Der Forensikbericht zum Angriff auf die Kärntner Landesregierung Ende Mai 2022 liegt vor: Ein Phishing-Mail hat den Angriff ermöglicht und zur Kompromittierung von rund 250 Gigabyte Daten geführt. Die Computersysteme lagen mehrere Tage lahm. Anfang Juli ist nun ein Großteil der Systeme wiederhergestellt. [1] Hinter dem Cyberangriff steckt die Ransomware BlackCat, dahinter wiederum steht die Ransomware-Gruppe ALPHV. BlackCat wurde als erste weit verbreitete Ransomware in der Programmiersprache RUST geschrieben, die als sehr sicher und leistungsfähig gilt. Die Malware wird als „Ransomware as a Service“ angeboten: Sie kann gegen Bezahlung bzw. Beteiligung am Lösegeld inkl. der notwendigen Infrastruktur „gemietet“ werden. Beizusteuern bleibt der Zugang zum Opfersystem.
Einfallstore für Ransomware BlackCat
Das FBI berichtete bis März 2022 von mindestens 60 erfolgreichen Angriffen mit BlackCat weltweit. Zugleich warnt es vor bekannten Kompromittierungsindikatoren (IOCs) und Taktiken, Techniken und Verfahren (TTPs). [2] Mit weiteren Angriffen ist zu rechnen.
Als typisches Angriffsszenario mit BlackCat werden kompromittierte Benutzeranmeldeinformationen genannt, um sich Zugriff auf das Opfersystem zu verschaffen. Im Fall der Kärntner Landesregierung war ein erfolgreiches Phishing-E-Mail Startpunkt der Attacke.
Weitere Szenarien sind denkbar. Da die Malware von jeder und jedem mit genug krimineller Energie genutzt werden kann, kann auch das Einfallstor auf die Akteure sowie das Zielsystem zugeschnitten werden, beispielsweise indem Sicherheitslücken im Zielsystem genutzt werden.
Typische Einfallstore gegen BlackCat-Ransomware & Co. absichern
- Secure E-Mail Gateways: E-Mail-Security-Lösungen können vor Phishing und Ransomware schützen, indem sämtlich Anhänge, das E-Mail selbst sowie enthaltene Links überprüft werden. Unbekannte und möglicherweise schädliche Inhalte können mit Sandbox-Analysen, bei denen die Inhalte in einer abgeschotteten Umgebung ausgeführt werden, erkannt werden.
- Sichere Benutzerdaten: Starke Passwörter sind ausreichend lang, einzigartig und haben ein Ablaufdatum. Passwörter sollten mindestens 12 Stellen haben und dabei mindestens drei verschiedene Zeichenarten (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen) verwenden. Für jedes Konto ist ein anderes Passwort zu setzen. Ein Ablaufdatum hilft dabei, kompromittierte Passwörter automatisch aus dem Verkehr zu ziehen. Zusätzlich sollten wichtige Dienste mittels Zwei-Faktor-Authentifizierung (2FA) Multi-Faktor-Authentifizierung (MFA) abgesichert werden.
- Security Awareness: Regelmäßige Schulungen und Informationen zu Bedrohungsszenarien schärfen die Aufmerksamkeit für verdächtige E-Mails, Anfragen oder Vorkommnisse. User sind der größte Risikofaktor für Cyberangriffe. Da zudem die technische Umsetzung und die Tricks der Kriminellen immer ausgefeilter werden, lohnt es sich, in Awareness, Wissen und die richtige Reaktion im Verdachtsfall zu investieren.
- EDR-Agents: EDR-Funktionen konsolidieren alle Informationen über jeden sicherheitsrelevanten Zwischenfall und liefern relevanten Kontext. IT-Teams sind schnellstmöglich handlungsfähig und haben zudem alle Werkzeuge an der Hand, um Gegenmaßnahmen einzuleiten und Spuren zu sichern.
Weitere Sicherheitsmaßnahmen gegen Ransomware und andere Cyberangriffe
- Netzwerk segmentieren: Bei der Netzwerksegmentierung wird das Netzwerk in kleinere, separate Subnetzwerke unterteilt. Für jedes Segment können Sicherheitskontrollen eingeführt und der Datenverkehr kann kontrolliert werden. Das erleichtert einerseits die Überwachung sowie andererseits das Abschotten von (potenziell) infizierten Bereichen.
- Backup-Strategie: Der effektivste Weg, um nach einer Ransomware-Attacke wieder handlungsfähig zu werden, führt über ein aktuelles, funktionales Backup. Die Backup-Routine muss dabei zwingend die Trennung vom Netzwerk enthalten, damit das Backup im Fall einer Infektion nicht einfach mit verschlüsselt wird. Bei Cloud-Services sollte Multi-Faktor-Authentifizierung verwendet werden. Da Backups bei Ransomware-Angriffen teils gezielt angegriffen werden, um der Lösegeldforderung Nachdruck zu verleihen, gilt es die Backup-Infrastruktur ausreichend zu schützen.
- Incident Response Plan: Im Fall eines Angriffs oder Angriffsversuchs gilt es schnell und richtig zu reagieren, um technische und finanzielle Folgen einzudämmen. Orientierung dabei bietet ein Notfallplan für Cyber Security Incidents, der die Maßnahmen und Zuständigkeiten regelt. Er ist vor dem Eintritt eines Sicherheitsvorfalls zu erstellen. Eine professionelle Alternative stellten Incident Response Services dar, die in Rufbereitschaft bei Bedarf die Investigation und Ersteinschätzung übernehmen, Angriffsspuren sichern, Schwachstellen erkennen, Infektionen bereinigen und die Systeme wiederherstellen.
- Managed Security Service Provider (MSSP): Cyber-Security Dienstleister, so genannte Managed Security Service Provider, unterstützen bei fehlenden Ressourcen oder Know-how dabei, die IT-Systeme sicher zu gestalten oder zu betreuen. Professionelle Reviews bestehender Security-Konzepte sowie Optimierungen im Netzwerk und der Infrastruktur stärken die Prävention und Resilienz gegen Cyberattacken.
Leitfaden für die richtige Reaktion auf Ransomware-Attacken
Unser Tipp: Der IKARUS Leitfaden „Do’s and Don’ts bei Ransomware“ zeigt auf, welche Fehler Sie unbedingt vermeiden sollten, welche Maßnahmen und Entscheidungen im Ernstfall zu treffen sind sowie welche Fragen und Leitlinien intern geklärt werden müssen. Jetzt downloaden!
Security Services zum Schutz gegen Ransomware
- IKARUS 24/4 incident.response (powered by Mandiant)
- IKARUS managed.defense (Security Services & Know-how)
- IKARUS mail.security mit ATP (Advanced Threat Protection)
- Nozomi Guardian powered by IKARUS (inkl. Threat Intelligence)
- SECUTAIN Awareness-Kampagnen, Pakete, Beratung & Schulung
Haben Sie Fragen oder suchen Sie Unterstützung?
Kontaktieren Sie uns unter Tel. +43 1 58995-500 oder sales@ikarus.at! Wir beraten und unterstützen Sie gerne.
Quellen: