Über den Autor Nir Gaist, Nyotron-Gründer und CTO, hat mit einigen der größten israelischen Organisationen zusammengearbeitet, das Cybersicherheitsprogramm für das israelische Bildungsministerium entwickelt und hält Patente für die Kartierung von Verhaltensmustern.
Ransomware ist seit langem eine Bedrohung für Organisationen und Verbraucher. Die Kosten für globale Schäden werden auf rund 10 Milliarden Euro pro Jahr geschätzt. Warum sind Lösegeld nach all den Jahren immer noch so gut, um so schlecht zu sein? Die Antwort ist eine Kombination aus den vielen ineffizienten Antworten der Sicherheitsbranche auf Ransomware-Software und der Art und Weise, wie Ransomware-Softwareentwickler die Psychologie verwenden, um Benutzer glauben zu lassen, dass sie auf Anfragen von Kollegen reagieren oder sogar geben. Bitcoins für Kinderhilfswerke.
Ransomware ist seit 1989 weder neu noch unbekannt, bleibt jedoch eine der häufigsten und effektivsten Arten von Angriffen. Berichten zufolge sind in den ersten sechs Monaten des Jahres 180 über 2018 Millionen Ransomware-Angriffe aufgetreten. Die Einführung von Kryptowährungen und Tor hat die Verbreitung von Ransomware dramatisch erhöht.
"Selbst mit Milliarden und Abermilliarden Dollar, die in Cybersicherheit investiert werden, und jahrzehntelangen Unternehmen, die Firewalls und Antivirenlösungen implementieren, ist Ransomware immer noch erfolgreich. Verstehen Sie, warum wir sehen müssen, wie Malware funktioniert und warum unsere vorhandenen Kontrollmethoden fehlschlagen."
Alle 14 Sekunden wird eine Organisation irgendwo auf der Welt von einem Ransomware-Angriff getroffen. Schlechte Akteure zielen jedoch nicht eng auf mehrere Organisationen und Benutzer gleichzeitig ab. Denken Sie zum Beispiel an den globalen WannaCry-Angriff, der zu Verlusten von fast 4 Milliarden Euro führte.
Wie Ransomware funktioniert
Die Details, wie ein Angriff in ein System oder eine Organisation eintritt, dh sein "Angriffsvektor", sind irrelevant. Dies kann Phishing, exponiertes RDP oder eine andere Möglichkeit sein, die von Entwicklern von Ransomware-Software ausgenutzt wird.
Mal sehen, was passiert, wenn Ransomware-Software tatsächlich mit Ihrem Dateisystem interagiert und Ihre Daten verschlüsselt. Zunächst suchen die Ransomware-Prozesse die Dateien, die Sie verschlüsseln möchten. Meistens basieren sie auf Dateierweiterungen und zielen auf Ihre wertvollsten Ressourcen wie Microsoft Office-Dokumente oder -Fotos ab, während die Betriebssystemdateien intakt bleiben, um sicherzustellen, dass die Datei gestartet wird. System. Die Malware verschlüsselt diese Daten dann im Speicher und zerstört die Originaldatei.
Eine Möglichkeit, Ransomware-Kompromisse einzugehen, besteht darin, die verschlüsselten Daten in einer neuen Datei zu sichern und dann das Original zu löschen.
Eine andere und wahrscheinlich einfachste Option besteht darin, diese verschlüsselten Daten in die Originaldatei zu schreiben. In diesem Fall bleibt der ursprüngliche Dateiname erhalten, was die Wiederherstellung erschwert, da es schwierig ist, zwischen verschlüsselten und unverschlüsselten Dateien zu unterscheiden.
Eine dritte Methode besteht darin, dass die Ransomware-Software wie in der ersten Option eine neue Datei erstellt. Verwenden Sie jedoch anstelle des Löschvorgangs die Umbenennung, um die Originaldatei zu ersetzen.
Sobald der Verschlüsselungsprozess abgeschlossen ist, wird der berühmte Ransomware-Hinweis angezeigt. Wir kennen diesen Teil der Geschichte sehr gut durch Berichterstattung.
