„Bitte verschlüsseln Sie Ihren Server“

Würden Sie Ihren eigenen Server für einen Teil des Lösegelds verschlüsseln?

Werden Unternehmensnetzwerke mit Ransomware infiziert, geschieht dies in der Regel über E-Mails, Sicherheitslücken in der Software oder ungeschützte Remote-Verbindungen. Dass ein Insider absichtlich Malware einschleust, scheint unwahrscheinlich. Wie die Praxis jedoch zeigt, halten einige Angreifer diese Methode zur Verbreitung von Ransomware für effektiv, und einige Angreifer rekrutieren jetzt Unternehmensmitarbeiter, indem sie ihnen zur Belohnung einen Teil des erpressten Lösegelds anbieten.

Ein kreatives Lieferprogramm

So absurd es auch klingen mag, es gibt Kriminelle, die über Spam-Nachrichten nach Komplizen suchen. In einer solchen Nachricht werden beispielsweise „40%, 1 Million Dollar in Bitcoin“ für jeden angeboten, der bereit ist, die Ransomware DemonWare auf dem Windows-Hauptserver des Unternehmens zu installieren und einzusetzen.

Unter der Identität von interessierten Komplizen erhielten die Ermittler einen Link zu einer Datei mit Anweisungen zum Ausführen der Malware. Allerdings handelte es sich bei der Person, die hinter dem Mailing stand, offenbar um einen unerfahrenen Cyberkriminellen. Die Ermittler hatten keine Schwierigkeiten, weitere Details aus ihm heraus zu kitzeln. Der betreffende Bedrohungsakteur war ein junger Nigerianer, der LinkedIn auf der Suche nach leitenden Angestellten durchforstet hatte, die er kontaktieren konnte. Seinen ursprünglichen Plan, Malware per E-Mail zu versenden, gab er auf, als er erkannte, wie stark die Cybersicherheitssysteme der Unternehmen sind.

Was ist falsch an der Aktion?

Um die Zielobjekte davon zu überzeugen, dass ihre Teilnahme sicher sei, behauptete der Angreifer, die Ransomware würde alle Spuren im Nachhinein beseitigen, einschließlich möglicher Sicherheitsaufnahmen, und empfahl, die ausführbare Datei zu löschen. Vermutlich nur ein billiger Trick, um sein Zielobjekt in die Falle zu locken, denn nach der Server-Verschlüsselung wäre es ihm womöglich völlig egal, was mit dem „Täter“ geschieht – doch er scheint nicht verstanden zu haben, wie digitale forensische Untersuchungen funktionieren.

Auch die Entscheidung, DemonWare zu verwenden, verriet seine Unerfahrenheit. Obwohl Angreifer DemonWare immer noch verwenden, handelt es sich hierbei um eine recht einfach gestrickte Malware, deren Quellcode auf GitHub verfügbar ist. Der Entwickler der Malware hat sie angeblich erstellt, um zu demonstrieren, wie einfach es ist, Ransomware zu schreiben.

So schützen Sie sich

Obwohl es sich bei diesem Beispiel nur um ein konkretes Beispiel handelt, ist die Beteiligung von Insidern, also Mitarbeitern eines Unternehmens, an einem Ransomware-Angriff durchaus realistisch. Viel wahrscheinlicher als das Einschleusen von Malware in ein Netzwerk ist jedoch ein Szenario, bei dem jemand den Zugang zum Informationssystem eines Unternehmens verkauft.

Der Markt für Zugänge zu Unternehmensnetzwerken existiert seit langem im Dark Web, und Ransomware-Angreifer kaufen den Zugang oft von anderen Cyberkriminellen – so genannten Initial Access Brokers. Diese sind unter Umständen ausdrücklich daran interessiert, Daten für den Fernzugriff auf das Netzwerk oder die Cloud-Server des Unternehmens zu kaufen. Anzeigen für solche Käufe, die sich an verärgerte oder entlassene Mitarbeiter richten, kursieren im Dark Web.

Um sicherzustellen, dass niemand die Sicherheit Ihres Unternehmens gefährdet, indem er Cyberkriminellen Zutritt zum eigenen Netzwerk verschafft, empfehlen wir Ihnen:

Verfolgen Sie eine Strategie minimaler Privilegien;

Führen Sie sorgfältige Aufzeichnungen über die Zugriffsversuche auf das Netzwerk und die Server des Unternehmens, widerrufen Sie Rechte und ändern Sie Passwörter, wenn Mitarbeiter entlassen werden;

Installieren Sie auf jedem Server Sicherheitslösungen, mit denen die heutige Malware bekämpft werden kann;

Verwenden Sie Managed Detection and Response-Lösungen, die helfen, verdächtige Aktivitäten in Ihrer Infrastruktur zu erkennen, bevor Angreifer eine Chance haben, ernsthaften Schaden anzurichten.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.