Ransomware-Erkennung mit bestehenden Technologien

Es scheint, als stünden wir am Rande einer weiteren Krise, die durch Ransomware-Angriffe und die Verbreitung des Ransomware-as-a-Service Modells verursacht wird, das es sogar relativ unerfahrenen Benutzern ermöglicht, ins große Spiel einzusteigen. Jede Woche sind die Medien voll von Schlagzeilen, dass ein bekanntes Unternehmen oder eine Regierungsorganisation das nächste Opfer eines Angriffs geworden ist, die Systeme gesperrt wurden und sensible Daten gestohlen wurden. Diese Organisationen hatten höchstwahrscheinlich alles, was sie für eine rechtzeitige Erkennung von Ransomware benötigten, aber in gewisser Weise überlisteten die Angreifer das Sicherheitsteam.

Die zuvor erwähnte Krise hängt nicht einmal mit der Anzahl der Angriffe zusammen, die aufgrund der zunehmenden Zahl von RaaS-Partnern stetig wächst, sondern mit dem Datendiebstahl vor der Verschlüsselung von Dateien. Laut dem Bericht von Coveware, der im November 2020 veröffentlicht wurde, exfiltrieren Cyberkriminelle im dritten Quartal in etwa der Hälfte ihrer Angriffe erfolgreich Daten. Und das ist doppelt so viel wie im vorigen Quartal. Eine weitere interessante Zahl im Bericht ist die durchschnittliche Lösegeldzahlung, die bereits 230.000 $ überschritten hat.

Ransomware-Angriffe und Datenexfiltration

Ransomware-Angriffe wurden Mitte der 2000er Jahre zu einem Problem, als Cyberkriminelle von einfachen Bildschirmblockern, die von fortgeschrittenen Nutzern leicht umgangen werden konnten, aber dennoch guten Profit brachten, zur Verschlüsselung von Dateien übergingen, was ohne einen Entschlüsselungsschlüssel fast garantiert zum Datenverlust führt. Anfang der 2010er Jahre tauchte der erste Ransomware-Wurm auf, und nach einigen Jahren begannen Cyberkriminelle mit massiven Spam-Kampagnen , die sich hauptsächlich an nicht-unternehmerische Nutzer richteten, aber die Erkennungsfähigkeiten von Unternehmen waren meist ausreichend, um die Bedrohung nicht zu spüren. Im Jahr 2016 erschien der erste Ransomware-as-a-Service, der noch für Angriffe auf Privatpersonen gedacht war. Im Mai 2017 zeigte der WannaCry Ausbruch der Welt, dass Organisationen ein großartiges Ziel sein können und dass die Erholung von einem Ransomware-Angriff sehr teuer ist. NotPetya bestätigte dies nur, und bald wechselten die großen Spieler vollständig zu Angriffen auf Organisationen, um an die Backup-Server zu gelangen und so viele wichtige Systeme wie möglich zu verschlüsseln, ohne die Möglichkeit der Wiederherstellung. Ende 2019 begannen Maze RaaS Partner, Daten zu stehlen, nachdem sie in das Netzwerk der Organisation eingedrungen sind, die sie dann auf einer speziell erstellten Ressource veröffentlichten, um Druck auf die Opfer auszuüben und sie zu zwingen, eine wirklich hohe Lösegeldsumme zu zahlen. Dies wurde schnell populär, und wie wir aus dem Bericht sehen können, stehlen Cyberkriminelle jetzt bei jedem zweiten Angriff Daten.

Schwarze Schafe auf der dunklen Seite

Bis vor kurzem spielten Cyberkriminelle relativ fair, und im Fall eines Lösegeldes stellten sie irgendeine Art von Beweis dafür zur Verfügung, dass die Daten gelöscht wurden. Aber unter Dieben gibt es keine Ehre, und jetzt gibt es immer mehr Fälle, in denen Gegner die Daten nach Zahlung eines Lösegelds nicht löschen. Mindestens einige Male haben Sodinokibi Ransomware-Partner wiederholt Geld gefordert, um Dateien zu löschen, nachdem die verschlüsselten Systeme wiederhergestellt wurden. Aber dies ist nicht die einzige RaaS mit „verdorbenen“ Partnern. Angreifer hinter Netwalker und Mespinoza wurden ebenfalls dabei beobachtet, Dateien nicht zu löschen, da vertrauliche Informationen auf ihren „Seiten“ aufgrund einiger „technischer Pannen“ nach Erhalt eines Lösegelds veröffentlicht wurden. Die Gruppe hinter Conti Ransomware versuchte, Opfer zu täuschen, indem sie ihnen gefälschte Beweise für eine Datenlöschung schickte.

Wir sollten auch den Pionier des Datei-Diebstahls, Maze RaaS und deren Partner, erwähnen. Laut dem Bericht gab es Fälle, in denen Partner Daten öffentlich zugänglich machten, bevor sie das Opfer über deren Entführung informierten. Maze-Operatoren sind bekannt dafür, Partner auszusortieren, die ihre Regeln verletzen, und einige von ihnen versuchen, wie in der Situation mit Sodinokibi, das Lösegeld von den angegriffenen Unternehmen erneut zu erhalten oder versuchen, Daten im DarkNet zu verkaufen. Die Situation wird dadurch verschärft, dass viele Sicherheitslösungen eine Erkennung von Ransomware bieten und Angreifer nicht genug Systeme verschlüsseln können. Aber sie haben alle gestohlenen Daten aus solchen halb fehlgeschlagenen Angriffen und versuchen, auf irgendeine Weise wenigstens etwas Gewinn zu erzielen.

Erkennung von Ransomware-Angriffen und warum sie so wichtig ist

Natürlich ist die Erkennung von Ransomware-Angriffen für eine kontinuierliche Cyberabwehr entscheidend, und Sie können dies mit den Tools umsetzen, die Ihre Organisation bereits hat. Trotz der Tatsache, dass für jeden Angriff auf eine Organisation ein einzigartiger Ransomware-Binärwert erstellt wird, werden einige Antivirenlösungen in der Lage sein, ihn zu erkennen und zu neutralisieren. Es gibt viele verschiedene Regeln für SIEM- und NTDR-Lösungen, die Anomalien identifizieren können, die auf einen Ransomware-Angriff hinweisen. Aber es ist ebenso wichtig, eine Bedrohung so früh wie möglich zu erkennen, da die Dateiverschlüsselung bereits die Endphase eines Angriffs ist, wenn sensible Daten bereits in den Händen von Cyberkriminellen sind. Um in das Netzwerk der Organisation einzudringen, können Ransomware-Banden RDP-Verbindungen erzwingen, kompromittierte Anmeldedaten auf dem DarkNet-Markt kaufen, guten alten Phishing betreiben oder bekannte Schwachstellen ausnutzen. Nach dem Eindringen versuchen Angreifer, Zugriff auf das Active Directory zu erhalten (von wo aus es am einfachsten ist, zentral alle Arbeitsstationen zu infizieren) und auf Backup-Server, um alle Backups zu löschen und dabei alle sensiblen Daten zu sammeln, die sie finden können. Bisher gilt die Gruppe, die für den Einsatz von Ryuk Ransomware berüchtigt ist, als Champion. Sie waren in der Lage, Systeme innerhalb von fünf Stunden nach dem Eindringen in das Netzwerk zu verschlüsseln.

Erleichtern Sie Ihre Ransomware-Erkennung

Leider gibt es keine Lösung, die 100 % Schutz vor solchen Cyberangriffen bietet, aber es ist möglich, die Erkennungsfähigkeiten für Ransomware der vorhandenen Sicherheitsplattformen in Ihrer Organisation erheblich zu erhöhen. Jeden Monat veröffentlichen die Entwickler des Threat Bounty Program und das SOC Prime Content Team auf dem Threat Detection Marketplace dutzende SOC-Inhaltsartikel, die helfen, Techniken, Tools und verdächtige Aktivitäten zu erkennen, die auf eine aktive Phase eines Ransomware-Angriffs hindeuten. Schließlich ist es wichtig, nicht nur Ransomware-Binärdateien und deren Verhalten zu erkennen, sondern auch eine Vielzahl von Tools und Exploits, die von Cyberkriminellen während der Aufklärung und der seitlichen Bewegung verwendet werden. Diese Regeln haben Übersetzungen für mehrere Plattformen, einschließlich der beliebtesten SIEM- und NTDR-Lösungen. Zum Zeitpunkt dieses Schreibens unterstützt der Threat Detection Marketplace über 20 Plattformen, darunter Azure Sentinel, Chronicle Security, Humio, Corelight, Sumo Logic, den Elastic Stack, Carbon Black, CrowdStrike, Logpoint, RSA NetWitness, ArcSight, Splunk, QRadar, Apache Kafka ksqlDB, Microsoft Defender ATP und Sysmon. Wir fügen kontinuierlich neue unterstützte Plattformen und Integrationen hinzu, also kontaktieren Sie support@socprime.com um die Entwicklung dieser Integration zu priorisieren.

Sie können den verfügbaren Inhalt über diesen Linküberprüfen oder Regeln für spezielle Tools und Ransomware-Varianten auf der Inhalts Seite im Threat Detection Marketplace.

Wir haben vor kurzem das Continuous Content Management (CCM) Modul veröffentlicht, das Azure Sentinel und den Elastic Stack unterstützt, um SOC-Inhalte direkt in Ihr SIEM-Instance zu streamen und Ihnen zu helfen, Ihre Ransomware-Erkennungskapazitäten zu automatisieren. Hier können Sie die Aufzeichnung der Live-Präsentation der CCM-Modul-Vorteile ansehen. Die Unterstützung für andere Plattformen kommt in Kürze. Mit dem CCM-Modul können Sie nicht nur die Suche und Installation der benötigten SOC-Inhalte automatisieren, sondern auch die bereits eingesetzten Regeln rechtzeitig aktualisieren und diese Updates auf direktem Weg in Ihre SIEM-Instanz integrieren.

Um die Vorteile des CCM-Moduls zu nutzen, können Sie es als separate Lizenz oder als Teil der Universe-Abonnementstufe ohne zusätzliche Kosten erwerben. Dennoch haben Sie eine weitere Option, es kostenlos auszuprobieren, indem Sie eine 14-tägige kostenlose Testversion anfordern. Melden Sie sich an, um Threat Detection Marketplace Ihre Bedrohungserkennungs- und Reaktionsfähigkeiten zu stärken.