DOUBLE-EXTORTION-ANGRIFFE

You are currently viewing DOUBLE-EXTORTION-ANGRIFFE

DOUBLE-EXTORTION-ANGRIFFE

Bei üblichen Ransomware-Attacken gibt es zumeist nur ein Druckmittel. Die Daten eines oder mehrerer Systeme werden verschlüsselt und für die Entschlüsselung wird ein Lösegeld gefordert. Bei Double-Extortion-Angriffen setzen die Cyber-Kriminellen gleich mehrere Druckmittel ein, um eine Lösegeldzahlung als unumgänglich darzustellen.

Das Schlimmste neben Unbrauchbarmachung von Unternehmensdaten ist die Veröffentlichung von internen, vertraulichen oder sensiblen Daten. Bei Double-Extortion-Angriffen kopieren die Angreifer die Daten vor ihrer Verschlüsselung. Natürlich bevorzugen sie möglichst sensible Informationen und legen diese in einer ihnen zugänglichen Cloud ab. Dann wird mit der Veröffentlichung oder Versteigerung von genau diesen Daten gedroht. Es gibt aber noch weitere Mittel, um den Druck zu erhöhen. Häufig werden sog. „DDoS-Angriffe“ (Distributed Denial Of Service) auf ausgewählte Dienste angedroht. Außerdem können Angreifer häufig viele Informationen auf den Systemen gewinnen, die ebenfalls als Druckmittel einsetzbar sind; z.B. Verstöße gegen die DSGVO. Hier liegen die Lösegeldforderungen dann meist unter dem zu erwartenden Bußgeld.

Double-Extortion-Angriffsablauf

Jede Attacke folgt individuellen Abläufen. Es gibt gängige Szenarien, die bei dieser Art von Angriffen immer wieder zu beobachten sind. Unternehmen können sich effektiver schützen, wenn diese Szenarien bekannt sind.

Phase 1: Kompromittierung der Systeme

Es existieren viele Angriffsmöglichkeiten zum Eindringen und Infiltrieren von Systemen; z.B.

  • Phishing-E-Mails
  • Sicherheitslücken in Software (durch fehlende Updates und Sicherheits-Patches)
  • Brute-Force-Angriffe auf Fernzugänge zum Unternehmensnetzwerk
  • Ransomware as a service (eingekaufter Dienst mit vorgefertigten Exploits)
  • Mangelhafte Konfiguration der Firewall
  • Kompromittierung über verbundene, externe Geräte (Drucker, Lautsprecher, Klimaanlage)
  • Drive-by-infekte (über schadhafte Websites)
  • Social-Engineering-Angriffe

Phase 2: Verbreitung im Netzwerk

Nach erfolgreichem Ausnutzen eines Einfallstores haben die meisten Angriffe das Ziel, den Zugriff auszuweiten und mehrere Systeme zu infiltrieren. Anschließend richtet sich der Fokus auf das Ausspähen größerer Datenmengen, wofür meist simple Tools und Protokolle verwendet werden; z.B. eine Weiterverbreitung über das Remote-Desktop-Protokoll, sofern dieses freigegeben ist. In dieser Phase wird zudem versucht, höhere Berechtigungen auf den Systemen zu erlangen, weil viele Steuerungsmöglichkeiten und nur mit Administratorrechten möglich sind.

Phase 3: Daten-Exfiltration

Die Angreifer haben mittlerweile einen Überblick über die Infrastruktur und bewegen sich mit erhöhten Rechten von System zu System. Außerdem erkennen sie, welche Daten für das Unternehmen besonders bedeutend sind. Sie fangen an, diese zu kopieren und abzuziehen. Eine häufig genutzte Methode ist das Hochladen auf einen Cloud-Speicher über den Browser. Auf diesen haben die Angreifer Zugriff, um die Daten wieder herunterzuladen.

Phase 4: Ausführung der Ransomware

Abschließend beginnt der eigentliche Angriff, indem eine Ransomware platziert und ausgeführt wird. Dies hat eine Verschlüsselung aller erreichbaren Daten zur Folge und beinhaltet auch das Ablegen einer sog. „Ransomnote“. Diese Notiz ist zumeist eine Textdatei, welche den Erpresserbrief mit Zahlungsaufforderung und der Möglichkeit der Kontaktaufnahme enthält. Darüber hinaus wird mit der Veröffentlichung oder Versteigerung der exfiltrierten Daten gedroht.

Präventionsmaßnahmen für Double-Extortion-Angriffe

Angriffe mit Ransomware stellen für Unternehmen eine große Herausforderung dar. Es gibt aber Maßnahmen, um sich vor solchen Angriffen zu schützen. Eine wirksame Schutzstrategie ist abhängig von den Gegebenheiten der zu schützenden Infrastruktur. Nicht jede effektive Maßnahme ist für jedes Unternehmen umsetzbar – einige effektive Maßnahmen, die fast überall umsetzbar sind:

  • Awareness-Trainings und Sensibilisierung der Beschäftigten
  • Einsatz von Spamfiltern für E-Mails und Webfiltern für die Internet-Nutzung
  • Sperren nicht benötigter Ports
  • Zeitnahes Einspielen von Updates und Patches
  • Einsatz von Multi-Faktor-Authentifizierung
  • Netzwerksegmentierung in abgetrennte Bereiche

Reaktionsmaßnahmen auf Double-Extortion-Angriffe

Es gibt einige Maßnahmen, um keinem vollständigen Kontrollverlust zu unterliegen und es gibt weitere Maßnahmen, um den drohenden Schaden einzugrenzen:

  • Monitoring zur Überwachung der IT-Systeme auf Anomalien
  • Isolierung von betroffenen IT-Systemen
  • Vorhalten von aktuellen Offline-Backups
  • Strategie zur sicheren Systemwiederherstellung aus Backups
  • Implementierung eines Notfallplans, der allen Beschäftigten bekannt ist
  • Einhaltung von Datenschutzbestimmungen und anderen Vorschriften, um Erpressbarkeit zu vermindern

Ransomware-Attacken stellen eine ernstzunehmende Bedrohung dar und Double-Extortion-Angriffe haben sich als sehr effizient erwiesen. Unternehmen müssen jederzeit mit solchen Angriffen rechnen und sollten gut darauf vorbereitet sein. Dadurch lässt sich die Anzahl erfolgreicher Angriffe sowie deren Konsequenzen erheblich verringern. Die Verschlüsselung der Daten ist nicht das Kernproblem, sondern die mangelnde Vorbereitung auf solche Fälle. Das Fehlen von Offline-Backups, Notfallplänen und einer Netzwerksegmentierung kann im Ernstfall zu einem unkontrollierten Datenabfluss und Verlust von sensiblen Informationen führen. Wenn dies durch entsprechende technische Maßnahmen gar nicht ermöglicht wird, ist ein Angriff zwar ärgerlich und kostet Zeit, stellt aber keine existenzielle Bedrohung mehr dar.

31.05.2022

Photo by Clint Patterson on Unsplash

Schlagwörter: , ,