Welche Veränderungen haben Sie in der Ransomware-Landschaft gesehen?
Über den Autor John Fokker ist bei McAfee Advanced Threat Research für Cyber-Untersuchungen verantwortlich. Während seiner Karriere hat er zahlreiche groß angelegte Ermittlungen und Abschaltungen im Bereich der Internetkriminalität überwacht. Fokker ist auch einer der Mitbegründer des NoMoreRansom-Projekts.
Zu Beginn des Jahres haben wir vorausgesagt, dass sich die synergistischen Bedrohungen bis 2019 vermehren und kombinierte Reaktionen erfordern würden. Im Kontext konzentrieren sich Angriffe normalerweise auf die Verwendung einer einzelnen Bedrohung, wobei sich schlechte Akteure auf die Iteration konzentrieren und eine Bedrohung für Effizienz und Flucht entwickeln. Sobald der Angriff erkannt wurde, wird er klassifiziert (z. B. Ransomware) und seine Verteidigung. Sie sind konfiguriert, um wie viel die Angriffserfolgsrate reduziert wird. Wenn ein Angriff jedoch mehrere Angriffsvektoren als Synergieeffekt verwendet, wird die Verteidigungslandschaft komplexer, dient als Nebelwand und macht das endgültige Ziel des Angriffs unbekannt oder schwer zu identifizieren.
Leider sind unsere Beobachtungen richtig: Cyberkriminelle haben Toolkits auf Schwarzmärkten gekauft, um ihre Angriffe zu verfeinern, mit dem Ziel, ihre Gewinne zu steigern und die Effizienz zu steigern.
Wir haben auch festgestellt, dass die neuen Ransomware-Player von erfolgreichen Iterationen der Vergangenheit inspiriert wurden. Zum Beispiel verwendet Ryuk den Hermes-Quellcode erneut oder verwendet die Lösegeldnotizen des jeweils anderen. Beispielsweise ist bei einigen LockerGoga-Stämmen eine leicht modifizierte Ryuk-Lösegeldnotiz zu sehen.
Was ist Ransomware as a Service und warum war dies in letzter Zeit ein Wachstumsbereich?
Ransomware as a Service (RaaS) -Software hat unter Cyberkriminellen in unterirdischen Märkten seit einiger Zeit an Bedeutung gewonnen. Es ist möglich, Partnerprogramme mit Ransomware-Stämmen wie GandCrab zu abonnieren, bei denen Cyberkriminelle einen Prozentsatz der Gewinne der Opfer im Austausch für die Verbreitung von Schadcode erzielen.
In der Welt der Ransomware hatte der kürzlich verstorbene GandCrab den Ruf, seine Schulden immer zu begleichen, ähnlich wie die Lannisters in Game of Thrones. Diese Partnerprogramme werden häufig aufgrund mangelnden Vertrauens in die Community unterbrochen. GandCrab hat jedoch offenbar die scheinbar verlässliche Situation bei der Abwicklung seiner Kundenbeziehungen umgekehrt.
Wir haben gesehen, dass gezielte Ransomware-Modelle in Verbindung mit Netzwerkschwachstellen wie schlecht gesicherten RDP-Zugriffen (Remote Desktop Protocol) verwendet werden, um äußerst effiziente Unterwasserradarschemata durchzuführen. In diesem Szenario versuchen Angreifer, ein System mit schwachem RDP zu finden, Zugriff zu erhalten und sich über Netzwerke zu verteilen, wobei sie ein schwach geschütztes Active Directory nutzen. Sobald die vollständige Kontrolle erreicht ist, wird die Ransomware-Software im gesamten Netzwerk bereitgestellt, was zu einer Lähmung der betreffenden Organisation führt. Tatsächlich haben wir Gespräche beobachtet, bei denen der Autor des GandCrab RaaS-basierten Modells an automatisierten internen Vermehrungsmethoden arbeitete. In vielerlei Hinsicht ist die Verwendung von RDP kein neuer Ansatz, wie wir bei SamSam im letzten Jahr gesehen haben.
Es ist zu beachten, dass das McAfee Advanced Threat Research-Team im vergangenen Jahr festgestellt hat, dass es möglich ist, RDP-Zugriffsschlüssel für Sicherheits- und Sicherheitssysteme zu erwerben. Automatisierung der Gebäude eines großen internationalen Flughafens zu einem Preis von nur USD 10.
(Bild: © Bildnachweis: TheDigitalArtist / Pixabay)
Können Sie ein Beispiel für eine Brancheninitiative zur Bekämpfung von Ransomware geben?
No More Ransom war eines der erfolgreichsten Cybersicherheitsprojekte seiner Art im Hinblick auf die öffentlich-private Zusammenarbeit und diente als Brücke zwischen Strafverfolgungs- und Cybersicherheitsunternehmen im Kampf gegen Korruption. Ransomware und die Möglichkeit für Opfer, ihre verschlüsselten Daten wiederherzustellen, ohne Cyberkriminelle bezahlen zu müssen. Wenn Sie Opfer von Ransomware sind, ist dies eine großartige Ressource, um Ihnen zu helfen. Vorbeugen ist jedoch besser als heilen; Ich würde Ihnen raten, die Website zu durchsuchen, um zu erfahren, wie Ransomware funktioniert und wie Sie dies verhindern können.
Welchen Rat würden Sie Organisationen geben, um Ransomware-Infektionen zu verhindern?
Bei einem ganzheitlichen Ansatz zur Cybersicherheit mit angemessener Sicherheit spielt Hygiene eine Schlüsselrolle bei der Verhinderung dieser Infektionen. In diesem Zusammenhang ist es wichtig, bekannte Angriffsmethoden wie den RDP-Zugriff zu blockieren, um sicherzustellen, dass Ihr Netzwerk mit einem robusten Identitätsmanagement segmentiert ist. Backups sollten auch eine Priorität in der Sicherheitsstrategie jedes Unternehmens sein - setzen Sie sie ein und stellen Sie sicher, dass sie regelmäßig getestet werden. Leider nimmt die Ransomware zu, was zeigt, dass die Sicherheitshygiene oft mittelmäßig ist und dass zu viele Computer und C-Suiten nur im Falle eines Angriffs aufwachen. .
Ein wenig Planung kann oft viel bewirken, und wie das Scouting-Motto von Baden-Powell lautet: Seien Sie vorbereitet.
Wie können Organisationen den durch Infektionen verursachten Schaden mindern?
Wenn Sie mit Ransomware infiziert sind, wenden Sie sich immer an einen Fachmann. Die allgemeine Meinung ist, dass es besser ist, das Lösegeld nicht zu zahlen; Es gibt nicht nur keine Garantie dafür, dass Ihre Dateien zurückerhalten werden, sondern es verstärkt auch die Botschaft, dass Ransomware funktioniert und ein profitabler Weg für Cyberkriminelle ist. Das No More Ransom-Portal kann äußerst wertvolle Tipps geben, was bei einer Infektion zu tun ist. Wenn ein kostenloser Entschlüsseler verfügbar ist, wird empfohlen, eine Sicherungskopie des verschlüsselten Laufwerks zu erstellen, damit Sie ihm vertrauen können, falls der Entschlüsselungsprozess fehlschlägt.
Unternehmen haben eine sehr schwierige Aufgabe, wenn die Ransomware unnötig gestoppt wird und die Lösegeldzahlung als schnelle Lösung angesehen werden kann. Wenn ein Unternehmen jedoch von gezielter Ransomware betroffen ist, muss es sich daran erinnern, dass dies nur der letzte Schritt bei einem groß angelegten Verstoß ist. Ransomware-Software loszuwerden ist nur ein kleiner Teil eines viel größeren Sicherheitsproblems.
John Fokker ist verantwortlich für Cyber-Untersuchungen bei McAfee Advanced Threat Research.
- Der beste Antiviren-Service von 2019.
