Ransomware erkennen, abwehren und verfolgen - Das Incident Response-Handbuch

Ransomware erkennen, abwehren und verfolgen

Das Incident Response-Handbuch

Marc Ruef
von Marc Ruef
am 23. September 2021
Lesezeit: 14 Minuten

Keypoints

So reagieren Sie richtig auf Ransomware

  • Ransomware wird genutzt, um durch Verschlüsselung und Diebstahl zu erpressen
  • Zuerst muss die Funktionsweise der Ransomware identifiziert werden
  • Dadurch kann in einem nächsten Schritt der Umgang mit den Erpressern geplant werden
  • Das Miteinbeziehen der Behörden ist sehr wichtig
  • Die Kommunikation mit Kunden und Medien muss offen und ehrlich stattfinden, um den Reputationsschaden möglichst gering zu halten

Ransomware gibt es seit den 1980er Jahren. Doch erst durch die Verbreitung des Internets konnte dieses kriminelle Geschäftsmodell an Popularität gewinnen. Mit der medialen Aufmerksamkeit, die dem Thema durch WannaCry im Mai 2017 entgegengebracht wurde, wurde diese Angriffsmöglichkeit zu einem festen Bestandteil moderner Cybersecurity.

Eine Vielzahl an Firmen sehen sich dieser Bedrohung und den mit ihr einhergehenden Schäden konfrontiert. Dabei wird durch die Betroffenen in der Hitze des Gefechts oftmals falsch reagiert. Dieser Beitrag diskutiert das richtige strategische und taktische Vorgehen bei einem Ransomware-Befall. Viele Aspekte hiervon können ebenfalls auf Erpressung mittels klassischen DDoS-Attacken (Distributed Denial of Service) angewendet werden.

Strategie von Ransomware

Bei Ransomware handelt es sich um eine spezielle Klasse von Malware. Ransomware ist darum bemüht ein System zu infizieren, um durch weitere Massnahmen Geld zu erpressen. Traditionell geschieht dies durch die Verschlüsselung der Daten. Die Datenbesitzer können auf diese erst wieder zugreifen, wenn ein entsprechendes Lösegeld bezahlt wird. Nach erfolgreicher Transaktion, die oftmals durch Bitcoin oder alternative Kryptowährungen umgesetzt werden will, wird dem Opfer der Schlüssel zur Entschlüsselung ausgehändigt. Falls eine Zahlung ausbleibt, bleiben die Daten “für immer Verschlüsselt” oder werden irgendwann gar aktiv gelöscht.

Bei einer Double-Extortion werden die Daten, bevor sie verschlüsselt werden, entwendet. Damit kann durch die Täterschaft ein zusätzlicher Hebel etabliert werden: Findet die Lösegeldzahlung nicht statt – da zum Beispiel dank eines zuvor angefertigten Backups auf die Daten zugegriffen werden kann -, wird eine Veröffentlichung dieser angedroht. Dies ist vor allem dann problematisch, wenn es sich um sensitive (z.B. Finanzdaten, Intellectual Property) oder persönliche Daten (z.B. Kundeninformationen) handelt.

Auf der Basis eines solchen Datendiebstahls kann ebenfalls eine Triple-Extortion angestrebt werden. Falls persönliche Daten enthalten sind, werden zusätzlich die betroffenen Personen erpresst. Dabei kann es sich sowohl im Mitarbeiter als auch Kunden handeln. Problematische Beziehungen (z.B. zu Banken) oder kompromittierende Informationen (z.B. Patientendaten) lassen sich nutzen, um die Daten zu Geld zu machen. Die angedrohte Veröffentlichung der Daten geschieht auf den Data Leak Sites der Ransomware-Gangs, in Foren für Datenhandel, auf Filesharing-Plattformen oder durch öffentliche Torrents.

Data Leak Blog, Screenshot von bleepingcomputer.com

Phase 1: Entdeckung der Ransomware

Als erstes gilt es einen Ransomware-Befall zu entdecken. Dies geschieht im Idealfall durch bestehende und funktionierende technische Hilfsmittel. Dazu gehören typischerweise:

Ransomware wird grösstenteils mit Standard-Produkten umgesetzt, die durch entsprechende Sicherheits-Lösungen wie AV, FW, und IDS erkennt werden können. Falls zudem eine Exfiltration unüblich grosser Datenmengen stattfindet, können DLP, Logging und Monitoring anschlagen. Falls solche Mechanismen nicht vorhanden, fehlerhaft implementiert oder falsch konfiguriert sind, kann eine Entdeckung ausbleiben, wodurch eine Kompromittierung erst möglich wird. Einzelne oder gar alle diese Mechanismen gelten jedoch in der heutigen Zeit als Good Practice.

