normalfall bleibt auch der Datenklau unentdeckt. Dies gilt vor allem dann, wenn die Systeme unzureichend geschützt sind. Ganz anders sieht es jedoch bei Ransomware aus:
Der wesentliche Unterschied zwischen einem gewöhnlichen Cyberangriff, der auf Schadsoftware basiert und einem Angriff durch Ransomware ist der, dass Ransomware mit dem Benutzer des betroffenen Systems direkt in Kontakt tritt. Diese Vorgehensweise von Cyberkriminellen erscheint auch nachvollziehbar, wenn man bedenkt, dass der Täter die Kontrolle über das Zielsystem zu diesem Zeitpunkt bereits übernommen hat und dem Opfer den Zugriff auf die erbeuteten Daten nur durch die Zahlung eines Lösegelds anbietet.
Daneben laufen Ransomware-Attacken automatisiert ab. Wird der Prozess durch den Cyberkriminellen einmal in Gang gebracht, sind keine weiteren Befehle mehr notwendig, um das Zielsystem zu kompromittieren. Zu beobachten ist dabei, dass zunehmend Unternehmen in den Fokus von Ransomware-Angriffen geraten. Und obwohl diese Form der Cyberattacke nicht neu ist, zeigen die Ereignisse in jüngster Vergangenheit, dass eine Vielzahl an Unternehmen einem Angriff durch Ransomware nicht standhalten können. Häufig stehen die Sicherheitsbeauftragten in Unternehmen vor der Herausforderung, den Angriff frühzeitig zu erkennen.
Aus diesem Grund ist es durchaus sinnvoll, sich einmal intensiv mit Ransomware als nicht ganz typische Angriffsform auseinanderzusetzen, um so ein besseres Verständnis zu bekommen und entsprechende Maßnahmen abzuleiten.
Die Ransomware Kill Chain
Durchforstet man das Internet nach Informationen zum Thema Ransomware, stößt man nach intensiver Recherche auf Beiträge, die sich inhaltlich stetig wiederholen und zu wenig neuen Erkenntnissen führen.
Die Grundstruktur eines Ransomware-Angriffs
1. Auswahl eines geeigneten Köders
Wie in der Vergangenheit häufig zu beobachten war, sind Phishing-Mails als Köder zum Einsatz gelangt. Diese waren zumeist mit infizierten Dateianhängen oder Verlinkungen zu schadhaften Webseiten versehen.
Im Posteingang angekommen, war der Empfänger lediglich noch einen Klick von der Infektion entfernt. Neben der Öffnung eines schadhaften Dateianhangs, wie z.B. einer infizierten PDF-, DOC- oder XLS-Datei, ist ebenfalls ein Drive-by-Download denkbar.
2. Die Installation der Schadsoftware auf dem Zielsystem
Grundsätzlich bleibt zu erwähnen, dass dem Cyberkriminellen eine ganze Reihe potentieller Opfer gegenübersteht. Durch die Öffnung der schädlichen Datei, hat der Täter auch diese Hürde bewältigt. Die Installation auf dem jeweiligen System erfolgt. Dabei bleibt zu erwähnen, dass die Installation unabhängig von der Aktivierung der Ransomware ablaufen kann. Die Ransomware-Attacke kann somit frühzeitig vorbereitet, aber beispielsweise erst zu einem späteren Zeitpunkt tatsächlich gestartet werden. Gemeint ist ein Zeitraum von wenigen Wochen bis zu mehreren Monaten.
3. Abruf des Verschlüsslungscodes
Nach Abschluss der Installation der Schadsoftware erfolgt der Abruf eines Schlüssels zur Verschlüsselung der Daten. Das bedeutet, dass der Schlüssel auf einem Server vorgehalten wird und für das Opfer nach Zahlung eines Lösegelds letztlich die einzige Möglichkeit darstellt, um den Zugriff auf die eigenen Dateien wiederzuerlangen. Eine Garantie hierfür gibt es allerdings nicht.
4. Durchführung des Verschlüsselungsvorgang
Im nächsten Schritt geht die Ransomware zu ihrer Kernaufgabe über. Der Prozess der Verschlüsselung beginnt. Dabei können einzelne Dateien auf einem System oder sogar mehrere Systeme innerhalb eines Unternehmensnetzwerkes verschlüsselt werden. Durch diesen Vorgang wird dem Benutzer der Zugriff zu seinen Daten verwehrt. Er wird aus seinem eigenen System ausgesperrt. Das System ist für ihn ab diesem Zeitpunkt unbrauchbar.
5. Lösegeldforderung
Nun erscheint eine entsprechende Benachrichtigung auf dem Bildschirm des Betroffenen. Hierzu wird einfach der Desktophintergrund durch Abbildung mit Zahlungsaufforderung sowie weiterführenden Anweisungen ausgetauscht. Sobald dieser Vorgang abgeschlossen ist, müssen die Angreifer nur noch darauf warten, dass das jeweilige Opfer die Lösegeldzahlung vornimmt.
Die Kopplung der Lösegeldforderung an eine Deadline ist ein probates Mittel der Cyberkriminellen, um den Druck auf die Betroffenen zu erhöhen. Dabei erfolgt die Zahlung häufig über Bitcoins. Hierbei handelt es sich um eine Online-Währung, die zunehmend aufgrund der mangelnden Transparenz in die Kritik gerät. Denn die Funktionsweise von Bitcoins sowie ähnlicher Kryptowährungen trägt letztlich dazu bei, dass die Empfänger des Geldes nur selten ausfindig gemacht werden können. Sollten die Inhaber der Systeme bis zum Zeitpunkt der Deadline keine Zahlung getätigt haben, erhöht sich entweder die Lösegeldforderung oder es wird mit dem Löschvorgang von Dateien begonnen.
Nicht selten sind die Opfer auf ihre Daten angewiesen. Dies gilt insbesondere für Unternehmen, die täglich auf Kundendaten (Adressdaten, Rechnungen, Projektdaten, etc.) zurückgreifen müssen. Häufig richten gerade Ransomware-Attacken immense Schäden an und führen manch ein Unternehmen sogar in die Insolvenz. Auch wenn Experten und Ermittlungsbehörden von einer Zahlung abraten, so ist die Entscheidung hin zur Lösegeldzahlung bei der Mehrzahl der Unternehmen menschlich durchaus nachvollziehbar. Sie befinden sich nach einem Ransomware-Angriff in einer Notsituation.
Diesen Umstand wissen die Cyberkriminellen natürlich für sich auszunutzen. Sie warten nur darauf, dass das Lösegeld von den Betroffenen gezahlt wird, um im Anschluss den Opfern einen Link zum Schlüssel selbst oder zu einem Entschlüsselungsprogramm zu Verfügung zu stellen. Dies geschieht allerdings auf freiwilliger Basis, d.h. ohne Garantie.
