Statusbericht: Ransomware

12/2021 Fachbeitrag IT-Sicherheit Swiss Infosec AG

Statusbericht: Ransomware
.. sowie die damit verbundenen Hausaufgaben im Bereich Cyber-Health 

 

 Räuber am Telefon

 

Ransomware-Angriffe sind derzeit in aller Munde und es scheint kein Ende in Sicht. Vielmehr verstärkt sich die Bedrohung durch Ransomware zunehmend. Die Welt verzeichnet derzeit einen deutlichen Anstieg des Volumens an täglichen Cyberangriffen. Während der U.N. Security Council von rund 600% Zunahme der Cyberangriffe im Verlauf der Corona-Pandemie spricht[1], berichtet CrowdStrike im Global Threat Report 2021 von 400% seit Anfang 2019[2]. Eine Umfrage von Sophos zeigte zudem, dass insgesamt mehr als ein Drittel der an der Umfrage teilnehmenden Organisationen 2021 von Ransomware-Angriffen betroffen waren.

 

Die Erfahrung zeigt, dass viele Organisationen nicht angemessen auf Angriffe mit Ransomware vorbereitet sind. Etwa die Hälfte der Betroffenen[3] sieht sich gezwungen, in Verhandlungen um die Lösegeldforderungen einzusteigen, weil der Betrieb nicht in nützlicher Frist wiederhergestellt werden kann, sei es aufgrund der Tatsache, dass die Backup-Infrastruktur kompromittiert wurde und keine Offline-Backups existieren, oder dass die Daten zwar aus Offline-Backups wiederhergestellt werden können, die Wiedereinrichtung der Applikationslandschaft aber schlicht zu komplex und nicht wirtschaftlich ist. Die Angreifer fahren zudem zumeist eine mehrgleisige Strategie bei der Erpressung der betroffenen Organisationen. Nebst der Erpressung für die Entschlüsselung der Daten trifft bei rund 80% der Betroffenen nach einiger Zeit ein weiteres Erpressungsschreiben ein, diesmal mit der Drohung der Veröffentlichung der kompromittierten Daten. Der grosse Teil der Organisationen, welche die Erpressungssumme zahlen, ebenfalls 80%[4],  wird zudem nach kurzer Zeit erneut kompromittiert und erpresst und bei rund 50% der Organisationen kann auch nach Zahlung der Erpressungssumme der Betrieb nicht vollständig wiederhergestellt werden, weil die Daten auch nach der Entschlüsselung noch korrupt sind. Dies alles bei einer durchschnittlichen Beeinträchtigung des Geschäftsbetriebs von über 20 Tagen[5].

 

In vielen Fällen hätte eine grundlegende Auseinandersetzung mit Themen der IT-Sicherheit und der Reaktionsfähigkeit (sprich Krisenmanagement) auf solche Angriffe den Schaden grösstenteils einschränken oder gänzlich verhindern können. Gerne teilen wir mit Ihnen die zehn essenziellen Schritte in Richtung einer angemessenen Vorbereitung auf mögliche Ransomware-Angriffe:

 

10-Punkte-Check zur Vorbereitung auf mögliche Ransomware-Angriffe

1. Wiederherstellbarkeit der geschäftskritischen Geschäftsprozesse innert nützlicher Frist

Challengen Sie Ihren IT-Verantwortlichen mit der Wiederherstellbarkeit der kritischen Geschäftsprozesse. Wie lange darf der Geschäftsbetrieb stillstehen, bevor es existenziell wird und wie lange benötigt Ihre IT für die Wiederherstellung der geschäftskritischen Prozesse inklusive dazugehöriger Applikationen und Daten?

 

2. Backup-Infrastruktur gemäss 3-2-1-0-Prinzip

Stellen Sie sicher, dass Ihre Backup-Infrastruktur gemäss 3-2-1-0-Prinzip aufgestellt ist: drei Kopien aller wichtigen Daten, zwei verschiedene Speichertypen, mindestens ein Backup offline/unveränderlich, Null Fehler / Konsistenzprüfung jedes Backupvorgangs.

 

3. Vorbereitung der Organisation für den Ernstfall (Krisenmanagement)

Sorgen Sie dafür, dass eine Organisationsstruktur und eine Vorgehensweise für den Ernstfall definiert und geübt wird. Klar darf der geübte Ablauf im Ernstfall nicht stur befolgt werden, da jeder reale Angriff seine eigenen Finessen mit sich bringt: Jede Vorbereitung ist aber besser als keine Vorbereitung. Sorgen Sie ausserdem dafür, dass die IT die erforderlichen Kompetenzen erhält, im Notfall die erforderlichen Sofortmassnahmen durchsetzen zu können.Durchgängige

 

4. Sicherheit bei allen Schnittstellen ins Unternehmensnetzwerk

Seien Sie rigoros bei Fernzugriffsmöglichkeiten in Ihr Unternehmensnetzwerk. Die Zugriffsmöglichkeiten aus dem Internet sind auf das erforderliche Minimum zu beschränken und sind durchgängig mit Mehrfaktorauthentifizierung abzusichern. Setzen Sie Proxy-Server, Web Application Firewalls (WAF) und Virtual Desktop Infrastructure (VDI) zur Abkapselung der internen Systeme und zur Bündelung und Steuerung des Zugriffs von Extern ein. Nutzen Sie zudem die Möglichkeiten von modernen Firewalls und Cloud Services im Bereich User and Entity Behavior Analytics (UEBA) zur Erkennung und Einschränkung verdächtiger Logins. 

