Ein absoluter Alptraum, vor allem im Unternehmenskontext: Eben waren die Daten noch einwandfrei in Benutzung, nur wenige Sekunden später ist alles verschlüsselt und unbrauchbar. Angriffe mit Ransomware sind keine Seltenheit und Double Extortion ein beliebtes Szenario. Was das genau ist und wie solche Angriffe ablaufen, verrät der folgende Beitrag.
Der Inhalt im Überblick
Was ist Double Extortion Ransomware?
Bei üblichen Angriffen mit Ransomware gibt es zumeist ein Druckmittel. Die Daten eines oder mehrerer Systeme werden verschlüsselt. Für die Entschlüsselung wird ein Lösegeld gefordert. Bei Double Extortion gilt das Motto „doppelt hält besser“. Hierbei ergänzen die Angreifer weitere Druckmittel. Wörtlich übersetzt bedeutet Double Extortion nämlich “doppelte Erpressung“. Es geht jedoch nicht um eine mehrfache Erpressung im eigentlichen Sinne. Vielmehr geht es um den Einsatz mehrerer Druckmittel für die Erpressung, um die Lösegeldzahlung für das betroffene Unternehmen als unumgänglich darzustellen.
Die Druckmittel der Angreifer
Das Schlimmste neben Unbrauchbarmachung der eigenen Unternehmensdaten ist die Veröffentlichung firmeninterner Geheimnisse und sensibler Daten. Bei der Double Extortion kopieren die Angreifer zumeist die Daten vor ihrer Verschlüsselung. Dabei bevorzugen sie möglichst sensible Informationen und laden diese häufig in eine ihnen zugängliche Cloud hoch. Im weiteren Verlauf wird dann mit der Veröffentlichung oder Versteigerung von genau diesen Daten gedroht. Darüber hinaus gibt es noch andere probate Mittel, um den Druck auf ein Unternehmen zu erhöhen. Häufig werden sogenannte DDoS-Angriffe (Distributed Denial Of Service) auf ausgewählte Dienste angedroht. Außerdem können Angreifer häufig viele Informationen auf den Systemen gewinnen, die ebenfalls als Druckmittel einsetzbar sind. Ein Beispiel sind festgestellte Verstöße gegen die DSGVO. Hierbei liegen die Lösegeldforderungen dann häufig unter dem Bußgeld, welches zu erwarten wäre. Damit wollen die Angreifer die Unternehmen vor der öffentlichen Blöße und den Konsequenzen der Aufsichtsbehörden „schützen“.
Double Extortion Angriffsablauf
Angriffe mit Ransomware sind keine Seltenheit. Ein beliebtes Ransomware-Szenario ist die Double Extortion. Jeder Angriff besitzt seine eigenen Abläufe. Es gibt jedoch gängige Szenarien, die sich bei dieser Art von Angriffen immer wieder zeigen. Unternehmen können sich effektiver schützen, wenn ihnen diese Szenarien bekannt sind.
Phase 1: Kompromittierung der Systeme
Es existiert eine Vielzahl an Angriffsmöglichkeiten zum Eindringen und Infiltrieren von Systemen. Einige davon sind die folgenden:
- Phishing-E-Mails
- Sicherheitslücken in Software durch fehlende Updates und Sicherheitspatches
- Brute-Force-Angriffe auf Fernzugänge zum Unternehmensnetzwerk
- Ransomware as a Service als eingekaufter Dienst mit vorgefertigten Exploits
- Mangelhafte Firewallkonfiguration
- Kompromittierung über extern angeschlossene Geräte
- Drive-By-Infekte über schadhafte Webseiten
- Social Engineering Angriffe
Phase 2: Verbreitung im Netzwerk
Nach erfolgreichem Ausnutzen des Einfallstores folgt der nächste Schritt. Anfangs haben die meisten Angreifer zum Ziel, ihren Zugriff auszuweiten und mehrere Systeme zu infiltrieren. Anschließend ist das Ziel das Ausspähen größerer Datenmengen. Dafür werden häufig simple Tools und Protokolle verwendet. Ein typisches Beispiel wäre die Weiterverbreitung über das Remote-Desktop-Protokoll, sofern dieses freigegeben ist. Darüber hinaus impliziert diese Phase zumeist noch den Versuch, höhere Rechte auf den Systemen zu erlangen. Die sogenannte Privilege Escalation soll dem Angreifer erhöhte Rechte verschaffen, um mehr Möglichkeiten und Einblicke auf den Systemen zu erhalten. Viele weiterführende Aktivitäten sind nur mit Administratorrechten möglich. Aufgrund dessen werden diese zügig angestrebt.