Warnmeldung von WannaCry

Nachdem eine Ransomware die Infektion, Rechteausweitung, Kompromittierung und Exfiltration der Daten erfolgreich umgesetzt hat, macht sie sich in der Regel bemerkbar. Dies geschieht typischerweise durch eine Meldung auf dem Bildschirm der betroffenen Systeme. Manche Ransomware-Gangs pflegen aber auch Kontakt per Email zu den Opfern aufzunehmen.

Phase 2: Umgang mit den Erpressern

In jedem Fall gilt es, mindestens zu Beginn, den Kontakt und Austausch mit den Erpressern zu vermeiden. Eine Reaktion jeglicher Art sollte ausbleiben. Dazu gehört ebenfalls ein freundliches: “Vielen Dank, wir klären ab und melden uns wieder.”

Es geht darum, dass die Täterschaft vorerst nicht weiss, ob die Infektion wirklich erfolgreich war, diese einen konkreten Schaden verursachen konnte, ihr Anliegen der Erpressung und diese als konkrete Bedrohung wirklich wahrgenommen wurde. Dadurch kann zeit gewonnen sowie die Täter zu weiteren Abklärungen und einer erneuten Kontaktaufnahme gezwungen werden.

Die gewonnene Zeit kann für das Ausarbeiten und Umsetzen weiterer Massnahmen genutzt werden. Zudem macht eine zähe Kommunikation das Opfer zu einem weniger lohnenden Angriffsziel. Die Täter müssen ein Mehr an Aufwand investieren, um an ihr Ziel zu kommen. Im Sinne der Wirtschaftlichkeit wünschen sie sich jedoch Verhandlungspartner, die zügig und unkompliziert kooperieren.

Dabei ist aber wichtig sicher zu sein, dass man die Möglichkeiten der Ransomware und die bisher durchgeführten Kompromittierungsschritte zweifelsfrei nachvollziehen kann. Durch das Auswerten der Logs für Dateizugriffe und Netzwerkübertragungen muss nachgewiesen werden können, dass keine Exfiltration von Daten durchgeführt wurde. Dadurch kann das Risiko einer Double- oder Triple-Extortion verhindert werden. Falls sich eine solche abzeichnet, wird je nachdem dennoch ein Austausch mit den Erpressern erforderlich.

Von einer Zahlung sollte stets abgesehen werden. Wenn eine solche ausgeführt wird, kann im Idealfall die Erpressung beendet sein. Es ist aber nicht ausgeschlossen, dass eine solche nur aufgeschoben und stattdessen in absehbarer Zeit eine neue Forderung gestellt wird. Im Gegensatz kann bei einer Geiselnahme durch einen Austausch die konkrete Gefahr für Leib und Leben der Geisel aufgehoben werden. Bei Verschlüsselung und Datendiebstahl ist man sich – mindestens vorerst – nicht sicher, ob bei einer Zahlung die Gefahr wirklich nachhaltig gebannt wurde: Ist das System nicht doch noch infiziert, werden die Kopien der gestohlenen Daten wirklich vernichtet, wird von einem Gang zu den Medien abgesehen? In den meisten Fällen ist die Gefahr nicht gebannt und kann auch nicht mit absoluter Gewissheit als solche gewährleistet werden. Durch eine Zahlung zeigt man sich in erster Linie willig, auf Forderungen einzugehen.

Zahlungen sind nur dann anzuraten, wenn durch diese zwingend benötigte Zeit gewonnen werden kann. Also wenn sich das Zeitfenster für eine Vernichtung oder Veröffentlichung der Daten schliesst, man aber nachhaltige Massnahmen noch nicht umfangreich etablieren konnte. Eine Lösegeldzahlung muss immer in einem weitreichenden Plan eingebettet sein. In den USA wird gegenwärtig diskutiert, ob Ransomware-Zahlungen unter Strafe gestellt werden sollen.

Die meisten Ransomware-Gangs arbeiten zuverlässig, wenn es um Zahlungen und damit erkaufte Datenfreigaben handelt. Wird nämlich bekannt, dass eine getätigte Zahlung die Drohungen nicht abwenden kann, pulverisiert sich unmittelbar ihr Geschäftsmodell. Denn niemand wird von nun an mehr gewillt sein, solche Zahlungen ohne Gegenwert vorzunehmen.

Die defensive Cybersecurity-Community ist stets darum bemüht, durch ein Reverse Engineering der Ransomware ihre Funktionsweise verstehen und eigene Decryption-Keys generieren zu können. Es ist nicht unüblich, dass nach Wochen oder spätestens Monaten für bekannte Ransomware-Familien entsprechende Decryption-Keys eigenmächtig erstellt werden.

Phase 3: Alarmierung der Behörden

Einzelne Ransomware-Gangs drohen damit, konkrete Schäden anzurichten, falls die Behörden oder Cybersecurity-Firmen hinzugezogen werden. Entsprechend ist ein diskretes und zielgerichtetes Vorgehen angeraten.

Spätestens wenn sich eine Infektion als Erpressungsversuch offenbart, müssen die entsprechenden Stellen informiert werden. Die Cybersecurity-Abteilung des Unternehmens sollte sich mit dem Nationalen Zentrum für Cybersicherheit (NCSC) in der Schweiz oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland in Verbindung setzen.

Diese sind in der Regel um laufende Ransomware-Kampagnen informiert, können die Situation und Täterschaft einschätzen. Durch sie kann ein Coaching erfolgen, wie auf technischer und verhandlungstechnischer Ebene vorgegangen werden soll. Externe Cybersecurity-Firmen sollten beigezogen werden, um die empfohlene Vorgehensweise professionel umsetzen zu können.

Zudem sollte zu einem späteren Zeitpunkt (erst wenn Phase 4 erfolgreich angelaufen ist) eine Anzeige bei der Polizei erstattet werden. Dies kann regulär bei einem Polizeiposten gemacht werden. Lassen Sie sich nicht durch die Beamten entmutigen, dass eine solche Anzeige sinnlos sei und keine Resultate zu Tage fördern wird. Das Befolgen dieser Rechtsbelehrung hilft in erster Linie den Tätern. Das Aufgeben einer Anzeige gegen Unbekannt ist an keine Voraussetzungen geknüpft. Sie kann ebenso erforderlich werden, um beispielsweise von der Deckung durch eine Cyberversicherung Gebrauch machen zu können.

Phase 4: Umsetzen technischer Massnahmen

Eine Ransomware-Erpressung kann nur funktionieren, wenn sich diese auf technischer Ebene erfolgreich manifestieren konnte. Entsprechend wird es unmittelbar wichtig, dass ihr auf technischer Ebene entgegnet werden kann.

Als erstes muss eine Identifikation der Malware-Familie, ihrer Funktionsweise und Möglichkeiten umgesetzt werden. Viele Ransomware-Produkte weisen sich mit eindeutigen Namen aus. Durch eine Internet-Recherche lässt sich unkompliziert herausfinden, was diese genau macht. Dabei ist es nicht unüblich, dass eine Malware durch die verschiedenen Antiviren-Hersteller unterschiedliche Namen mitgegeben wird.

Durch die Identifikation lässt sich ableiten, welcher Schaden besteht oder droht: Was und wie wird etwas tangiert? Die betroffenen Systeme und Daten lassen sich meist schnell ausfindig machen. Nun gilt es zu entscheiden, welcher Wert diesen Daten beigemessen werden soll. Falls sie nicht erforderlich oder leicht ersetzbar sind, wird der direkte Umgang mit den Erpressern nicht mehr erforderlich sein. Es ist anzuraten, dass ein durchdachtes Backup-Konzept zum Tragen kommt, bei dem im Idealfall ein Offline-Backup mitberücksichtigt wird.

In jedem Fall muss herausgefunden werden, wie die Infektion und Kompromittierung stattfinden konnte. Welche Systeme sind betroffen, wie wurde die Ransomware eingeschleust. Oftmals sind es fehlende Patches, Fehlkonfigurationen oder Fehlmanipulationen durch Benutzer (z.B. Öffnen eines Mail-Attachments oder Einstecken eines infizierten USB-Sticks). Die identifizierten Lücken müssen geschlossen werden, um eine erneute und zukünftige Kompromittierung ausschliessen zu können. Falls infizierte Systeme über einen Wurm die umliegenden Systeme im gleichen Netzwerk infizieren, müssen die betroffenen Systeme isoliert (vom Netz getrennt) werden.

Die beeinträchtigen Komponenten, namentlich die veränderten bzw. verschlüsselten Daten, sollten gerettet werden. Am einfachsten kann dies durch das Wiederherstellen eines zuvor erstellen Backups geschehen. Dabei gilt es darauf zu achten, dass ein einwandfreies Backup eingespielt wurde, das nicht schon kompromittiert werden konnte. Dadurch kann der normale Betriebszustand wieder hergestellt werden.

Phase 5: Bekanntmachung des Zwischenfalls

In einem letzten Schritt muss sich um die Kommunikation des Vorfalls gekümmert werden. Gesetzliche Bestimmungen können es erforderlich machen, dass Behörden und/oder Kunden innert einer vordefinierten Zeitspanne über den Zwischenfall informiert werden müssen. Namentlich steuert dies das Bundesgesetz über den Datenschutz (DSG) in der Schweiz sowie die Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Falls eine solche Benachrichtigung ausbleibt, können rechtliche Aufwände und finanzielle Schäden drohen.

