- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Ransomware: Es kommt schlimmer


Ransomware am Endpoint vorausschauend erkennen
Wenn Prognosen wahr werden



Von Scott Scheferman, Cylance

Seit ich im Jahr 2014 meine erste Keynote zu diesem Thema gehalten habe beschäftige ich mich mit Ransomware-Prognosen. Seinerzeit wagte ich etwa ein Dutzend Vorhersagen und tatsächlich sind alle eingetroffen. Vor kurzem wurde ich gebeten einen Beitrag für das ITSP Magazine beizusteuern. Und dieses Mal sollten die Prognosen nicht nur spezifischer sein, sondern die Sache auf die Spitze treiben. Sprich, welche Prognosen kommen dabei heraus, wenn man die aktuellen Szenarien bis zu Ende denkt. Soviel lässt sich sagen, alle sind einigermaßen beängstigend. Soeben hat eine Analyse von @David Formby eine der schlimmsten Befürchtungen bestätigt: Kritische Infrastrukturen geraten zunehmend ins Visier von Ransomware-Attacken (Targeting Critical Infrastructure for Ransom).

Im letzten Frühjahr litten vornehmlich Krankenhäuser unter der sogenannten SamSam-Ransomware, und im Rahmen unserer Incident Containment-Methode haben wir drei Dinge übereinstimmend festgestellt:

a. Cyberkriminelle sind wahllos was die potenziellen Opfer anbelangt und kümmern sich nicht darum, dass sie Menschenleben gefährden,
b. Cyberkriminelle haben realisiert, dass sie mehr Lösegeld herausschlagen, wenn es um Menschenleben oder die öffentliche Sicherheit geht und genau deshalb konzentrieren sie sich
c. auf Kampagnen, die mit genau diesen Ängsten erfolgreich pokern.

Auf dieser Basis meine Prognose: Kritische Infrastrukturen werden mit ziemlicher Sicherheit die nächsten Ziele von Ransomware-Angriffen sein. Und zwar gleich aus mehreren Gründen. Es steht mehr auf dem Spiel und Angreifer haben bei kritischen Infrastrukturen bereits einen Fuß in der Tür. Denn seit etlichen Jahren beobachten wir sowohl opportunistische Attacken als auch hoch spezialisierte Angriffe. Und wenn mehr auf dem Spiel steht, zahlt sich das in aller Regel für die Angreifer auch aus. Ransomware-Attacken auf Institutionen und Unternehmen im Gesundheitswesen sind das beste Beispiel dafür.

In meiner Laufbahn alsDoD IA habe ich gelernt, dass eine Bedrohung aus mindestens zwei dieser drei Komponenten resultiert: Mittel, Gelegenheit und Motiv (im Englischen nenne ich es das MOM-Prinzip: Means, Opportunity, Motive).

Die Mittel stehen in ausreichender Zahl auf dem Markt zur Verfügung beispielsweise in Gestalt von FUD (fully undetectable) Ransomware, auch als Ransomware-as-a-Service (RaaS) bekannt. Dies ist eine bemerkenswerte Marktentwicklung verglichen mit den traditionellen Methoden. Cyberkriminelle waren vormals gezwungen ein Exploit Kit zu kaufen, es selbst zu konfigurieren und die Binaries entweder lokal oder in der Cloud zu kompilieren. Das ist inzwischen um ein Vielfaches einfacher geworden und erlaubt so gut wie jedem mit Malware umzugehen.

Es bietet sich ausreichend Gelegenheit, die Anfänge sind längst gemacht. Seien es zielgerichtete Angriffe auf kritische Infrastrukturen oder opportunistische Adware- oder Browser-basierte Angriffe (übrigens war auch das eine meiner Prognosen in Bezug auf die Vektoren, die bei Ransomware eine Rolle spielen werden). Dazu kommen die allseits bekannten, aber deshalb nicht weniger gefährlichen Phishing- und Water-Holing-Angriffe.