(Bild: © Bildnachweis: Geralt / Pixabay)
Der Sicherheitsbranche fehlt
Nachdem Sie nun verstanden haben, wie Ransomware-Software mit Dateien interagiert, um die Originale zu verschlüsseln und zu zerstören, werfen wir einen Blick auf die fünf gängigsten Lösungen der Sicherheitsbranche, um diese Angriffe zu verhindern. Leider hat keiner von ihnen eine gleichbleibende Wirksamkeit gezeigt.
Zuallererst: statisches Scannen von Dateien - dieselbe Technik, die zum Erkennen von Malware in Antiviren-, Antimalware- oder EPP-Produkten verwendet wird. Diese Produkte suchen nach bösartigem Codeverhalten, bekannten Sequenzen oder Zeichenfolgen, z. B. nach Listen gängiger Zieldateierweiterungen sowie nach häufig verwendeten Wörtern, die häufig in Lösegeldnotizen enthalten sind (z. B. Bitcoin, Verschlüsselung usw.). Es ist eine signaturbasierte und maschinelle Lernerkennungsmethode für bösartigen Code.
Dieser Ansatz hat einige Vorteile, wie beispielsweise die Erzeugung niedriger Falsch-Positiv-Raten (FP). Es ist selten, dass ein signaturbasiertes Antivirenprogramm eine harmlose Datei als bösartig meldet. Dies ist wichtig, da Sicherheitsexperten von Fehlalarmen überfordert sind und unter Müdigkeit leiden. Ein weiterer sehr wichtiger Punkt ist, dass diese Technik nicht auf die Ausführung der Ransomware wartet, sondern den Angriff stoppt, bevor er ausgeführt wird, sodass nichts unternommen und keine Dateien verschlüsselt werden.
Bildnachweis: Shutterstock
(Bild: © Bildnachweis: Andriano.cz / Shutterstock)
Die statische Analyse ist jedoch für Angreifer zu einfach zu beheben. Autoren bösartiger Software verwenden Komprimierung, Verschlüsselung und andere Tools, um ihre Signaturen auszublenden und zu ändern. In der Branche ist bekannt, dass die Wirksamkeit der meisten modernen Antivirenlösungen und Antivirenprogramme der neuen Generation zwischen 50% und 80% liegt, was bedeutet, dass fast die Hälfte der Angriffe unentdeckt bleibt.
Das Forschungsteam von Nyotron hat kürzlich eine Studie zur Wirksamkeit wichtiger Antivirenprogramme durchgeführt, nicht gegen neue fortgeschrittene Angriffe, sondern gegen alte bekannte Malware-Programme, die es schon seit Jahren (und in einigen Fällen seit einigen Jahren) gibt. Jahrzehnte). Die verschiedenen Tests, die wir durchgeführt haben, umfassen eine einfache Änderung einer alten Malware, um die Signatur geringfügig zu ändern. Das Ergebnis: eine drastische Reduzierung der Detektionseffizienz, die in einigen Fällen auf 60% reduziert wurde. Auch dies ist alte Malware bekannt.
Eine zweite Technik basiert auf der schwarzen Liste von Dateierweiterungen, die Ransomware im Allgemeinen verwendet und verschlüsselten Dateien zuweist. Die Vorteile sind ähnlich wie beim Stand der Technik: niedrige Falsch-Positiv-Rate und Fähigkeit, die Verschlüsselung von Ransomware sofort zu stoppen; Es tritt kein Schaden auf und es werden keine Dateien verschlüsselt.
Es ist jedoch auch leicht zu beheben. Das einzige, was Ransomware finden muss, ist eine neue Dateierweiterung oder eine zufällige Dateierweiterung. Beispielsweise verwendeten die Varianten CryptXXX und Cryptowall zufällige Erweiterungen anstelle einer bestimmten Erweiterung. Alternativ kann Ransomware die ursprünglichen Dateinamen mit den ursprünglichen Erweiterungen beibehalten.
Eine dritte Technik besteht darin, sogenannte "Honey Pot-Dateien" zu verwenden, um Angreifer zu täuschen, indem Dateien gestartet und überwacht werden, wie Angreifer versuchen, sie zu ändern. Sobald sie getroffen werden, wird dies als Angriff betrachtet. Es hat jedoch einige Nachteile, darunter:
- Da andere Tools sowie Benutzer diese Köderdateien berühren können, besteht die Möglichkeit, dass FPs
- Außerdem werden nicht alle Schäden vermieden, da wahrscheinlich viele Dateien verschlüsselt werden, bis diese Täuschungsdateien von Ransomware-Software berührt werden.
