Ransomware im ersten Halbjahr 2017: Globale Zunahme unterstreicht die Wichtigkeit von Sicherheitsmaßnahmen


Im ersten Halbjahr 2017 erreichten Ransomware-Bedrohungen ein neues Maß an Raffinesse. Im gleichen Zeitraum gab es nach einem sechsmonatigen Abwärtstrends auch wieder einen Anstieg beim Auftreten von Ransomware. Neuer Ransomware Code wurde mit höherer Geschwindigkeit und steigender Komplexität veröffentlicht. Zwei großflächige Ransomware-Vorfälle machten das Thema Cybersecurity zum Tagesgespräch, da die Auswirkungen der Angriffe weltweit sowohl für Unternehmen als auch für Einzelpersonen spürbar waren.

Der kürzlich für das erste Quartal 2017 veröffentlichte Microsoft Security Intelligence Report, der die Veränderungen in den verschiedensten Bereichen von Bedrohungen zusammenfasst, zeigt eine anhaltende globale Präsenz von Ransomware. Das höchste Aufkommen – definiert als Prozentsatz von Computern, die Echtzeit-Sicherheitsprodukte von Microsoft zur Erkennung und Blockierung von Ransomware nutzen – wurde in der Tschechischen Republik, Korea und Italien von Januar bis März 2017 gemessen.

Diese nachhaltigen Ransomware-Kampagnen und großflächigen Angriffe unterstreichen weiterhin die Notwendigkeit einer erweiterten umfassenden Cybersecurity-Strategie. In diesem Blogbeitrag werden die wichtigsten Erkenntnisse von Microsoft zur Ransomware-Landschaft zusammengefasst und ein Einblick gegeben, welche Schlüsse man aus den Trends und Entwicklungen in diesem Jahr ziehen kann.

Bild 1: Die globale Verteilung des Aufkommens von Ransomware nach Monaten, Januar bis Juli 2017

Ransomware-Wachstum nimmt zu

Im März 2017 begann die Menge an Ransomware wieder zuzunehmen, nachdem sie zuvor einige Monate lang zurückgegangen war. Dieses Wachstum wird bis zu einem gewissen Maß durch das Auftreten von bereits etablierter Ransomware-Operations wie Cerber angetrieben, mit einem wahren Ansturm von Angriffen auf Basis von Ransomware-as-a-Service.

Bild 2: Gesamtaufkommen von Ransomware nach Monat, Juli 2016 bis Juni 2017 (Quelle: Ransomware FAQ-Seite)

Zum Teil wird dieser Anstieg auch durch die Entstehung neuer Ransomware-Familien vorangetrieben, die in einer immer höheren Rate veröffentlicht werden. Im ersten Halbjahr 2017 entdeckten wir 71 neue Ransomware-Familien, ein Anstieg im Gegensatz zu den 64 neuen Familien im Vergleichszeitraum im Jahr 2016.

Einige der neuen Ransomware-Familien stechen dabei heraus, da sie neue Verhaltensweisen an den Tag legen, die sie deutlich komplexer machen. So zeigt zum Beispiel die neueste Ausgabe des Microsoft Security Intelligence Reports, dass im März 2017 Cerber von der erst zwei Monate alten Spora als vorherrschende Ransomware-Familie überholt wurde.

Bild 3: Trends für einige der am häufigsten auftretenden Ransomware-Familien im ersten Quartal 2017 (Quelle: Microsoft Security Intelligence Report 22)

Der schnelle Aufstieg von Spora ist vielleicht darauf zurückzuführen, dass es in der Lage ist, sich über Netzwerk-Laufwerke und Wechseldatenträge wie USB-Sticks zu verbreiten. Die anfänglichen Versionen zielten auf Russland und beinhalteten eine “Lösegeldforderung” in der Landessprache. Im Zuge der globalen Ausbreitung wurde auch andere Länder befallen, in diesen Fällen mit einer englischsprachigen Forderung.

Weitere erwähnenswerte neue Ransomware-Familien im Jahr 2017 sind Jaffrans, Exmas und Ergop. Auch wenn diese Familien nicht ganz die Verbreitung wie Spora erreicht haben, zeigen sie dennoch Anzeichen von Beständigkeit und kontinuierlichen Verbesserungen, die auch von älteren, erfolgreichen Familien bekannt sind.

