Wie laufen Ransomware (Hacker) Angriffe ab?

Ransomware Angriffe

In den letzten Jahren konnten wir einen neuen Trend bei Ransomware beobachten, weg von groß angelegten Brute-Force Angriffen hin zu gezielten, sorgfältig geplanten, manuell durchgeführten Angriffen, die sich wesentlich schwerer erkennen
und abwehren lassen. Im Folgenden sehen wir uns die Vorgehensweise verschiedener Formen von Ransomware an und
zeigen, was Ihr Unternehmen tun kann, um die Anfälligkeit für einen Angriff zu minimieren

Geziehlte Ransomware Angriffe

Hier kommt oft souial Hacking zum Einsatz. 

Der/die Angreifer ermitteln ein "Ziel" und dessen Mitarbeiter. Mit einer Übersicht der Mitarbeiter und Kollegen kann ein Überblick geschaffen werden, wer mit wem kommuniziert. Damit erreiche ich eine deutlich höhere Vertrauensbasis aus von Fremden Personen. Da diese ja bekannt sind. Somit werde ich viel häufiger auf einen Link klicken oder eine Datei im Anhang öffnen als von Fremden. Damit nimmt das UNHEIL seinen Lauf.


Gezielte Ransomware-Angriffe erfordern viel manuelle Arbeit: In der Regel konzentrieren sich die Angreifer auf ein konkretes Opfer pro Angriff und stellen an dieses horrende Lösegeldforderungen. Sie verschaffen sich Zugriff auf das Netzwerk, bewegen sich lateral fort und identifizieren dabei wichtige Systeme. Um auf möglichst vielen Systemen Fuß zu fassen, schlagen die Angreifer gerne dann zu, wenn die Verteidiger unter Umständen nicht zu 100 % wachsam sind: nachts, an Wochenenden oder an Feiertagen. Um mehrschichtige Schutzfunktionen zu umgehen und maximalen Schaden anzurichten, greifen sie auf eine ganze Reihe von Angriffstechniken zurück

Ein exemplarischer und "typischer" Ablauf eines gezielten Ransomware-Angriffs:

1. ZUTRITT VERSCHAFFEN

Remote-Dateifreigabe-/ Verwaltungsfunktionen wie RDP DATEIEN ZU DEAKTIVIEREN/ZU UMGEHEN

Maleware wie Emotet & Trickbot

2. Rechteausweitung bis zu Administrationsrechten

Die Angreifen nutzen Schwachstellen im System aus und verschaffen sich Stück für Stück höhere Rechte um so die Security Software zu umgehen.

3. Der Versuch die Security Software zu umgehen und /oder zu umgehen

Wenn die Angreifer hier scheitern, wenden die sich oft der Secutity Konsole zu und versuchen hier einzubrechen und die Rechte über Security zu erlangen.

4. Die Ransomeware wird bereit gestellt und die Daten des Ziels verschlüsselt

Die Hacker nutzen Schwachstellen im Netzwerk oder einfache File-SharingProtokolle, um weitere Systeme im Netzwerk zu kompromittieren.

Sie greifen auch auf Tools zurück, die Unternehmen bereits in ihren Netzwerken verwenden, z. B. PsExec und PowerShell

5. Nach der Verschlüsselung erfolgt die Erpressung und Lösegeldforderung für die Entschlüsselung

6. Die Angreifen warten, bis die Betroffenen über das Darknet oder per E-Mail kontaktieren.

Die Folgen dieser Angriffe sind meist schwerwiegend. Hacker werden immer dreister und fordern bisweilen sechsstellige Summen. Außerdem ergab unsere Befragung, dass die Begleichung des Lösegelds die Kosten für die Angriffsbeseitigung in der Regel verdoppelt – im Durchschnitt müssen Unternehmen weltweit 1,4 Mio. USD begleichen

7. Bereitstellung von Ransomware über RDP

Desktop-Sharing-Tools wie RDP (Remote Desktop Protocol) und VNC (Virtual Network Computing) sind harmlose und sehr praktische Tools, mit denen Administratoren remote auf Systeme zugreifen und diese verwalten können. Ohne ausreichenden Schutz bieten diese Tools allerdings eine willkommene Schwachstelle, die häufig für gezielte Ransomware Angriffe genutzt wird. 
Sorgen Sie deshalb dafür, dass RDP und ähnliche Remote-Management-Protokolle hinter einem VPN (Virtual Private Network) ausreichend geschützt sind, oder legen Sie zumindest fest, welche IP-Adressen per RDP zugreifen dürfen – sonst stehen Angreifern alle Türen offen. Denn viele Angreifer nutzen Brute-Force-Hacking-Tools, die Hunderttausende
Kombinationen aus Benutzername und Passwort ausprobieren, bis sie sich erfolgreich Zugriff verschaffen und Ihr Netzwerk kompromittieren

Wir helfen Ihnen gerne sich zu schützen (Best Practice)

KEIN Produktverkauf!

Wir bieten Ihnen eine reine Beratung für Ihre IT Security und Prozesse an.

„We craft high quality resources for people like us. We share our knowledge and create content that matters.“

— Thomas Balla, Founder