- Und natürlich kann Ransomware einfach versuchen, das Berühren dieser Dateien zu vermeiden, indem sie beispielsweise versteckte Dateien / Ordner ignoriert (dies sind diejenigen, die dazu neigen, Täuschkörper zu sein).
Die vierte Erkennungstechnik besteht darin, das Dateisystem über einen bestimmten Zeitraum hinweg auf umfangreiche Dateivorgänge wie das Umbenennen, Schreiben oder Löschen zu überwachen. Wenn ein definierter Schwellenwert überschritten wird, wird der Prozess beendet. Der Vorteil hierbei ist, dass es nicht auf einer bestimmten Dateisignatur oder -erweiterung basiert, sondern auf abnormalen Aktivitäten, die normalerweise mit Ransomware verbunden sind.
(Bild: © Bildnachweis: Markus Spiske / Unsplash)
Einige Dateien werden jedoch verschlüsselt, bis das definierte Limit überschritten wird. Malware kann diese Erkennungsmethode auch mithilfe eines "langsamen und langsamen" Ansatzes umgehen, z. B. durch Hinzufügen von Verzögerungen zwischen Verschlüsselungen oder durch Generieren mehrerer Verschlüsselungsprozesse.
Die fünfte bemerkenswerte Methode ist die Verfolgung der Änderungsrate der Daten in der Datei. Das Sicherheitsprodukt führt eine Entropieberechnung durch, um die Zufälligkeit der Daten in einer Datei zu messen. Und wie bei der vorherigen Methode wird der störende Prozess nach dem Erkennen einer bestimmten Änderungsschwelle als böswillig angesehen und gestoppt.
Dieses Verfahren hat weniger FP als die oben erwähnten dynamischen Techniken. Zu den Nachteilen gehört die Tatsache, dass Dateien verschlüsselt werden, bis eine Vertrauensstufe erreicht ist, damit nicht alle Beschädigungen blockiert werden. Darüber hinaus kann diese Technik vermieden werden, indem nur Teile von Dateien oder verschlüsselte Teile verschlüsselt werden. Darüber hinaus kann die Verwendung verschiedener Verschlüsselungsprozesse eine effektive Fluchttechnik sein.
"Die meisten modernen Sicherheitsprodukte versuchen, eine Kombination einiger, wenn nicht der meisten dieser Techniken zu nutzen, um ihre Wirksamkeit bei unterschiedlichem Erfolg zu steigern. Wenn Sie sich jedoch einige der neueren Beispiele für Ransomware in freier Wildbahn ansehen, sind wir es Sehen Sie, warum sich keiner dieser Ansätze als wirksam erwiesen hat. "
CryptoMix oder seine neuere Variante CryptoMix ist in Bezug auf die Technologie selbst nicht allzu dramatisch, obwohl eines der wichtigsten auf unserem Client installierten Antivirenprodukte übersehen wurde. CryptoMix zeichnet sich jedoch durch den Ansatz der Angreifer aus, die Chancen zu erhöhen, dass ihre Opfer ein Lösegeld zahlen.
Sie behaupten, einer Wohltätigkeitsorganisation anzugehören, die kranken Kindern hilft, wie der International Children's Charity Organization. Sie haben sogar Profile von tatsächlich bedürftigen Kindern, in der Hoffnung, dass die Opfer eher zahlen, wenn sie glauben, dass ein Prozentsatz für wohltätige Zwecke verwendet wird. Ich versichere Ihnen, dass es kein Geld gibt, das wirklich an Kinder geht. Teuflisch!