Das Motiv ist simpel: Geld. Risikolos und viel.
Auf der diesjährigen RSA präsentierteFormbyAnnahmen, die meine These stützen: "Er (ein Hacker) kann beispielsweise damit drohen an diesem sensiblen Equipment langfristig Schäden anzurichten. So dauert es Monate einen defekten Power Grid Trafo zu reparieren"

Was mich aber letzten Endes zu diesem Beitrag motiviert hat ist etwas, das in unmittelbarer Nähe meines Zuhauses passierte. 75.000 Kunden standen plötzlich ohne Strom da als in der Nähe einer Schule in Harris County ein Transformator explodierte. Auch wenn in diesem speziellen Fall nicht Ransomware die Ursache war, kam ich doch ins Grübeln. Ich fragte mich, wie dieses Geschehnis mit der Aussage von Formby in Zusammenhang stehen könnte. Was richtet ein defekter Transformator bei einem Energieversorger für einen Schaden an? Und wie wichtig ist es, dass 75.000 Menschen mit Strom versorgt werden? Die Tatsache, dass sich die Fragen nicht einfach so beantworten lassen, verdeutlicht, dass und wie ein Angreifer aus einer solchen Situation Kapital schlagen könnte. Theoretisch kann ein Hacker genau einen Dollar weniger als Lösegeld verlangen als die veranschlagte Schadenhöhe. Immer vor dem Hintergrund, dass es sich um kritische Infrastrukturen handelt, Menschenleben und Sicherheit bedroht sind.

Was also steht als nächstes auf der Liste? EMS-Systeme? Controller-Systeme in kritischen Infrastrukturen? Wasseraufbereitungsanlagen? In diesen Fällen scheint es ungleich sicherer zu sein das geforderte Lösegeld zu zahlen statt eine aufwendige Wiederherstellung zu riskieren. Insbesondere wenn es um Menschenleben und öffentliche Sicherheit in einem brisanten Mix geht. Bis eine Cloud-basierte Backup-Strategie für ein komplettes Netzwerk greift, ist es unter Umständen längst zu spät. Wir sind dahingehend an einem Scheideweg angekommen und müssen uns bei Ransomware auf gnadenlosen Zeitdruck und dem Gegenstand angemessene immense Lösegeldforderungen einrichten.

Vorhersagen zu treffen ist vergleichsweise einfach. Der schwierige Part ist der, den Forscher übernehmen, wenn sie den Tatbestand benennen und versuchen eine Lösung zu entwickeln. Wenn möglich bevor wir einen "Patienten Zero" haben.

Vorkehrungen zu treffen ist schwierig. Aber unumgänglich, denn wir werden genau die Szenarien zu sehen bekommen, die wir erwarten. Wir haben ein Stadium erreicht, in dem mit kritischen Infrastrukturen selbst die Sicherheit unserer Familien bedroht ist. Die Antwort kann also nur lauten: Alle müssen an einem Strang ziehen und die Gefahr ins öffentliche Bewusstsein zu bringen. Es geht darum, eine gesamtgesellschaftliche Antwort zu finden wie wir die richtigen Ressourcen, Richtlinien und Technologien kombinieren um dieser Bedrohungen Herr zu werden.

Bei Cylance gehen wir solche Herausforderungen anders an als es üblicherweise der Fall ist. Nämlich mithilfe künstlicher Intelligenz, die in der Lage ist Vorhersagen zu treffen. Es ist uns gelungen Ransomware-Varianten und Kampagnen Wochen, Monate und manchmal sogar Jahre im Voraus zu verhindern. Bevor es einen "Patienten Zero" gibt und bevor die Binaries ausgeführt werden. Um das in die richtige Perspektive zu setzen: Bereits sechs Monate vor der ersten gelungenen Infektion mit ZCryptor ist es uns gelungen die Ransomware am Endpoint vorausschauend zu erkennen. Dies würde in der Folge verhindern, dass die Malware überhaupt ausgeführt wird. Wahrscheinlich noch bevor die Autoren ihr erstes Binary kompiliert hätten und sicherlich bevor der Rest der Welt mit der Analyse der Malware beginnt. Bevor IOCs extrahiert werden, bevor der C2-Server oder Verschlüsselungsschemata identifiziert werden würden und bevor andere Maßnahmen zur Beschreibung und Identifizierung der Malware greifen.

Um Bedrohungen dieser Art mit EDR, Backups und Wiederherstellung entgegenzutreten steht einfach zu viel auf dem Spiel. Wir befinden uns im Jahr 2017 und mitten in der 4. Industriellen Revolution auch als künstliche Intelligenz bekannt. Wir sollten jeden technischen Fortschritt nutzen, um ökonomische Katastrophen aufgrund von Ransomware-Attacken auf kritische Infrastrukturen zu verhindern.

Vielleicht zum ersten Mal überhaupt befinden wir uns in der Position den "bösen Jungs" einen kleinen Schritt voraus zu sein. Zum ersten Mal ist der Zeitvorsprung auf Seiten der Verteidigung und nicht auf der der Angreifer. Das hätte vermutlich vor einigen Jahren noch niemand zu prognostizieren gewagt.
(Cylance: ra)

eingetragen: 18.04.17
Home & Newsletterlauf: 25.04.17


Cylance: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.