Über den Autor Nir Gaist, Gründer und CTO von Nyotron, hat mit einigen der größten israelischen Organisationen zusammengearbeitet, das Cybersicherheitsprogramm für das israelische Bildungsministerium zusammengestellt und hält Patente für die Kartierung von Verhaltensmustern. Ransomware stellt seit langem eine Bedrohung für Unternehmen und Verbraucher dar. Die globalen Schadenskosten werden auf etwa 10 Milliarden Euro pro Jahr geschätzt. Warum ist Ransomware nach all den Jahren immer noch so gut, so schlecht zu sein? Die Antwort ist eine Kombination aus den vielen ineffektiven Reaktionen der Sicherheitsbranche auf Ransomware-Software und der Art und Weise, wie Entwickler von Ransomware-Software die Psychologie nutzen, um Benutzern den Eindruck zu vermitteln, sie würden auf Anfragen von Kollegen reagieren oder sogar . Bitcoins an Kinderhilfswerke. Ransomware ist seit 1989 weder neu noch unbekannt, dennoch ist sie nach wie vor eine der häufigsten und effektivsten Angriffsarten. Berichten zufolge gab es in den ersten sechs Monaten des Jahres 180 mehr als 2018 Millionen Ransomware-Angriffe. Die Einführung von Kryptowährungen und Tor hat die Verbreitung von Ransomware dramatisch erhöht. „Obwohl Milliarden und Abermilliarden Dollar in Cybersicherheit investiert wurden und Unternehmen jahrzehntelang Firewalls und Antivirenlösungen eingesetzt haben, ist Ransomware weiterhin erfolgreich. Verstehen Sie, warum wir sehen müssen, wie Malware funktioniert und warum unsere bestehenden Kontrollmethoden versagen.“ Alle 14 Sekunden Eine Organisation irgendwo auf der Welt wird Opfer eines Ransomware-Angriffs. Allerdings haben böswillige Akteure kein eng begrenztes Ziel und zielen in der Regel auf mehrere Organisationen und Benutzer gleichzeitig ab. Denken Sie zum Beispiel an den weltweiten WannaCry-Angriff, der einen Schaden von fast 4 Milliarden Euro verursachte.
Wie Ransomware funktioniert
Die Details darüber, wie ein Angriff in ein System oder eine Organisation gelangt, also sein „Angriffsvektor“, sind irrelevant. Dabei kann es sich um Phishing, exponiertes RDP oder jede andere Möglichkeit handeln, die von Ransomware-Softwareentwicklern ausgenutzt wird. Sehen wir uns an, was passiert, wenn Ransomware-Software tatsächlich mit Ihrem Dateisystem interagiert und die Daten verschlüsselt. Zunächst lokalisieren die Ransomware-Prozesse die Dateien, die sie verschlüsseln möchten. Meistens basieren sie auf Dateierweiterungen und zielen auf Ihre wertvollsten Ressourcen wie Microsoft Office-Dokumente oder Fotos ab, während die Betriebssystemdateien intakt bleiben, um den Dateistart sicherzustellen. System. Anschließend verschlüsselt die Schadsoftware diese Daten im Speicher und zerstört die Originaldatei. Eine Möglichkeit, Ransomware zu kompromittieren, besteht darin, die verschlüsselten Daten in einer neuen Datei zu sichern und dann das Original zu löschen. Eine andere und wahrscheinlich einfachste Möglichkeit besteht darin, diese verschlüsselten Daten in die Originaldatei zu schreiben. In diesem Fall bleibt der ursprüngliche Dateiname erhalten, was die Wiederherstellung erschwert, da es schwierig ist, zwischen verschlüsselten und unverschlüsselten Dateien zu unterscheiden. Eine dritte Methode besteht darin, dass die Ransomware-Software eine neue Datei erstellt, wie bei der ersten Option, aber anstelle des Löschvorgangs verwendet sie Umbenennen, um die Originaldatei zu ersetzen. Sobald der Verschlüsselungsvorgang abgeschlossen ist, wird der berühmte Ransomware-Hinweis angezeigt. Wir kennen diesen Teil der Geschichte nur zu gut aus der Berichterstattung.