(Bild: © Bildnachweis: TheDigitalArtist / Pixabay)
LockerGoga ist die Ransomware, die die Produktion von mindestens einer der Installationen von Norsk Hydro stoppt, was zu einem geschätzten Verlust von 40 Millionen Euro führt. Berichten zufolge wurde in Norsk Hydro eine neue Generation von Antivirenprogrammen installiert, die jedoch von LockerGoga verhindert werden konnten. Es wurde die Methode zum Generieren mehrerer Prozesse verwendet, um Dateien zu verschlüsseln und Sicherheitsprodukte zu umgehen. Dies bedeutet, dass selbst wenn ein Prozess die Köderdateien berührt oder durch eine Ransomware-Erkennungstechnik unterbrochen wird, die anderen weiterhin verschlüsseln. Mindestens eine LockerGoga-Probe verwendete sogar eine gültige digitale Signatur, wodurch sie für statische Analysetechniken zuverlässiger wurde. Die Verschlüsselung selbst war sehr langsam, aber genau das konnte dazu führen, dass sie lange genug unentdeckt blieb, um erheblichen Schaden zu verursachen.
Chimera ist keine neue Ransomware, aber es bleibt einzigartig, dass die Angreifer vertrauliche Daten, einschließlich Fotos und Videos, mit ihren Kontaktinformationen über das Internet veröffentlichen, wenn das Opfer nicht zahlt. Unabhängig davon, wer Sie sind und welche Daten Sie haben, kann dies Sie dazu ermutigen, zu zahlen.
Natürlich ist ohne RannaCry keine Ransomware-Liste vollständig. Immerhin handelt es sich wahrscheinlich um die bekannteste Ransomware-Software, von der rund 150 Länder und Hunderttausende von Systemen betroffen sind und die einen wirtschaftlichen Gesamtverlust von schätzungsweise 4 Milliarden Euro verursacht.
Was WannaCry noch frustrierender macht, ist, dass es völlig vermeidbar war. Das einzige, was Sie tun können, um sicher zu sein, ist, sich über Ihre Betriebssysteme und die neuesten Patches zu informieren. Microsoft hat den Patch gegen die zugrunde liegende Sicherheitsanfälligkeit fast zwei Monate vor dem Angriff veröffentlicht.
(Bild: © Bildnachweis: Pixabay)
Verteidige dich gegen Ransomware
WannaCry lehrt eine wichtige Lektion für alle Organisationen: Bleiben Sie mit allen Korrekturen auf dem Laufenden.
"Ihr Unternehmen hat möglicherweise immer noch Probleme bei der Verwaltung seiner Kernressourcen. Mit anderen Worten, Sie wissen nicht, was Sie haben. Und wenn Sie nicht wissen, was Sie haben, wie können Sie es schützen?"
Implementieren Sie eine robuste Sicherungsstrategie. Möglicherweise haben Sie bereits einen, um Ihre Server entweder vor Ort oder in der Cloud zu schützen. Es ist jedoch wichtig zu wissen, dass Ihre Endsysteme ebenfalls gefährdet sind, da sich dort zumindest ein Teil des geistigen Eigentums Ihres Unternehmens befindet.
Schließlich gehen die meisten Sicherheitslösungen und -prozesse nur nach dem "Schlechten" und es ist ein Katz- und Mausspiel, das Sie nicht gewinnen können. Es gibt praktisch unendlich viel Malware in freier Wildbahn und nur einen erfolgreichen Angriff, um Ihre Computersysteme zu lähmen.
Ergänzen Sie Ihre vorhandenen Sicherheitsebenen mit einem Ansatz, der genau das Gegenteil bewirkt - stellen Sie sicher, was gut ist. Beachten Sie, dass ich das Wort "Komplement" verwende. Ich empfehle nicht, dass Sie Ihre vorhandenen Lösungen nicht mehr verwenden. Obwohl eine einzelne Erkennungstechnik möglicherweise nicht sehr effektiv ist, bietet eine Kombination einiger weniger ein gewisses Maß an Schutz gegen die heutige Ransomware. Kombinieren Sie diese Werkzeuge mit denen, die dem Guten folgen, indem Sie einen cremefarbenen Ansatz anwenden. Dies schafft nicht nur ein echtes Tiefenverteidigungsmodell, sondern ist auch die letzte Verteidigungslinie gegen Malware und Ransomware, die sich Ihrer Frontverteidigung wie Antivirus entziehen kann.
Nir Gaist, Gründer und technischer Leiter von Nyotron.