Mit einer auf Datenschutz spezialisierten Anwaltskanzlei muss eine Bewertung der tangierten Daten erfolgen, um die rechtlichen Reaktionen bestimmen und planen zu können. Die Kommunikation mit den betroffenen Kunden muss zeitnah und ehrlich erfolgen. Diese Leute sind auf Grund des Verschuldens des Anbieters zu Schaden gekommen oder sehen sich zukünftigen Gefahren des Datenmissbrauchs ausgesetzt. Sie durch marketinggetriebene Floskeln zu verärgern wird zu Vertrauensverlust und Unmut führen. Behaupten Sie nie, dass persönliche Daten nicht wirklich sensitiv seien. Ihre Kunden werden das definitiv anders sehen.

Art. 33 Abs. 1 DSGVO sieht eine Dokumentation und Meldung an die zuständige Aufsichtsbehörde vor. Bei einem Risiko für “Rechte und Freiheit” hat dies innerhalb von 72 Stunden zu erfolgen. Art. 34 Abs. 1 DSGVO regelt, dass Kunden ebenfalls informiert werden müssen. Tangiert es ihre “Rechte und Freiheit”, dann muss dies unverzüglich geschehen. Und laut Art. 34 Abs. 2c DSGVO hat gar eine öffentliche Bekanntmachung zu erfolgen. Falls die Vorgaben der DSGVO nicht eingehalten werden, kommen Art. 58 Abs. 2 sowie Art. 83 DSGVO zum Tragen. Säumige werden dann mit einer Strafe bis zu 20 Millionen Euro oder 4% des Umsatzes des Vorjahres, es wird der höhere Richtwert als Ausgangslage genommen, belegt.

Von einer aktiven Bekanntmachung des Zwischenfalls in den Medien ist bei fehlendem öffentlichen Interesse nach Möglichkeiten abzusehen. Dabei geht man jedoch das Risiko ein, dass wenn der Fall anderweitig an die Öffentlichkeit getragen wird, die Krisenkommunikation in Frage gestellt wird. Das gleiche Prinzip der ehrlichen Kommunikation muss also auch im Umgang mit den Medien befolgt werden. Statements müssen professionell sein. Inhaltslose Floskeln, technische Fehleinschätzungen oder gar überhebliche Ignoranz werden zu einem nachhaltigen Reputationsschaden führen.

Es kann ein PR-Beratungsunternehmen beigezogen werden, das die Kommunikation vorantreibt. Dieses muss aber auf Krisenkommunikationen im IT-Bereich spezialisiert sein. Andernfalls können die zuvor skizzierten Anforderungen an die Professionalität bei weitem nicht erreicht werden. Schlechte Beispiele gab es in der Vergangenheit zu Hauf.

Es gilt immer zu bedenken, dass das betroffene Unternehmen mitschuldig am Zwischenfall ist. Es waren fehlende oder fehlerhafte Sicherheitsmassnahmen, die einen erfolgreichen Angriff erst ermöglicht haben. Art. 7 Abs. 1 DSG zeigt die Mitschuld klar auf:

Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.

Ob strategische, technische oder personelle Fehlbarkeiten zum Problem geführt haben, ist im Rahmen der Kommunikation nicht relevant. Diese aber abzustreiten und stattdessen der Täterschaft eine “nicht abwehrbare Professionalität” zu attestieren, kann und wird sowohl von Kunden als auch den Medien als Dreistigkeit wahrgenommen werden.

Stattdessen sollte man sich auf die Fakten fokussieren. Dabei sollte nur das kommuniziert werden, was für die Öffentlichkeit auch von Nutzen ist. Die Preisgabe von Informationen darf keinen Schaden für das Unternehmen mit sich führen. Falls zum Beispiel eine Lösegeldzahlung geleistet wurde, darf diese unter keinen Umständen bekannt werden. Falls sie an die Öffentlichkeit dringt, wird man zu einem lohnenden Ziel für Nachahmungstäter.

Fazit

Ransomware-Attacken sind eine drohende Gefahr, die sich als lukratives Geschäftsmodell etablieren konnte. Komplexitäten und Abhängigkeiten führen zu einer Zunahme entsprechende Kompromittierungen. Dabei ist es wichtig, anhand des geschilderten 5-Phasen-Plans vorzugehen, um zu jeden Zeitpunkt eine weitsichtige und damit professionelle Vorgehensweise verfolgen zu können. Dies beginnt bei der technischen Analyse der Ransomware und endet bei der Kommunikation mit Kunden und Medien. Strategische und taktische Fehler können sich rächen und zu einem Mehr an Schaden führen.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Hochschulen, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Datenmärkte

Datenmärkte

Marc Ruef

Password Leak Analyse

Password Leak Analyse

Marc Ruef

MITRE ATT&CK

MITRE ATT&CK

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv