Anatomie eines (Maze-)Ransomware-Angriffs

Publiziert am 24. Mai 2020 von Günter Born

Speziell Gesundheitseinrichtungen stehen, auch während der momentanen Corona-Krise, im Fokus von Cyberangriffen. Mir ist vor einiger Zeit ein Dokument von Barracuda Networks zugegangen. welches die Anatomie eines Maze-Ransomware-Angriffs beschreibt.

Anzeige

Bei Ausbruch der Coronavirus-Pandemie sah es kurzzeitig so aus, als ob einige Hackergruppen ihre Attacken auf IT-Infrastrukturen von Krankenhäusern, Pflegeheimen und sonstigen medizinische Einrichtungen ausgesetzt haben. Allerdings hält sich nicht jeder Cyberkriminelle daran. Gesundheitsorganisationen wie beispielsweise Krankenhäuser werden mit Spear-Phishing- und Ransomware-Attacken überhäuft. Hier im Blog habe ich ja regelmäßig Beiträge über solche erfolgreichen Angriffe.

Arzt
(Quelle: Pexels/Pixabay CC0 Lizenz)

Maze-Gruppe veröffentlicht regelmäßig Daten

Die häufig genutzte Maze Ransomware-Variante der gleichen Gruppe verschlüsselt nicht nur Daten, sondern exfiltriert sie auch. Ziel ist es, diese abgezogenen Daten für einen späteren Erpressungsversuch zu verwenden. Verweigert das Opfer die Zahlung von Lösegeld, drohen die Kriminellen mit der Veröffentlichung dieser Daten. Dadurch sich
Gesundheitseinrichtungen wie etwa Kliniken in der gegenwärtigen Krisensituation gleich mehrfach betroffen (aktuell erschwerte Bedingungen und zusätzliche noch Cyberangriffe).

Warum ist das Gesundheitswesen besonders betroffen?

Die Gesundheitsbranche ist seit Jahren ein beliebtes Ziel, da es für Cyber-Kriminelle mehrere Möglichkeiten gibt, einen erfolgreichen Angriff zu monetarisieren:

  • Die Unterbrechung der IT-Dienste kann den Betrieb gefährlich verlangsamen oder stören. Kriminelle kalkulieren darauf, dass die Opfer das Lösegeld zahlen.
  • Die Offenlegung geschützter (oder persönlicher) Gesundheitsinformationen und elektronischer Gesundheitsakten (eGA) kann für alle Beteiligten verheerend sein. Kriminelle, die Daten aus der Organisation abgreifen, haben ein hohes Druckmittel, Lösegeld erfolgreich einzutreiben.
  • Kritische Gesundheitsinformationen sind für Kriminelle äußerst lohnend und lassen sich einerseits für einen höheren Preis als etwa Kreditkartennummern veräußern. Andererseits können Kriminelle diese Identitätsdiebstähle für ihre eigenen Vorhaben nutzen.
  • Die weltweite Reaktion auf das neuartige COVID-19 hat dazu geführt, dass Kriminelle verstärkt versuchen, in Netzwerke einzudringen. Alle Informationen über ein mögliches Heilmittel oder einen Impfstoff wären für private Käufer oder andere Regierungen von großem Interesse. Forschungslabors, Testeinrichtungen, Krankenhäuser und selbst die WHO sind prädestinierte Ziele, wie entsprechende Attacken bewiesen haben.

Generell prognostiziert Cybersecurity Ventures, dass bis Ende 2021 alle 11 Sekunden ein Unternehmen Opfer eines Ransomware-Angriffs sein wird.

Cyber-Angriffe verstehen und abwehren

Wo also kann eine Organisation, die sich gegen einen Lösegeldangriff wehren will, ansetzen? Das beginnt bereits damit, einen möglichen Angriff, der sich in mehrere Phasen gliedert, verstehen zu lernen.

1. Lieferung: Bösartiger Inhalt zur Auslieferung der Ransomware erreicht das Unternehmen.

Anzeige

2. Infektion: Der Ansteckungsherd wird freigesetzt und/oder über ein Endpunktgerät verbreitet.

3. Genesung: Wiederherstellung der Daten in den Zustand vor dem Angriff

Durch diese Aufschlüsselung lässt sich jede Phase eingehender untersuchen, um mit der Entwicklung von Verteidigungsstrategien zur Abwehr eines Angriffs zu beginnen:

Phase I: Lieferung

Dies ist der Moment, in dem die Ransomware zum ersten Mal in das Netzwerk gelangt. Zu diesem Zeitpunkt gibt es verschiedene Überlegungen: Die Art der Ransomware-Software und die von ihr verwendeten Bedrohungsvektoren.

Die Art der Ransomware
Ransomware ist eine spezifische Untergruppe sogenannter Advanced Threats. Es handelt sich um ausgeklügelte Stück Malware, die häufig neu verpackt wird, um nicht unentdeckt zu bleiben. Neue Malware-Varianten sind darauf ausgelegt, traditionelle Erkennungstechniken zu umgehen, und werden häufig durch gezielte Zero-Hour-Angriffe verbreitet.

Zur Abwehr dieser intelligenteren Art von Malware hilft Advanced Threat Protection (ATP), idealerweise eine ATP-Lösung, die die den Verkehr über alle wichtigen Bedrohungsvektoren hinweg analysiert.

Die Bedrohungsvektoren von denen jeder ein Angriffspunkt sein kann

  • E-Mail: E-Mail ist der Haupt-Bedrohungsvektor. Die überwiegende Mehrheit der Malware-Lieferungen wird über diesen Weg verteilt.
  • Web: Drive-by-Downloads, Cross-Site-Scripting-Angriffe, Sicherheitslücken in sozialen Medien und infizierte Werbung können Malware an einen Endpunkt liefern.
  • Netzwerk: Angreifer können automatisierte Tools einsetzen, um Netzwerke zu scannen und Lücken zu finden, die es ihnen ermöglichen, in das Netzwerk einzudringen. Wenn sie erst einmal im Netzwerk sind, können sie dort zusätzliche Malware verbreiten.
  • Anwendungen: Zu den anfälligsten Vektoren zählen Webanwendungen wie Webmail, Online-Shops oder Online-Formulare.

Phase II: Infektion

Die zweite Phase beginnt, wenn der Ransomware-Prozess im Netzwerk ausgeführt wird. In den meisten Fällen dringt ein Angreifer mit einem Phishing-Angriff in das Netzwerk ein, bei dem er sich als Autoritätsperson ausgibt, um einen Mitarbeiter im Zielnetzwerk dazu zu bringen, unwissentlich einen E-Mail-Anhang mit der Malware zu öffnen. Häufig gibt der Hacker vor, ein Mitarbeiter der Personal- oder Finanzabteilung oder einer externen, der Organisation bekannten Stelle zu sein, wie etwa ein Dienstleister oder Lieferant. Sobald der Mitarbeiter den E-Mail-Anhang öffnet, wird eine darin eingebettete Bedrohung ausgeführt, die die Malware im Netzwerk freigibt.

Phase III: Wiederherstellung

Wenn ein Ransomware-Angriff innerhalb des Netzwerks erfolgreich war, liegt der Focus in der Schadenbegrenzung. Es geht um die Eindämmung der Infektion, die Säuberung der Systeme und die Wiederherstellung der Daten. Erste Aufgabe ist es, die Verbreitung der Malware stoppen, sie aus dem Netzwerk entfernen, das Netzwerk auf weitere Malware prüfen und die Endpunkt-Antivirus-Lösung zu testen.

Sobald das Netzwerk gründlich gesäubert und resistent ist (sprich: Auch potentielle Schwachstellen sind identifiziert und beseitigt), sind Backups zur Wiederherstellung von Dateien einsetzbar. Um ab sofort effektiv zu sein, müssen das Netzwerk und der Endpunktschutz auf dem neuesten Stand sein und einwandfrei funktionieren, damit keine infizierten Dateien versehentlich wiederhergestellt werden, und die Malware zu neuem Leben erwachen kann.

Die in dieser Phase erforderlichen Maßnahmen sind je nach Organisation unterschiedlich. Zu den möglichen Schritten gehören die Prüfung von Datenprotokollen, die Befragung von Mitarbeitern, Vorher-Nachher-Vergleiche und die Bewertung vorhandener Disaster-Recovery-Lösungen. Wichtig ist, dass Management und IT zusammenarbeiten, um festzulegen, welche Maßnahmen in der Wiederherstellungsphase nach der Infektion sinnvoll sind.

Gesundheitseinrichtungen werden auch weiterhin ein beliebtes Angriffsziel von Cyberkriminellen bleiben, aber sie müssen nicht zwangsläufig Opfer sein. Die richtigen Systeme und Prozesse sowie eine robuste Backup- und Wiederherstellungslösung stellen sicher, dass selbst im schlimmsten Fall, berechtigte Hoffnungen auf baldige Genesung besteht.

Ähnliche Artikel:
Klinikum Fürth wegen Trojaner offline
Ransomware-Befall in Uniklinik von Brno (Brünn Tschechien)
Fresenius vermutlich Opfer eines Snake-Ransomware-Angriffs
FAQ: Reagieren auf eine Emotet-Infektion
Die IT-Notfallkarte des BSI für KMUs
Deutsche Unternehmen vor potenziellem Cyber-Desaster?
Sicherheitslücken im deutschen Gesundheitsdatennetz
Unterminieren Führungskräfte die IT-Sicherheit?
Finanzsektor: Vorletzter Platz bei Anwendungssicherheit
Neues zum Ransomware-Angriff auf Ludwigshafener Versorger
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.