So schützen Sie sich vor Ransomware in Zeiten von Cloud-Computing

Autor/Redakteur: Candid Wüest, Cyber Protection Experte bei Acronis/gg

Bild: Acronis

Ransomware-Attacken werden immer präziser und gefährlicher. Die Kombination von Datendiebstahl und Betriebsstörung ist hochprofitabel für Cyberkriminelle und deshalb eine der häufigsten Angriffsformen in 2021, unabhängig von der Unternehmensgröße.

Das Sicherheitsinstitut AV-Test aus Magdeburg verzeichnete im Januar im Durchschnitt 569.000 neue Malware Samples pro Tag. Ein großer Teil davon steht mit Ransomware in Verbindung, so wachsen zum Beispiel die Automation und das Ransomware-as-a-Service Business rasant und bringen so immer mehr Angreifer ins Spiel.

Die Telemetrie Daten des Acronis Cyber Protection Operation Centers (CPOC) zeigen das 46 Prozent der geblockten Ransomware-Vorfälle im Januar in Europa auf Deutschland fallen. Ein unrühmlicher erster Platz, der aufzeigt, dass auch die vielen KMUs in Deutschland im Fokus der Angreifer stehen.

Es gibt zahlreiche Varianten für Cyberkriminelle ein Unternehmensnetzwerk zu infiltrieren, es ist zunächst wichtig diese zu analysieren, um laufende Angriffe in Echtzeit zu erkennen und zu verifizieren. Denn nur so kann man sich ausreichend davor schützen.  Ein Blick auf gängige Varianten, die Cyberkriminelle nutzen lohnt sich also, bevor man sich Gedanken zum Ransomware-Schutz macht.

 Cyberkriminelle lieben Emails, aber auch Fernzugriffe sind in Homeoffice-Zeiten beliebt

Weitaus am häufigsten ereignen sich initale Angriffe über bösartige Emails. Hierbei handelt es sich vorwiegend um Office Dokumente, welche ein bösartiges Makro beinhalten. Sobald der Benutzer manuell die Aktiven-Inhalte bestätigt, lädt das VisualBasic- oder PowerShell-Skript den eigentlichen Schadcode, zum Beispiel eine Cobalt Strike Backdoor, aus dem Internet nach. Vermehrt werden die Dokumente mit Passwörtern versendet oder auf vertrauenswürdigen Cloud-Diensten hinter CAPTCHAs gehostet, um die automatische Analyse zu erschweren.

Durch den Anstieg der Tätigkeit im Homeoffice haben auch die Angriffe auf exponierte Netzwerkdienste stark zugenommen. Services wie Pulse VPN, Citrix oder DNS Server hatten in der Vergangenheit leider alle Schwachstellen, welche durch einen Exploit als Einfallstor ausgenutzt werden konnten. Es ist deshalb wichtig, dass jegliche Software, aber insbesondere aus dem Internet erreichbare Dienste, jeweils so schnell wie möglich gepatcht werden. Idealerweise automatisch, damit es nicht vergessen geht, denn im letzten Jahr wurden insgesamt knapp 19.000 Schwachstellen gemeldet.  

Grafik: Acronis

Hinzukommen die Fernzugriffe über VPN oder Windows RDP, und die vielen neuen Cloud-Dienste, welche beliebte Ziele für Passwort Brute Force Attacken sind. Täglich werden hunderttausende von möglichen Passwörtern automatisch durchprobiert. Diese Zugangsdaten können auch aus Phishing Attacken oder früheren Datenlecks bei anderen Diensten stammen.

 Sekundäre Angriffe: Der Fuß bereits in der Tür

Ist das Unternehmen erstmal kompromittiert, versuchen die Angreifer sich im internen Netzwerk auszubreiten und Zugriff auf wichtige Systeme wie das Active Directory oder Konsolen der Security Tools zu erlangen. Hierbei spielen Credential-Tools wie Mimikatz eine wichtige Rolle um an lokale Accounts zu gelangen. Die gewonnen Zugangsdaten werden dann genutzt um sich im internen Netzwerk weiter auszubreiten. Bei größeren Unternehmen bedeutet dies Lateral Movement, also das springen auf andere Workloads. Oft werden hierzu bereits vorhandene legitime Tools wie PowerShell oder WMI eingesetzt. Das Prinzip der Living-of-the-Land-Methode geht allerdings noch weiter. So werden Softwareverteilungsdienste genutzt um die Malware zu verteilen, oder Backupdienste missbraucht, um die Daten zu stehlen indem man ein neues unverschlüsseltes Backup in der Angreifer Cloud erstellt.