Ausgesperrt und erpresst: Der Kampf einer Stadt gegen Cyberkriminalität

Die Stadt hatte in diesem Fall etwas Glück. Das Sicherheitsteam hat den Angriff unmittelbar nach seinem Beginn abgefangen, sodass es das betroffene Netzwerksegment isolieren konnte, um den Schaden zu begrenzen. 

Obwohl die Abteilung, in der der Angriff begann, (in ihren eigenen Worten) wieder auf „altmodische“ Arbeit – ohne Technik – zurückgreifen musste, sind die übrigen Abteilungen weitgehend unbeschadet davongekommen. Dennoch dauerte die Wiederherstellung Wochen, und die Ausfallzeiten führten dazu, dass unternehmenskritische Services, die die Abteilung der Bevölkerung bereitstellt, nicht mehr verfügbar waren.

Wie hat sich der Angreifer Zugang zum Stadtnetzwerk verschafft? Eine forensische Analyse zeigte, dass der Angreifer ein kompromittiertes Anbieterkonto (erinnern Sie sich noch an den HLK-Techniker?) nutzen konnte, um das VPN der Stadt für den Zugriff auf einen HLK-Systemendpunkt zu verwenden. Nachdem eine Verbindung hergestellt war, konnten die Hacker privilegierte Anmeldedaten sammeln, um eskalierte Berechtigungen zu erhalten, und den Computer des Opfers zu verwenden, um sich lateral durch das Netzwerk zu bewegen. 

Leider kommt das recht häufig vor. Datenmissbrauch und Ransomware-Angriffe beginnen oft mit kompromittierten Zugangsdaten von Anbietern. Hacking-Anbieter können lukrativ für Ransomware-Gruppen sein, da sie potenziell auf Anmeldedaten für mehrere Ziele zugreifen können, indem sie in ein einzelnes Unternehmen eindringen.

Diese Zugriffsmethode scheint in letzter Zeit zwar recht häufig aufzutreten, sie ist aber nicht die einzige Möglichkeit. Traditionell sind Phishing-E-Mails und Remote Desktop Protocol-Angriffe die beiden häufigsten Infektionsvektoren für Ransomware-Bedrohungen.

Phishing ist nach wie vor äußerst effektiv, da Phishing-E-Mails durch die moderne Technologie immer schwieriger zu erkennen sind. Selbst erfahrene Profis können sich durch einige dieser gut gearbeiteten, authentisch aussehenden Botschaften täuschen lassen. Die Zeiten schlecht formulierter „Nigerianischer Prinz“-Scams sind vorbei.

Aus irgendeinem Grund haben einige Organisationen noch nicht verstanden, dass es eine schlechte Idee ist, Remote-Desktop-Protocol-Verbindungen zum Internet offenzuhalten. Angreifer werden diese sehr schnell ausfindig machen und gewaltsam in das System eindringen – und sobald sie das getan haben, wird eine Lösegeldforderung sicher folgen. 

Cyberkriminelle können auch die bewährten Methoden wie Social Engineering und den Diebstahl von Anmeldedaten nutzen oder kompromittierte USB-Laufwerke herumliegen lassen.

Ransomware hat sich im Laufe des letzten Jahrzehnts dramatisch weiterentwickelt und hat sich von einfacher Malware zur Dateisperre (besser bekannt als Cryptolocker) zu ausgeklügelten Angriffen entwickelt, die darauf ausgelegt sind, die Auswirkungen und Gewinne zu maximieren. Früher verschlüsselten Ransomware-Angreifer die Dateien eines Opfers auf einem einzigen System und forderten dann Lösegeld im Austausch für Entschlüsselungsschlüssel. 

Dies entwickelte sich weiter zu einer Beeinträchtigung ganzer Netzwerke, einschließlich der Backup- und Wiederherstellungssysteme, um die Wiederherstellungsfähigkeit der Opfer einzuschränken.  Im Laufe der Zeit begannen Unternehmen, ihre Cybersicherheit zu verbessern, einschließlich zuverlässiger Backups, wodurch die Auswirkungen von Angriffen deutlich reduziert wurden, die mit Verschlüsselung arbeiten.

Was hätte man tun sollen? Es lag zu viel Geld auf dem Tisch, um nun die Karten einzupacken und nach Hause zu gehen. Stattdessen passten sich Cyberkriminelle an und nutzten neue Ransomware-Lösungen, wodurch die Ära einer neuen Art von Ransomware namens „Double Extortion“ (doppelte Erpressung) begann.

„Double Extortion“-Ransomware ist eine einzigartige Ransomware-Infektion, die zwei verschiedene Bedrohungen beinhaltet: die Verschlüsselung kritischer Daten und die Extraktion der verschlüsselten Dateien mit der Gefahr, vertrauliche Informationen öffentlich zu entweichen, wenn das Lösegeld nicht bezahlt wird. 

Diese Taktik erhöht den Druck auf die Opfer drastisch, da sie Ransomware-Angriffe von einem hauptsächlich betrieblichen Problem in ein schwerwiegendes Risiko für Datenschutzverletzungen mit potenziellen rechtlichen und regulatorischen Konsequenzen sowie Rufschädigungen verwandelte. 

Dies war der Fall für unsere Freunde, die für die Stadt arbeiten. Vor dem Start der Verschlüsselungsphase des Angriffs extrahierte die Ransomware-Gruppe mehrere Gigabyte an Daten und drohte, diese Daten im Dark Web zu veröffentlichen, falls ihre Forderungen nicht erfüllt werden.

Hier werden die Dinge knifflig. Jede Ebene der Strafverfolgung – von den lokalen Behörden bis hin zu FBI, CISA und anderen – wird Ihnen dazu raten, das Lösegeld nicht zu bezahlen. Sie erhalten den gleichen Ratschlag von praktisch jedem Sicherheitsexperten, auch von den Anbietern von Betriebssystemen wie Microsoft und Anbietern von Antiviren-/Anti-Malware-Programmen. 

Der Grund für diese Anleitung ist einfach: Solange Unternehmen weiterhin zahlen, werden Cyberkriminelle auch weiterhin Cyberangriffe starten. Sobald die Zahlung erfolgt ist (mit Bitcoin oder einer anderen Kryptowährung), gibt es keine Garantie dafür, dass der Entschlüsselungsschlüssel bereitgestellt wird, keine Garantie dafür, dass der Entschlüsselungsschlüssel überhaupt funktioniert, und keine Garantie dafür, dass Sie nicht erneut angegriffen werden. 

Ganz im Gegenteil, der Angreifer hat höchstwahrscheinlich weiterhin Zugriff auf Ihre Umgebung – und da Sie einmal bezahlt haben, besteht eine gute Chance, dass Sie wieder bezahlen werden. 

Mehrere Sicherheitsorganisationen berichten, dass etwa 78 % der Organisationen, die eine Lösegeldforderung bezahlen, danach erneut ins Visier genommen werden. Also zahlen Sie einfach nicht das Lösegeld, oder? Ganz so einfach ist es in der Praxis dann aber auch nicht. Je nach Schwere des Angriffs kann ein Unternehmen sich möglicherweise nicht ohne Bezahlung erholen. 

Wenn der Angreifer auf die Backups zugreifen kann, werden diese sicher verschlüsselt (der Angriff beginnt mit den Backups). Ohne Backups kann die Infrastruktur nicht wiederhergestellt werden. Selbst wenn es brauchbare Backups gibt, können viele Unternehmen den Kosten und den Zeitaufwand für die Neuerstellung aller Daten nicht stemmen. 

In größeren Unternehmen könnten die Kosten für den Wiederaufbau und die Wiederherstellung ihrer Umgebungen das Lösegeld bei weitem überwiegen. In diesen Fällen können sie es sich nicht leisten, nicht zu zahlen. 

Außerdem darf man den Zeitfaktor nicht außer Acht lassen. Die Wiederherstellung kann Wochen oder sogar Monate in Anspruch nehmen. In dieser Zeit sind die unternehmenskritischen Dienste, auf die sich die Mitarbeiter verlassen, natürlich nicht verfügbar. Der Druck, diese Services wiederherzustellen, kann enorm sein. 

Der Wiederherstellungsprozess ist nur die halbe Wahrheit. Wie oben bereits erwähnt verwenden die meisten Ransomware-Gangs jetzt „Double Extortion“-Malware. Sie stehlen zuerst alle Daten und verschlüsseln sie dann. 

Unternehmen sehen sich dann mit der Gefahr konfrontiert, dass vertrauliche Informationen für alle offengelegt werden. Das Ergebnis wären Marken- und Reputationsschäden für das Unternehmen, Vertrauensverlust und mögliche Bußgelder oder andere Strafen. Ein Opfer kann mit Geldstrafen für die Nichteinhaltung von Datenschutzgesetzen belegt werden, und muss dann auch Mitarbeiter, deren Daten bei der Verletzung gestohlen wurden, eine Kreditüberwachung bieten.

Wenn zu diesen Kosten noch die Kosten für die Wiederherstellung kommen, ist das Ergebnis of der finanzielle Ruin. In einigen Fällen sind die Ergebnisse katastrophal, und das Unternehmen kann sich gar nicht von dem Angriff erholen. 