 

5. Sichere Konfiguration der Endgeräte

Setzen Sie sich mit der sicheren Konfiguration Ihrer Endgeräte auseinander. Gerade Microsoft-Systeme sind prinzipiell abwärtskompatibel und damit tendenziell unsicher in der Standardkonfiguration. Achten Sie auf folgende Grundprinzipien:

  • Beschränkung von Makros in Office-Applikationen und JavaScript in PDF-Readern
  • Nicht mit Admin-Accounts arbeiten, sondern separate Accounts für die Systemadministration verwenden
  • Antivirussoftware auf allen Systemen installieren und zentral steuern
  • Die Verwendungsmöglichkeit von PowerShell technisch einschränken

 

6. Absichern der administrativen Zugriffe

Generell ist die Verwendung von administrativen Privilegien gemäss dem «Least-Privilege-Prinzip» einzuschränken. Vielerorts werden bspw. Domänen-Admins zur Systemadministration verwendet, wenn auch die weitreichenden Rechte eines Domänen-Admins nur selten tatsächlich gebraucht werden und für die meisten administrativen Tätigkeiten niedriger privilegierte Admin-Accounts ausreichen würden. Es wird zudem klar empfohlen, sämtliche administrativen Zugriffe, auch innerhalb des Organisationsnetzwerks, mit Mehrfaktorauthentifizierung zu schützen.

 

7. Eingeschränkte Zugriffsberechtigungen: Rollen- und Berechtigungskonzept

Sorgen Sie dafür, dass die Zugriffsberechtigungen innerhalb Ihrer Organisation mit einem angemessenen Rollen- und Berechtigungskonzept verteilt werden. Gerade in KMUs haben oftmals alle auf alles Zugriff, womit ein Angreifer nur einen einzigen Benutzer kompromittieren muss, um Zugriff auf sämtliche Daten der Organisation zu erhalten.

 

8. Netzwerksegmentierung

Gruppieren Sie Ihre Systemlandschaft in unterschiedlichen Netzwerksegmenten und schützen Sie die Zonenübergänge mit Firewalls. Historisch gewachsene Netzwerke sind meistens flach organisiert. Auch hier reicht die Kompromittierung eines einzelnen Systems im Netzwerkinneren, bspw. mittels eines erfolgreichen Phishing-Angriffs auf einen unachtsamen Mitarbeitenden. Nach der Kompromittierung des ersten Systems können in einem nicht-segmentierten Netzwerk anschliessend alle anderen Systeme der Organisation mit netzwerkbasierten Angriffen attackiert und in vielen Fällen übernommen werden. Eine grundlegende Abtrennung von Client-, DMZ- und Backend-Systemen bietet Abhilfe. Mit der Einrichtung einer dedizierten Management-Zone für die Systemadministration sowie einer dedizierten Zone für Hochrisikosysteme (bspw. Microsoft Server 2003-Systeme) nehmen Sie den Angreifern weitere sprichwörtliche Trümpfe aus der Hand.

 

9. Patch Management

Sorgen Sie dafür, dass Ihre Systeme auf einem aktuellen Patch-Level sind. Schiessen Sie sich hierbei zudem nicht nur auf die Betriebssysteme ein. Auch Applikationen wie beispielsweise Internetbrowser oder PDF-Reader werden in der täglichen Arbeit exponiert und sind mögliche Einfallstore für Cyberkriminelle. Patchen Sie alle im Internet exponierten Systeme, bspw. Client- und DMZ-Systeme automatisiert oder mindestens monatlich. Backend-Systeme sollten mindestens quartalsweise (Betriebssystem) respektive halbjährlich (Middleware und Applikationen) gepatcht werden.

 

10. Unterstützung durch externen Partner innert 24h

Sorgen Sie dafür, dass Sie im Ernstfall in nützlicher Frist kompetente Unterstützung erhalten. Treten Sie mit Ihren Partnern in Kontakt zur Diskussion eines Incident Response Retainers mit definierter Reaktionszeit, bspw. von 24h.

 

Unter Berücksichtigung der aufgeführten Punkte schaffen Sie bereits ein Cyber-gesundes Umfeld, welches einem Angreifer viele Hürden in den Weg legt. Die Umsetzung solcher grundlegender Sicherheitsmassnahmen führt zu einer deutlichen Reduktion des Ransomware-Risikos für Ihr Unternehmen. Gerne unterstützen wir Sie mit Rat und Tat bei der Umsetzung dieser Checkliste oder generell zur angemessenen und kosteneffizienten Umsetzung von IT-Sicherheit in Ihrem Unternehmen!

 

[1] The Latest: UN warns cybercrime on rise during pandemic - ABC News (go.com), Zugriff am 03.11.2021

[2] 2021 Global Threat Report (crowdstrike.com), Zugriff am 03.11.2021

[3] Cybereason_Ransomware_Research_2021.pdf, Zugriff am 03.11.2021

[4] Cybereason_Ransomware_Research_2021.pdf, Zugriff am 03.11.2021

[5] Ransomware attackers down shift to 'Mid-Game' hunting in Q3 (coveware.com), Zugriff am 03.11.2021


Swiss Infosec AG; 05.11.2021

Fachteam IT-Sicherheit, +41 41 984 12 12, infosec@infosec.ch

 

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere IT-Sicherheitsspezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Mehr Infos