Phishing als Einfallstor

Doch wie gelangt Ransomware im Regelfall auf die Geräte und Systeme? Häufigstes Einfalltor bei den Clients sind laut Richard Werner Phishing-Mails, die den Anwender täuschen und dazu verleiten, einen Anhang zu öffnen oder auf einen Link zu klicken, der den unbemerkten Download von Schad-Software startet. Als weitere Zugriffspunkte nennt er schwache Zugangsdaten bei exponierten Remote-Desktop-Protocol (RDP)-Diensten oder anderen nach außen gerichteten HTTP-Diensten.

„Angreifer werden natürlich auch die Log4-Shell-Schwachstelle für ihre Ransomware-Attacken nutzen. Etwas seltener sind Software-Supply-Chain-Angriffe wie beim Fall des Managed-Service-Providers Kaseya. Sie haben aber extrem große Auswirkungen, da hier Managed-Service-Software infiltriert wurde, die in der Lieferkette bei einer Vielzahl von Kunden zur Verwaltung von Rechnersystemen und Netzwerken zum Einsatz kommt“, erklärt Richard Werner. „Die Ransomware erhielt so direkten Zugriff auf Server in den Rechenzentren von rund 1500 Kunden, die mit der Management-Software von Kaseya verwaltet wurden. Die Verschlüsselung der Server erfolgte dann binnen Stunden.“

Das IT- und Consulting-Haus All for One Group blieb zwar bislang selbst von einem direkten Ransomware-Angriff verschont, erhielt aber einige Meldungen von seinen Kunden beziehungsweise Lieferanten, die von einem Ransomware-Angriff betroffen waren. „Wir hatten im Jahr 2021 insgesamt sechs Fälle von Kunden, bei denen wir als Dienstleister für Managed Services fungieren und die per Netzwerk mit uns verbunden sind. Hier wurde nach einem Vorfall beim Kunden vor Ort die Netzwerkverbindung sofort getrennt, um eine Verbreitung der Ransomware zu verhindern. Diese Meldungen zeigen aber das Gefährdungspotenzial über die Lieferkette“, betont Axel Krämer, Group Information Security Officer der All for One Group.  

Bei den von Axel Krämer genannten Fällen gelangte die Schad-Software meist über E-Mails in die Unternehmen. In einem Fall klickte ein Mitarbeiter auf einen Link oder öffnete einen E-Mail-Anhang. Die Ransomware verschlüsselte dann das Endgerät des Mitarbeiters und alle Laufwerke, auf die er zugreifen durfte. „Die Auswirkungen sind von den Berechtigungen des betroffenen Mitarbeiters abhängig. Der potenzielle Schaden steigt mit dem Umfang der Zugriffsrechte. Unser Kunde kam glimpflich davon. Er zahlte kein Lösegeld, setzte die Endgeräte neu auf und spielte das Backup auf das betroffene Server-Laufwerk zurück“, so Axel Krämer.

Doch häufig sind die Cyberkriminellen sehr erfolgreich. Denn die Ransomware-Angreifer haben nicht nur ihre Vorgehensweise professionalisiert, sondern auch ihr Geschäftsmodell und setzen häufig auf Arbeitsteilung. So gibt es Spezialisten für das Abgreifen von Zugangsdaten (Access as a Service), die weitere Verbreitung im Netzwerk des infizierten Unternehmens mit dem Ziel, höhere Berechtigungen zu erhalten, und für die Verschlüsselung von Daten. Diese Gruppen arbeiten zusammen und agieren in einem gemeinsamen Geschäftsmodell.

„Diese Geschäftsmodelle wären ohne Kryptowährungen wie Bitcoin nicht so erfolgreich, da hier die polizeiliche Verfolgung sehr schwerfällt. Kryptowährungen waren der Booster für die Ransomware-Szene. Bis etwa 2015 waren gestohlene Kreditkarten das bevorzugte Zahlungsmittel“, weiß Richard Werner. Sein Unternehmen Trend Micro hat 2021 in einer Studie mehr als 900 Access-Broker-Listings in englisch- und russischsprachigen Cybercrime-Foren analysiert, um Aufschluss über die Ransomware-Sparte Access as a Service zu gewinnen.

Die Palette der Access Broker reicht von Verkäufern, die sich auf den schnellen Profit konzentrieren, über versierte Hacker, die Zugangsdaten zu vielen Unternehmen anbieten, bis hin zu Online-Shops, die Remote-Desktop-Protocol(RDP)- und Virtual-Private-Network (VPN)-Zugangsdaten von Firmen liefern. Hier können interessierte Cyberkriminelle gezielt nach Standort, Internet Service Provider (ISP), Betriebssystem, Portnummer, Administratorenrechten oder Unternehmensnamen suchen.

Die Datensätze mit den Zugangsinformationen stammen laut Trend Micro aus diversen Quellen wie vorangegangenen Sicherheitsvorfällen, entschlüsselten Passwort-Hashes oder ausgenutzten Schwachstellen in VPN-Gateways oder Webservern. Die Preise sind abhängig von der Art des Zugangs (einzelner Rechner oder gesamtes Unternehmens-Netzwerk), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer geforderten Zusatzarbeit. Während ein RDP-Zugang bereits für zehn Dollar erhältlich ist, liegt der Preis für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8500 Dollar, bei besonders attraktiven Opfern können es bis zu 100.000 Dollar sein.

„Das Hauptaugenmerk beim Kampf gegen Ransomware sollte zuerst auf der Eindämmung der Aktivitäten von Ini­tial-Access-Brokern liegen“, betont Richard Werner von Trend Micro. „Gelingt es, die Aktivitäten von Access-Brokern zu überwachen, die Unternehmensnetzwerkzugänge stehlen und verkaufen, kann den Ransomware-Akteuren den Nährboden entzogen werden.“