Im Jahr 2022 musste das Lincoln College in Illinois aufgrund eines Ransomware-Angriffs dauerhaft schließen. Aufgrund der COVID-19-Pandemie war das College bereits in finanziellen Schwierigkeiten und konnte das Lösegeld nicht bezahlen. Eine andere Abhilfe war jedoch wegen mangelnder Vorbereitung und Vorfallsreaktion auch nicht möglich. 

Das Ergebnis war, dass es nach 157 Jahren Betrieb seine Türen schließen musste – ein herzzerreißendes Resultat.

Letztendlich wird eine Lösegeldzahlung zu einer Geschäftsentscheidung. Einige der Faktoren, die diese Entscheidung beeinflussen, sind:

• Was sind die geschäftlichen Auswirkungen, wenn nicht bezahlt wird?

• Welche geschäftlichen Auswirkungen hat der Verlust extrahierter Daten?

• Können Systeme wiederhergestellt werden, wenn das Lösegeld nicht gezahlt wird?

Die Stadt in unserer Geschichte hat ihren Angreifer nicht bezahlt. Die Beamten konnten mit der Ransomware-Gruppe verhandeln und das Lösegeld deutlich reduzieren. Sie hatten das Glück, ihre kompromittierten Systeme wiederherstellen zu können, und waren nicht vom Entschlüsselungsschlüssel abhängig. 

Sie mussten jedoch eine große Anzahl von Personen darüber informieren, dass ihre Informationen kompromittiert wurden, und allen Betroffenen einen Kreditüberwachungsdienst anbieten. Allerdings hätte das Ergebnis deutlich schlimmer ausfallen können.

Sie machen sich bereits Sorgen? Das ist nachvollziehbar. Der Gedanke, Opfer von Ransomware zu sein, ist beängstigend. Aber er muss Sie nicht um den Schlaf bringen. Ein Plan und eine gewisse Vorbereitung können entweder den Schweregrad eines Ransomware-Angriffs verringern oder den Angriff ganz verhindern. 

Hier sind einige Strategien, die Sie sofort umsetzen können, z. B.:

• Datenbackups

• DNS-Firewalls

• Segmentierung

• Zero‑Trust-Anwendungszugriff

Stellen Sie sicher, dass Sie über eine hervorragende Strategie für Datenbackups verfügen (eine lediglich gute wird hier nicht ausreichen). Sie sollten sicherstellen, dass Sie mehrere Kopien Ihrer Backups haben. Idealerweise sollte mindestens ein Air-Gap-Backup erstellt werden, damit Angreifer nicht darauf zugreifen können. Dies ist eines der ersten Ziele eines Angriffs, stellen Sie also sicher, dass Cyberkriminelle es nicht finden. 

Vergessen Sie nicht, die Wiederherstellung zu üben. Datensicherungen sind erforderlich, aber wenn Sie nicht wissen, wie Sie Ihre Systeme wiederherstellen können, ist das fast so schlimm wie gar keine Backups. Bereiten Sie sich darauf vor, alles wiederherzustellen, insbesondere Ihre unternehmenskritischen Anwendungen, sensiblen Daten und Ihre Infrastruktur.

Phishing-E-Mails sind der häufigste Infektionsvektor für Ransomware. So sehr Sie es auch versuchen, Sie werden niemanden daran hindern, auf Phishing- und andere schädliche Links zu klicken. Sie können die Auswirkungen jedoch minimieren. 

Wenn jemand auf einen schädlichen Link klickt oder einen schädlichen Anhang öffnet, führt sein System eine DNS-Suche nach der Schaddomain durch. Eine DNS-Firewall kann die Auflösung der Schaddomain blockieren und die Funktion des Links nicht zulassen. Eine DNS-Firewall kann ähnliche Verbindungsanforderungen an bekannte Malware-Domains und die Command-and-Control-Infrastruktur blockieren. 

Akamai Secure Internet Access ist eine ausgezeichnete Wahl in puncto DNS-Firewall. Die Bedrohungsforschungsteams von Akamai nutzen fortschrittliche Algorithmen, um die Auflösung schädlicher Domains proaktiv zu verhindern, und die Lösung verfügt sogar über Zero-Day-Phishing-Schutz. 

Es wird noch besser für die SLTT-Regierungen (State, Local, Tribal, and Territorial Governments). Eine kostenlose Version von Secure Internet Access ist für MS-ISAC-Mitglieder über ihren MDBR-Service (Malicious Domain Blocking and Reporting) verfügbar. 

Für Unternehmen, die noch mehr Schutz benötigen, steht Secure Internet Access in Form von MDBR+ von MS-ISAC zur Verfügung, und der CIS CyberMarket bietet für MS-ISAC-Mitglieder, die direkt bei Akamai kaufen möchten, einen drastischen Preisnachlass.

Die traurige Realität ist, dass es nicht darum geht, ob es zu einer Datenschutzverletzung kommt, sondern wann. Wie weit kann sich ein Cyberkrimineller im Falle eines Sicherheitsverstoßes lateral in Ihrer Netzwerkumgebung bewegen, um seine schädliche Software zu verbreiten? 

Die Segmentierung ist der Schlüssel zur Steuerung der lateralen Netzwerkbewegung. Eine grundlegende Segmentierung ist hilfreich, aber die Auswirkungen können immer noch verheerend sein. 

Ich erwähnte bereits, dass die Stadt in der Lage war, das betroffene Segment ihres Netzwerks von den übrigen Abteilungen zu trennen. Der Angreifer konnte dennoch einen verheerenden Ransomware-Angriff starten. Geschäftskritische Dienste für die Stadt waren über einen längeren Zeitraum offline, was zu erheblichen finanziellen Kosten und Reputationsschäden führte. 

Herkömmliche Segmentierungsmethoden setzen auf Layer-2- und Layer-3-Kontrollen in Form von VLANs, Firewall-Kontrollen und Zugriffskontrolllisten. Ein effektiverer Ansatz ist die Mikrosegmentierung. Die Verwendung einer softwarebasierten Methode ermöglicht es Ihnen, die Segmentierung auf der Host-Ebene zu kontrollieren, was das Schadensausmaß im Falle eines Angriffs weiter einschränkt. 

Akamai Guardicore Segmentation ist der Marktführer in diesem Bereich. Akamai Guardicore Segmentation ist eine hostbasierte Firewall-Lösung, die Ihnen einen Einblick in den gesamten Netzwerktraffic in Ihrer Umgebung bietet. So können Sie nicht nur sehen, wer mit wem kommuniziert, sondern auch, worum es geht. 

Das bedeutet, dass wir nicht nur sehen können, welche Geräte miteinander kommunizieren, sondern auch umfangreiche kontextbezogene Layer-7-Informationen über die Prozesse erhalten, die auf jedem System ausgeführt werden. 

Durch diese Transparenz können Sie Richtlinien erstellen, die nur die erforderliche Kommunikation für Ihr Netzwerk und Ihre Anwendungen so ermöglichen, wie sie benötigt werden. Alles, was nicht ausdrücklich erlaubt ist, wird blockiert. Im Falle einer Sicherheitsverletzung kann sich der Angreifer also nicht lateral zu anderen Systemen bewegen und keine Prozesse ausführen, die es ihm ermöglichen, Berechtigungen zu eskalieren. 

Dieser softwarebasierte Ansatz kann die Durchführung von Segmentierungsprojekten vereinfachen und beschleunigen. Dies führt zu einer verbesserten Sicherheitslage mit schnellerem ROI.

In unserer Geschichte über die amerikanische Stadt, die von Ransomware betroffen war, war der Infektionsvektor ein kompromittiertes VPN-Konto. VPNs hatten ihre Zeit; in der heutigen Bedrohungsumgebung brauchen Unternehmen jedoch etwas Besseres. 

Der VPN-Zugriff gewährt dem Nutzer den Zugang zum Netzwerk. Wenn der Nutzer weiß, was er tut, kann er auf alles in diesem Netzwerksegment zugreifen, unabhängig davon, ob er das darf oder nicht. Wie wir gelernt haben, können kompromittierte Anmeldedaten zu Katastrophen führen. 

Ein besserer Ansatz wäre, VPNs durch eine Zero-Trust-Lösung für den Anwendungszugriff zu ersetzen. Diese Produkte bieten Nutzern ein Single Sign-on-Erlebnis, das ihnen Zugriff auf die Ressourcen bietet, die sie für ihre Arbeit benötigen, und nichts anderes. Nutzer können nicht auf Elemente zugreifen, die ihnen nicht zugewiesen wurden. 

Akamai Enterprise Application Access ist für diese Anforderung eine gute Wahl. Unser anwendungsorientierter Proxy-Dienst bietet einen nahtlosen Zugriff auf Anwendungen, unabhängig davon, wo sich der Ursprung der Anwendung befindet oder wo der Nutzer auf die Ressourcen zugreift. Enterprise Application Access kann Ihnen auch mit Remote-Desktop-Protocol-Sitzungen helfen, die Sie noch nicht aus dem Internet genommen haben. Sie können sogar Remote Desktop Protocol- oder SSH-Sitzungen für den Zugriff über einen Webbrowser bereitstellen, was sich perfekt für den Zugriff von Drittanbietern eignet.