In den vergangenen Jahren sind Firmen immer öfter Opfer von Ransomware-Gruppen geworden, die in ihr Unternehmensnetzwerk eingefallen sind. Auch das Nationale Zentrum für Cybersicherheit (NCSC) warnt eindringlich vor der Gefahr, die von Ransomware-Angriffen ausgeht. Die Folgen sind weitreichend und können im schlimmsten Fall dazu führen, dass Unternehmen den Betrieb nicht wieder aufnehmen können. Lesen Sie, welche Techniken die Ransomware-Gruppen nutzen, um einen ersten Zugang in ein Unternehmensnetzwerk zu erhalten. Zudem erfahren Sie unsere empfohlenen Massnahmen zur Härtung von Windows 10 Clients und externen Diensten, die als Defense-In-Depth-Massnahmen die Sicherheit stärken.

Hinweis: Einige der vorgeschlagenen Massnahmen können einen Einfluss auf die tägliche Arbeit von Mitarbeitenden oder IT-Verantwortlichen haben. Im Einzelfall sollte sorgfältig geprüft werden, ob Einschränkungen entstehen und wie diesen begegnet werden kann.

Das Wichtigste in Kürze

• Ransomware sind Schadprogramme, die Computer sperren oder darauf gespeicherte Daten verschlüsseln. Die Täter fordern Zahlungen von ihren Opfern für die Freigabe des Computers oder der Daten. Ransomware wird deshalb auch als Erpressersoftware bezeichnet.
• Ransomware-Angriffe erfolgen über exponierte Zugänge oder mittels Social Engineering wie beispielsweise Phishing.
• Gezielte Schutzmassnahmen finden Sie jeweils bei den spezifischen Themen in diesem Beitrag.
• Generelle Schutzmassnahmen sind:
  – Konfiguration der Softwares und des Betriebssystems
  – Durchführen von Awareness-Kampagnen und Phishing- und Social Engineering-Schulungen
  
• Das Hinzufügen weiterer Sicherheitsmassnahmen kann immer komplimentär zu einer Basis-Härtung und Etablierung einer defensiv ausgerichteten Kultur genutzt werden.
• Je aufwändiger und zeitintensiver ein Angriff für den Angreifer ist, desto eher wird ein Unternehmen von Ransomware (und auch anders motivierten Einbrüchen) verschont.

So werden exponierte Zugänge ausgenutzt

Ausnutzen von Remote-Diensten

1 Exponierte Log-ins von VPNs oder RDP können mit legitimen Zugangsdaten verwendet werden, wenn diese nicht über eine Zwei-Faktor-Authentifizierung (z. B. über ein Smartphone oder ein YubiKey) verfügen.

2 Mittels Remote Exploits (Schadprogramme oder Codes) werden Sicherheitslücken und Fehlfunktionen von Programmen oder Systemen aufgedeckt und ausgenutzt.

Ausnutzen von legitimen Zugangsdaten

Bekannte Methoden von Ransomware-Gruppen, um an legitime Zugangsdaten von Mitarbeitenden zu gelangen:

1 Es werden diverse zum Unternehmen gehörende Log-ins mit E-Mail-Adressen durchprobiert, die über OSINT-Techniken abgegriffen worden sind. Diese Techniken nutzen die Analyse frei zugänglicher Informationen von Zeitschriften bis Social Media-Posts, um Hinweise auf E-Mail-Adressen und Passwörter zu finden. Es wird jeweils pro E-Mail nur ein Versuch mit einem schwachen Passwort wie «Sommer2021!», «Firmenname2021!» etc. unternommen. Gängige Schutzmassnahmen gegen das Erraten von Passwörtern wie das Blockieren des Kontos nach x Zugriffen, greifen daher nicht.

2 Ransomware-Gruppen bedienen sich auch Passwörtern zu Benutzerkonten, die bereits gehackt und geleaked wurden. Diese werden im Firmen-Log-in ausprobiert in der Hoffnung, dass dieses Passwort mehrmals verwendet wurde. Ein solcher Angriff, auch «Credential Stuffing» genannt, fällt kaum auf, da nur ein einziger Zugriffsversuch unternommen wird.