(Bild: © Bildnachweis: Geralt / Pixabay)
Der Sicherheitsbranche fehlt es
Nachdem Sie nun verstanden haben, wie Ransomware-Software mit Dateien interagiert, um die Originale zu verschlüsseln und zu zerstören, werfen wir einen Blick auf die fünf gängigsten Lösungen der Sicherheitsbranche, um diese Angriffe zu vereiteln. Leider hat keines von ihnen eine dauerhafte Wirksamkeit gezeigt. Erstens: Statisches Dateiscannen – Dieselbe Technik, die zum Erkennen von Malware in Antiviren-, Anti-Malware- oder EPP-Produkten verwendet wird. Diese Produkte suchen nach bekannten bösartigen Code-Verhaltensweisen, Sequenzen oder Zeichenfolgen, wie z. B. Listen gängiger Zieldateierweiterungen, sowie nach häufig verwendeten Wörtern, die häufig in Lösegeldforderungen vorkommen (z. B. Bitcoin, Verschlüsselung usw.). Dabei handelt es sich um eine Methode zur Erkennung von Schadcode auf Basis von Signaturen und maschinellem Lernen. Dieser Ansatz hat einige Vorteile, wie z. B. die Generierung niedriger Falsch-Positiv-Raten (FP). Es kommt selten vor, dass ein signaturbasiertes Antivirenprogramm eine harmlose Datei als bösartig meldet, was wichtig ist, da Sicherheitsexperten mit Fehlalarmen überhäuft werden und unter Ermüdung leiden. Ein weiterer sehr wichtiger Punkt ist, dass diese Technik nicht auf die Ausführung der Ransomware wartet, sondern den Angriff vor der Ausführung stoppt, sodass nichts unternommen wird und keine Dateien verschlüsselt werden.
Bildquelle: Shutterstock (Bild: © Bildquelle: Andriano.cz / Shutterstock) Allerdings ist die statische Analyse für Angreifer zu einfach zu beheben. Autoren bösartiger Software nutzen Softwarekomprimierung, Verschlüsselung und andere Tools, um ihre Signaturen zu verbergen und zu ändern. In der Branche ist bekannt, dass die Wirksamkeit der meisten modernen Antivirenlösungen und Antivirenprogramme der neuen Generation etwa 50 bis 80 % beträgt, was bedeutet, dass fast die Hälfte der Angriffe unentdeckt bleibt. Das Forschungsteam von Nyotron hat kürzlich eine Studie zur Wirksamkeit führender Antivirenprogramme durchgeführt, und zwar nicht gegen neue fortgeschrittene Angriffe, sondern gegen alte bekannte Malware-Programme, die es schon seit Jahren (und in manchen Fällen schon seit einigen Jahren) gibt. Jahrzehnte). Die verschiedenen Tests, die wir durchgeführt haben, umfassen eine einfache Modifikation einer alten Malware, um die Signatur leicht zu modifizieren. Das Ergebnis: eine drastische Reduzierung der Erkennungseffizienz, die teilweise bis zu 60 % betrug. Auch hier handelt es sich um bekannte alte Malware. Eine zweite Technik basiert auf der schwarzen Liste von Dateierweiterungen, die Ransomware normalerweise verwendet und verschlüsselten Dateien zuweist. Die Vorteile ähneln denen des Standes der Technik: niedrige Falsch-Positiv-Rate und die Möglichkeit, die Ransomware-Verschlüsselung sofort zu stoppen; Es entsteht kein Schaden und es werden keine Dateien verschlüsselt. Es ist jedoch auch leicht zu beheben. Das Einzige, was Ransomware finden muss, ist eine neue Dateierweiterung oder eine zufällige Dateierweiterung. Beispielsweise verwendeten die Varianten CryptXXX und Cryptowall zufällige Erweiterungen anstelle einer bestimmten Erweiterung. Alternativ behält Ransomware möglicherweise die ursprünglichen Dateinamen mit den ursprünglichen Erweiterungen bei. Eine dritte Technik besteht darin, sogenannte „Honey Pot-Dateien“ zu verwenden, um Angreifer dazu zu verleiten, Dateien zu starten und zu überwachen, wie Angreifer versuchen, sie zu ändern. Sobald sie getroffen werden, gilt dies als Angriff. Es hat jedoch einige Nachteile, darunter:
- Da sowohl andere Tools als auch Benutzer diese Köderdateien berühren können, besteht die Möglichkeit, dass FPs
- Darüber hinaus lässt sich nicht jeder Schaden verhindern, da wahrscheinlich viele Dateien verschlüsselt werden, bis eine Ransomware-Software diese Täuschungsdateien angreift.
- Und natürlich versucht Ransomware möglicherweise einfach, den Zugriff auf diese Dateien zu vermeiden, indem sie beispielsweise versteckte Dateien/Ordner ignoriert (diese sind in der Regel Täuschungsmanöver).
