In diesem Blogbeitrag schauen wir uns an, wie ein Ransomware Angriff im Detail abläuft. Denn nur so können folgende Maßnahmen darauf ausgerichtet werden.
Vorab ein kurzer Rückgriff: Ein Ransomware Angriff bezeichnet die Verschlüsselung von Unternehmensdaten und resultiert in der Erpressung des Unternehmens zur Zahlung von Lösegeldern. Wie läuft ein solcher Angriff aber ab? Wie das BSI in seinem Bericht rekonstruiert ist das gängig Vorgehen zum einen nachvollziehbar, zum anderen aber auch erschreckend gefährlich. Auch wenn es im folgenden Text so wirken könnte, dass es sich bei den Angreifern, um Menschen handelt, ist herauszustellen, dass die meisten Angriffe heute komplett automatisiert durch selbstständige und selbstlernende Programme ausgeführt werden:
Angriff auf die IT-Landschaft in 3 Schritten
- Der Angriffsvektor: Der Wege, über den die Ransomware in ein Unternehmensnetzwerk eindringt, nennt man: „Angriffsvektor“. Die Ransomware wird per Mail oder als Link verbreitet und leitet die Empfänger auf eine kompromittierte Website, auf der unbemerkt eine „Mini-Software“ auf den Computer der Person heruntergeladen wird. Also weiter besonders wichtiger Angriffsvektor wird bei Unternehmen nicht aktuelle bzw. nicht sichere VPN Zugänge und Fernwartungsvorgänge erwähnt über die sich Angreifer Zugriff verschaffen können.
- Outlook Harvesting: Zeichnen wir das Bild der Ransomware als Wilderer legt sich dieser nun auf die Pirsch und wartet ab: Outlook Harvesting (von Outlook = Mail Harvesting = Ernten) bezeichnet den Vorgang, in dem die Schadsoftware den E-Mail-Verkehr des Unternehmens analysiert, um beispielsweise zu verstehen, wie die Menschen darin miteinander kommunizieren. Aus den gesammelten Erkenntnissen über den E-Mail-Verkehr wird ein authentischer Social-Engineering-Angriff in Form einer besonders glaubwürdigen Mailvorlage entwickelt, die den nächsten Schritt einleitet. Solche Angriffe sind auch „Über Bande“ denkbar. Es könnte z. B. ein Zulieferer mit durchlässiger Sicherheitsstruktur infiziert werden, der dann wiederum instrumentalisiert wird, um ein übergeordnetes Ziel zu infizieren.
- Werthafte Ziele identifizieren: Nachdem genügend Informationen gesammelt wurde, wird eine Spionage Software (z. B. durch eine in einem Mailanhang einer authentischen Mail aus der eigenen Organisation) auf die infizierten Systeme aufgespielt, um besonders lohnende Ziele für eine Verschlüsslung zu identifizieren. Nachdem dieser erkannt wurden, werden diese Daten entweder verschlüsselt und oder downloadet. Dasselbe gilt für die Identifizierung von schwerwiegenden Schwachstellen (siehe Teil II unserer Blogreihe).
Bedrohung für wirtschaftlich erfolgreiche Unternehmen besonders groß
Gerade für große und wirtschaftlich gut aufgestellte Unternehmen besteht nach Angaben des BSI eine besondere Bedrohung. Das Big Game Hunting: Bezeichnet den Umstand, dass sich Kriminelle besonders finanzkräftige Unternehmen für ihre Angriffe aussuchen, da hier die höchsten Lösegeldforderungen zu erwarten sind. Das spiegelt sich auch in aktuellen Zahlen wieder: Das Bundeslagebild 2020 aus dem Jahr 2021 des Bundeskriminalamts geht davon aus, dass jedes vierte bis fünfte große Unternehmen bereits Ziel einer Cyberattacke war, wohingegen „nur“ jedes 10. Kleine Unternehmen bereits betroffen war.
Nachdem die werthaften Ziele identifiziert sind, gehen die Cyberkriminellen in die nächste Phase über. Sie bauen Druck auf die Unternehmen auf, um ihre Ziele zu erreichen. Mit welchen Mitteln hier gearbeitet wird und welche Folgen das für Unternehmen haben kann, zeigen wir im nächsten Blogbeitrag.
Die anderen Blogbeiträge unserer Reihe zum Thema Ransomware