3 Auch private Endgeräte von Mitarbeitenden stellen ein Risiko dar, wenn der Arbeitgeber erlaubt, diese mit dem VPN der Firma zu verbinden oder E-Mails abzurufen. Private Geräte sind oft bedeutend weniger geschützt als Firmen-Geräte. Deshalb sind sie bei Ransomware-Gruppen beliebt, um Schadsoftware zu platzieren und an Zugangsdaten zu gelangen. Auch der Zugriff auf bestehende Sitzungen ist so möglich. Mittels der gestohlenen Sitzungen können mehrstufige Authentifizierungen umgangen werden.

4 Ransomware-Gruppen nutzen auch nicht technische Methoden wie das Anwerben von Mitarbeitenden. Diese werden mit Geldzahlungen bestochen oder durch Erpressung unter Druck gesetzt, um Zugangsdaten herauszugeben. Lesen Sie mehr dazu weiter unten beim Punkt «So werden Social Engineering und Phishing genutzt».

Schutzmassnahmen:

• Einrichten einer Multi-Faktor-Authentifizierung für alle extern verfügbaren Dienste, mindestens jedoch für externe Zugänge (VPN, E-Mail etc.)
• Vermeiden von veralteten Protokollen, welche die Multi-Faktor-Authentifizierung umgehen könnten
• Erwirken einer sinnvollen Password Policy, die starke Passwörter ermöglicht
• Blockieren von schwachen Passwörtern, die beispielsweise den Firmennamen, Teile des Benutzernamens oder eines Datums beinhalten
• Durchführen von Awareness-Kampagnen und Phishing- und Social Engineering-Schulungen
• Ausarbeiten einer sinnvollen Bring Your Own Device Policy (BYOD)

Multi-Faktor-Authentifizierung: Lösung für alles?

Oben beschriebene Zugriffe auf externe Zugänge mit legitimen Zugangsdaten können vor allem durch Multi-Faktor-Authentifizierungen (MFA) verhindert werden – selbst wenn der Angreifer über Zugangsdaten verfügt. Die MFA sollte für alle im Internet exponierten Log-ins, auch von bekannten Cloud-Lösungen wie Microsoft 365, verwendet werden.

Gegen Phishing-Angriffe, die auf den Zugriff von Benutzerkonten abzielen, sind die meisten Multi-Faktor-Authentifizierungen jedoch kein umfassender Schutz. Wenn ein Mitarbeitender sich beispielsweise über eine gefälschte Log-in-Maske anmeldet, wird er wohl auch den zweiten Faktor eingeben. Einen effektiven Schutz gegen Phishing bieten nur Fido2 Hardware Token, Awareness-Kampagnen, Phishing- und Social Engineering-Schulungen und eine offene Gesprächskultur.

Nutzen von Exploits für externe Dienste

Regelmässig werden gefundene Schwachstellen für den Microsoft Exchange Server, VPN-Zugänge und andere im Internet exponierte Dienste herausgegeben. Dies soll Firmen helfen, ihre Sicherheitslücken zu kennen und sie zu schliessen. Meistens sind nämlich bereits Gegenmassnahmen verfügbar. Ransomware-Gruppen jedoch verwenden diese Informationen ebenfalls, um bekannte Schwachstellen auszunutzen, für die Exploits (Schadprogramme oder Codes) vorhanden sind.

Schutzmassnahmen:

• Sicherstellen, dass nur notwendige Dienste im Internet exponiert sind
• Definieren und Umsetzen von Vulnerability- und Patch Management-Prozessen
• Regelmässige Durchführung von Vulnerability Scans
• Einplanen von Notfall-Patches, die ausserhalb der geplanten Update-Zyklen durchgeführt werden
• Regelmässiges Einspielen von Sicherheitsupdates
• Beachten von Meldungen des Herstellers über neue Vulnerabilities

Sollte ganz auf Internet-Dienste verzichtet werden?

Indem eine Firma nur wenige Dienste im Internet exponiert, reduziert sie die Angriffsfläche für Ransomware-Gruppen. Oft lässt es sich aber nicht vermeiden, einen Dienst im internen Netz oder im VPN anzubieten. Für die Dienste, welche im Internet exponiert sein müssen, gilt es daher, besonders sorgfältig und vor allem regelmässig zu prüfen, ob Schwachstellen existieren. Software-Anbieter informieren oft in einem Newsletter über neue Schwachstellen.

Planen Sie genügend Ressourcen ein

Die Definition und Umsetzung von Vulnerability- und Patch Management-Prozessen fordert Ressourcen. Auch das ausserplanmässige Einspielen von Updates braucht Zeit und sollte in der Ressourcenplanung berücksichtigt werden.

So werden Social Engineering und Phishing genutzt

Ein Angreifer führt den Schadcode nicht immer selbst über einen exponierten Zugang aus. Oft werden Mitarbeitende gezielt manipuliert, damit sie unwissend Schadcode auf ihrem Gerät ausführen. Diese zwischenmenschliche Beeinflussung nennt sich Social Engineering. Ihre bekannteste Form ist das Phishing, bei dem beispielsweise per E-Mail Zugangsdaten zu Konten oder Accounts «gepisht» werden.

Spam-Filter schützen hier nur bedingt. Oftmals werden verschlüsselte Archive verwendet, die Sicherheitsfilter daran hindern, den Dateityp zu erkennen oder den Inhalt zu prüfen. Deshalb müssen Mitarbeitende geschult sein, um beispielsweise betrügerische E-Mails zu erkennen und abzuwehren. Dafür brauchen Mitarbeitende auch die Sicherheit, dass sie auch nach einem Fehler (wie das Klicken auf einen Link) die IT informieren können, ohne dass sie Bestrafung und Spott befürchten müssen. Nur so bilden sie einen wertvollen Bestandteil der Sicherheitsarchitektur.

Doppelklick auf Script-Dateien

Schadcode kann durch einen simplen Doppelklick auf einen Anhang ausgeführt werden. Diese automatische Ausführung kann durch die Konfiguration von Standardprogrammen für diverse Dateitypen verhindert werden. Anstatt den Schadcode auszuführen, wird dann beispielsweise das Notepad mit dem Inhalt der Datei geöffnet. Dateitypen, die sich so restriktivieren lassen sind JavaScript und andere Script-Dateien, die mit dem Windows Scripting Host ausgeführt werden, Microsoft HTML-Hilfedateien sowie Powershell- und Batch-Dateien:

1
.js, .jse, .vbs, .vbe, .wsh, .wsf, ps1, .cmd, .bat, .hta

Solche Dateien werden von Nutzenden im täglichen Betrieb selten bis gar nicht benötigt, weswegen diese Massnahme in den meisten Fällen nicht zu Einschränkungen führt.

Speziell die Ausführung von JavaScript- und Visual Basic-basierter Schadsoftware kann durch das Deaktivieren des Windows Scription Hosts komplett unterbunden werden. Diese Massnahme sollte jedoch sorgfältig abgewogen und in einer Testumgebung überprüft werden, da möglicherweise Visual Basic Scripts für den IT-Betrieb benötigt werden.

Für Administratoren bieten die Kommandozeileninterpreter CMD.exe und Powershell mächtige Werkzeuge zur Systemverwaltung. Allerdings sind diese auch unter den Lieblingswerkzeugen von Ransomware-Gruppen. Mit den Programmen lassen sich Tasks durch Skripte automatisieren. Standard-Benutzerkonten benötigen CMD.exe und Powershell oft nicht.

CMD.exe und Powershell können über App Locker-Regeln eingeschränkt werden. Insbesondere die Powershell bietet fein granulierte Konfigurationsmöglichkeiten via Script Signing (Execution Policy) und eingeschränkter Sprachfunktionalität (Constrained Language Mode). Zudem sollte die Powershell in der Version 2.0 sowie die Powershell ISE deinstalliert werden. Beides kann dazu genutzt werden, Sicherheitskonfigurationen wie Excution Policy, Constrained Language Mode und Logging zu umgehen. Probleme können durch das Einschränken der beiden Programme entstehen, wenn Skripte beim Laden eines Profils im Kontext eines Standard-Benutzerkontos ausgeführt werden. Solche Skripte können jedoch signiert werden, wenn nur signierte Skripte zugelassen sind.

Schutzmassnahmen:

• Assoziieren von Dateitypen mit einem Default-Programm, z. B. Notepad.exe
• Deinstallieren von Powershell Version 2.0
• Deinstallieren von Powershell ISE
• Deaktivieren von Windows Scription Host
• Einsetzen von AppLocker
• Einschränken von CMD.exe und Powershell
• Durchführen von Awareness-Kampagnen und Phishing- und Social Engineering-Schulungen

LNK (Verknüpfungen)

Verknüpfungen werden als Anhang versendet und enthalten einen Link auf ein Programm oder weiteren Schadcode. Das Aktivieren der Verknüpfung kann nicht verhindert werden. Allerdings wird in vielen Fällen ein Programm aufgerufen, welches von Nutzenden selten bis nie verwendet wird. Die Ausführung von diesen Programmen kann über eine AppLocker Policy verhindert werden. Es muss jedoch im Einzelfall geprüft werden, ob das Programm für Standard-Benutzerkonten benötigt wird. Relevante Systemhärtungsmassnahmen sind die Einschränkung der Ausführung der Powershell und CMD.exe mittels App Locker sowie die Einschränkung der Powershell mittels Script Signing und Constrained Language Mode.

Schutzmassnahmen:

• Einsetzen von AppLocker
• Deinstallieren von Powershell Version 2.0
• Deinstallieren von Powershell ISE
• Einschränken von CMD.exe und Powershell
• Einschränken von Powershell

Makro-aktivierte Dokumente

Die bekannteste Verbreitungsart von Schadcode sind wohl MS Office-Dokumente, welche Makros beinhalten. Werden diese Makros aktiviert, wird Schadcode ausgeführt oder aus dem Internet nachgeladen und ausgeführt. Oft wird von der Nutzung von Makros in Office-Dokumenten abgeraten. Allerdings ist dies in vielen Unternehmen nicht möglich oder sinnvoll, weil beispielsweise Dokumente mit externen Partnern ausgetauscht und Tabellen mit Makros ausgewertet werden.

Jedoch kann als erster Schritt geprüft werden, ob alle Mitarbeitenden, welche MS Office verwenden, auch Makros benötigen. Für alle, die keine Makros benötigen, können diese komplett blockiert werden. Eine entsprechende Aufteilung der Benutzergruppen im Active Directory nach Abteilungen ist dazu sicher hilfreich. Braucht das Controlling Makros, kann diese Benutzergruppe eine entsprechende Freigabe über die Gruppenzugehörigkeit im Active Directory erhalten.

Werden Makro-aktivierte Dokumente ausschliesslich intern verwendet, können diese auch über die Einstellung in Word (Disable all macros except digitally signed macros) und in Excel (Disable VBA macros except digitally signed macros) generell blockiert werden. Eigene interne Makros, denen somit vertraut wird, können mit einem Zertifikat signiert werden. Die signierten Makros können dann von Mitarbeitenden wie gewohnt aktiviert werden.

Microsoft Office bietet zudem die Möglichkeit, eine Trusted Location zu definieren. Office-Dokumente, die in einer Trusted Location platziert sind, werden nicht vom Trust Center geprüft. Makros in Dokumenten werden dann direkt ohne eine Warnung ausgeführt. Die Trusted Location kann verwendet werden, um Makros generell zu deaktivieren, diese aber für spezifische Dokumente zuzulassen. Dabei sollte jedoch beachtet werden, dass Nutzende selbst Dokumente in einer Trusted Location ablegen könnten. Dennoch erhöht es das Sicherheitsniveau, die Makros auf diese Weise einzuschränken, als sich nur auf das Warnungsbanner zu verlassen, welches ebenfalls umgangen werden kann.

Weitere Massnahmen, um die Auswirkungen abzuschwächen, sind ähnlich wie die Massnahmen für Verknüpfungen. Das Blockieren respektive Einschränken der Powershell und CMD.exe reduziert den Spielraum etwas Auszuführen bereits stark.

Wird der Microsoft Windows Defender verwendet, können auch Advanced Attack Surface Reduction Rules verwendet werden, um MS Office abzusichern. Die Regeln sollten aber unbedingt im Einzelfall geprüft und erst nach einer Audit-Phase aktiviert werden. Alternativ zu den Advanced Attack Surface Reduction Rules kann auch ein EDR eines anderen Herstellers mit Feature-Parität verwendet werden.

Schutzmassnahmen:

• Erlauben von Makros nur für ausgewählte Benutzergruppen
• Zulassen von ausschliesslich signierten Makros
• Einsetzen von AppLocker
• Deinstallieren von Powershell Version 2.0
• Deinstallieren von Powershell ISE
• Einschränken von Powershell
• Nicht erlauben von Makros aus dem Internet
• Einsetzen von Advanced Attack Surface Reduction Rules oder EDRs

Erpressung und Bestechung

Ransomware-Gruppen werben auch Insider an, um einem Unternehmen zu schaden. Über Gespräche auf Internetplattformen wie LinkedIn wird versucht, mit Mitarbeitenden eines Unternehmens in Kontakt zu treten. Meist wird dabei Erpressung oder Bestechung eingesetzt. Vor allem haben es die Gruppierungen dabei auf Personen in der IT abgesehen. Diese, oder andere Personen mit den notwendigen Berechtigungen, sollen die Schadsoftware auf einem IT-System des Unternehmens ausführen.

Massnahmen gegen solche Attacken zu finden, ist komplex. Die Entwicklung geht in Richtung der Konzepte «Assume Breach» und «Zero Trust». Assume Breach wird dann eingesetzt, wenn eine Infektion mit Schadsoftware stattgefunden hat. Das Zero Trust-Konzept beschreibt dagegen verallgemeinert eine Resilienz des Netzwerks gegenüber eines Angriffs, der initial erfolgreich war. Bei einem initialen Erfolg haben Angreifer zwar Zugang auf das Netzwerk, müssen aber ihre Privilegien erweitern – selbst wenn ein Benutzerkonto mit hohen Rechten gehackt wurde.

Ein Benutzerkonto sollte immer zweckgebunden sein. Hohe Berechtigungen sollten nur dann vergeben werden, wenn dies nachvollziehbar ist – und wenn nötig im Vier-Augen-Prinzip. Die Netzwerküberwachung auszubauen ermöglicht es zudem, Angreifer zu erkennen, auch wenn diese bereits Zugriff auf das Netzwerk erlangt haben.

Schutzmassnahmen:

• Umsetzen von Assume Breach-Konzepten
• Umsetzen von Zero Trust-Netzwerken
• Ausbauen der Netzwerküberwachung
• Durchführen von Threat Hunting
• Regelmässige Attack Simulations und Red Teamings
  
  

Ransomware-Gruppen bedienen sich ausgefeilter Tricks und Softwares. Solche Angriffe können Ihrem Unternehmen erheblich schaden. Sie möchten Ihr Unternehmen schützen? Sensibilisieren Sie Ihre Mitarbeitenden mittels Awareness-Kampagnen und Phishing- und Social Engineering-Schulungen. Lassen Sie sich beraten und erfahren Sie, welche ergänzenden Massnahmen für Ihr Unternehmen sinnvoll sind.