(Bild: © Bildnachweis: Markus Spiske / Unsplash) Einige Dateien werden jedoch verschlüsselt, bis das definierte Limit überschritten wird. Malware kann diese Erkennungsmethode auch mithilfe eines „langsam und langsam“-Ansatzes umgehen, z. B. indem sie Verzögerungen zwischen Verschlüsselungen hinzufügt oder mehrere Verschlüsselungsprozesse in Gang setzt. Die fünfte bemerkenswerte Methode ist die Verfolgung der Änderungsrate der Dateidaten. Das Sicherheitsprodukt führt eine Entropieberechnung durch, um die Zufälligkeit der Daten in einer Datei zu messen. Und genau wie bei der vorherigen Methode gilt der fehlerhafte Prozess nach Erkennung eines bestimmten Änderungsschwellenwerts als bösartig und wird gestoppt. Diese Methode hat weniger FP als die oben genannten dynamischen Techniken. Zu den Nachteilen gehört die Tatsache, dass Dateien verschlüsselt werden, bis ein gewisses Maß an Vertrauen erreicht ist, sodass nicht jeder Schaden blockiert wird. Darüber hinaus kann diese Technik vermieden werden, indem nur Teile von Dateien oder verschlüsselte Teile verschlüsselt werden. Darüber hinaus kann der Einsatz verschiedener Verschlüsselungsverfahren eine wirksame Fluchttechnik sein. „Die meisten modernen Sicherheitsprodukte versuchen, eine Kombination einiger, wenn nicht sogar der meisten dieser Techniken zu nutzen, um ihre Wirksamkeit mit unterschiedlichem Erfolg zu steigern. Aber wenn man sich einige der neueren Beispiele von Ransomware in freier Wildbahn anschaut, sehen wir Sehen Sie, warum sich keiner dieser Ansätze als effektiv erwiesen hat.“ CryptoMix oder seine neuere Variante, CryptoMix, ist nicht allzu dramatisch in Bezug auf die Technologie selbst, obwohl sie eines der wichtigsten auf unserem Client installierten Antivirenprodukte umgangen hat. Allerdings zeichnet sich CryptoMix dadurch aus, dass Angreifer die Chancen erhöhen, dass ihre Opfer ein Lösegeld zahlen. Sie geben an, einer Wohltätigkeitsorganisation anzugehören, die kranken Kindern hilft, etwa der International Children's Charity. Sie haben sogar Profile von echten bedürftigen Kindern und hoffen, dass die Opfer eher zahlen, wenn sie glauben, dass ein Teil davon an wohltätige Zwecke geht. Ich versichere Ihnen, dass es kein Geld gibt, das tatsächlich an die Kinder geht. Teuflisch!
(Bild: © Bildnachweis: TheDigitalArtist/Pixabay) LockerGoga ist die Ransomware, die die Produktion in mindestens einer der Anlagen von Norsk Hydro stoppt, was zu einem geschätzten Verlust von 40 Millionen Euro führt. Berichten zufolge wurde bei Norsk Hydro eine neue Generation von Antivirenprogrammen installiert, aber LockerGoga konnte dies verhindern. Es nutzte die Methode, mehrere Prozesse zu erzeugen, um Dateien zu verschlüsseln und Sicherheitsprodukte zu umgehen. Dies bedeutet, dass selbst wenn ein Prozess die Köderdateien berührt oder durch eine Ransomware-Erkennungstechnik unterbrochen wird, die anderen weiterhin verschlüsseln. Mindestens ein LockerGoga-Beispiel verwendete sogar eine gültige digitale Signatur, was es für statische Analysetechniken zuverlässiger macht. Die Verschlüsselung selbst war sehr langsam, aber möglicherweise blieb sie gerade deshalb lange genug unentdeckt, um erheblichen Schaden anzurichten. Chimera ist keine neue Ransomware, aber sie ist dennoch einzigartig, da sie behauptet, dass die Angreifer vertrauliche Daten, einschließlich Fotos und Videos, mit ihren Kontaktinformationen über das Internet veröffentlichen, wenn das Opfer nicht zahlt. Unabhängig davon, wer Sie sind und welche Daten Sie haben, kann dies dazu führen, dass Sie zahlen. Natürlich ist keine Ransomware-Liste vollständig ohne WannaCry. Schließlich handelt es sich um die wohl bekannteste Ransomware-Software, die rund 150 Länder und Hunderttausende Systeme befallen und einen wirtschaftlichen Gesamtschaden von schätzungsweise 4 Milliarden Euro verursacht hat. Was WannaCry noch frustrierender macht, ist die Tatsache, dass es vollständig vermeidbar war. Das Einzige, was Sie tun können, um auf der sicheren Seite zu sein, besteht darin, Ihre Betriebssysteme und die neuesten Patches auf den neuesten Stand zu bringen. Microsoft hat den Patch gegen die zugrunde liegende Sicherheitslücke fast zwei Monate vor dem Angriff veröffentlicht.
(Bild: © Bildnachweis: Pixabay)