Phase 3: Daten-Exfiltration
Die Angreifer haben mittlerweile einen Überblick über die Infrastruktur und bewegen sich mit erhöhten Rechten von System zu System. Außerdem erkennen die Angreifer, welche Daten von Bedeutung für das Unternehmen sind. So fangen sie anschließend an, diese zu kopieren und abzuziehen. Hierfür gibt es ebenfalls mehrere Methoden. Eine häufige Methode ist das Hochladen auf einen Cloudspeicher über den Browser. Auf diesen haben die Angreifer Zugriff, um die Daten wieder herunterzuladen.
Phase 4: Ausführung der Ransomware
Durch die Phase der Daten-Exfiltration haben die Angreifer alles Notwendige für sich gesichert. Abschließend beginnt der eigentliche Angriff. Es wird eine Ransomware durch die Angreifer platziert und ausgeführt. Daraus resultiert eine Verschlüsselung aller erreichbaren Daten. Meistens beinhaltet dies auch das Ablegen einer Notiz. Diese sogenannte Ransomnote ist meistens eine Textdatei. Sie enthält den Erpresserbrief mit Zahlungsaufforderung und der Möglichkeit der Kontaktaufnahme. Darüber hinaus wird meistens mit der Veröffentlichung oder Versteigerung der exfiltrierten Daten gedroht.
Maßnahmen zur Prävention von Double Extortion Angriffen
Angriffe mit Ransomware stellen für Unternehmen eine große Herausforderung dar. Es gibt aber Maßnahmen, um sich vor solchen Angriffen zu schützen. Eine wirksame Schutzstrategie gestaltet sich dabei individuell. Sie ist abhängig von den Gegebenheiten der zu schützenden Infrastruktur. Nicht jede effektive Maßnahme ist auch für jedes Unternehmen umsetzbar. Einige effektive Maßnahmen, die für fast jedes Unternehmen umsetzbar sind, sind u.a. folgende:
- Awareness-Trainings und Sensibilisierung der Mitarbeiter
- Einsatz von Spamfiltern für E-Mails und Webfiltern für die Internetnutzung
- Sperren nicht benötigter Ports
- Zeitnahes Einspielen von Updates und Patches
- Einsatz von Multi-Faktor-Authentifizierung
- Netzwerksegmentierung in abgetrennte Bereiche
Maßnahmen zur Reaktion auf Double Extortion Angriffe
Zunächst gibt es viele sinnvolle Maßnahmen, um im Falle eines Angriffs keinem vollständigen Kontrollverlust zu unterliegen. Darüber hinaus gibt es weitere Maßnahmen, um den drohenden Schaden zu begrenzen. Einige davon sind im Folgenden beschrieben:
- Betreiben eines engen Monitorings zur Überwachung der Systeme auf Anomalien
- Einhaltung der DSGVO und anderer Vorschriften, um Erpressbarkeit zu vermindern
- Isolierung betroffener Systeme
- Implementierung eines Notfallplans, der allen Mitarbeitenden vertraut und zugänglich ist
- Vorhalten von aktuellen Offline-Backups
- Strategie zum sicheren Wiederherstellen der Systeme aus den Backups
Nicht der Angriff selbst stellt das Problem dar
Wir halten abschließend fest: Angriffe mit Ransomware sind keine Seltenheit. Sie sind eine häufige, ernstzunehmende Bedrohung. Ein beliebtes Ransomware-Szenario ist die Double Extortion, die sich mittlerweile unter den Angreifern als effiziente Methode erweist. Tagtäglich finden derartige Angriffe auf IT-Systeme und ganze Infrastrukturen statt. Deshalb sollte man als Unternehmen mit diesen Angriffen rechnen und sich „darauf vorbereiten“. Dadurch verringert sich zunehmend die Anzahl erfolgreicher Angriffe. Zusätzlich sind die Konsequenzen der Angriffe deutlich geringer. Die Verschlüsselung an sich stellt nicht das Problem dar. Es ist vielmehr die mangelnde Vorbereitung auf solche Fälle. Das Fehlen von Offline-Backups, Notfallplänen und einer Netzwerksegmentierung kann zu einem Verlust und unkontrollierten Datenabfluss von nahezu allen sensiblen Informationen führen. Wenn dies einem Angreifer durch das Treffen von entsprechenden technischen Maßnahmen gar nicht erst ermöglicht wird, ist ein Angriff immer noch sehr ärgerlich und kostet Zeit und Nerven – bedroht aber nicht mehr die Existenz eines Unternehmens.