Microsoft schützt Kunden vor solcher neuer sich ausbreitender Ransomware wie Spora durch eine Kombination aus fortgeschrittenen heuristischen Methoden, Generika und Machine Learning, die im Zusammenspiel einen vorausschauenden Echtzeitschutz bieten. Vor kurzem haben wir in einem anderen Blogbeitrag demonstriert, wie wir durch Verbesserungen beim Windows Defender Antivirus Cloud Protection Service besseren Schutz vor bisher nicht bekannter Ransomware bieten können.

Der Anstieg der globalen Ransomware-Ausbrüche

WannaCrypt (auch bekannt als WannaCry) ist eine der bekanntesten Ransomware, die dieses Jahr neu aufgetreten ist. Es wurde im Mai bekannt durch einen Exploit, der sich über eine gepatchte Sicherheitslücke und veraltete Windows 7-Computer zuerst in Europa und dann weltweit verbreitete (Windows 10-Computer waren von diesem Exploit nicht betroffen). Die Attacke hinterließ mehrere betroffene Organisationen, High-Tech-Einrichtungen und andere Anbieter.

Nur wenige Wochen nach WannaCrypt sorgte eine neue Variante von Petya für Chaos. Diese verwendete einige der Ausbreitungstechniken, die auch von WannaCrypt genutzt wurden, verfügte aber über mehr Methoden, um sich innerhalb eines Netzwerks ausbreiten zu können. Der Ausbruch startete in der Ukraine, wo eine kompromittierte Lieferkette die Ransomware über einen Software-Update-Prozess verteilte. Innerhalb weniger Stunden breiteten sich die Petya-Infektionen rasch auch in andere Länder aus. Der Petya-Ausbruch war zwar nicht so weit gestreut wie der von WannaCrypt, allerdings machten, wie unsere detaillierte Analyse von Petya zeigt, seine Upgrades es deutlich komplexer und dadurch verursachte es bei den betroffenen Organisationen mehr Schaden.

WannaCrypt und Petya folgten nicht dem Trend von gezielteren lokalen Angriffen und waren nach einer Weile die ersten globalen Malware-Angriffe. So sorgten sie weltweit für ein breites Interesse. Interessanterweise könnte diese Aufmerksamkeit die Angreifer vor mehr Herausforderungen stellen. Zum Beispiel wurden die in diesen Angriffen verwendeten Bitcoin Wallets von Sicherheitsbeauftragten genau beobachtet.

WannaCrypt und Petya haben gezeigt, dass Ransomware-Angriffe, die auf anspruchsvolle Exploits auf globaler Ebene setzen, großen Schaden hinterlassen können. Derartige globale Attacken unterstreichen die Notwendigkeit, Ransomware-Epidemien abzuwehren, indem Responder dazu befähigt werden, Angriffe zu entdecken, zu untersuchen und darauf zu reagieren, sodass Infektionen eingedämmt werden und sich nicht weiterverbreiten können. Security Patches müssen dann genutzt werden, wenn sie verfügbar sind.

Steigende Raffinesse

Der Trend hin zu globalen Ausbrüchen ist wahrscheinlich ein Resultat der steigenden Anzahl von Techniken, die bei Ransomware genutzt werden. WannaCrypt, Petya, Spora und andere neue Ransomware-Varianten vereinen neue Fähigkeiten, die es ihnen erlaubten, sich schneller zu verbreiten und mehr Chaos zu verursachen als andere Malware.

Laterale Verbreitung mithilfe von Exploits

Sporas erwähnte Fähigkeit, sich über Netzwerk-Laufwerke und Wechseldatenträger zu verbreiten, machte sie zu einer der am weitesten verbreiteten Ransomware. Obwohl es nicht die erste Ransomware-Familie war, die einen wurmähnlichen Verbreitungsmechanismus nutzte, war sie in der Lage, diese Fähigkeit zu nutzen, um deutlich mehr Computer zu infizieren.

Mit solchen Wurm-Eigenschaften können Ransomware-Attacken Auswirkungen hinter der Endpoint Security haben, was neue Herausforderungen für Unternehmensnetzwerke mit sich bringt. Dies traf insbesondere auf WannaCrypt zu, welches eine Sicherheitslücke ausnutzte, die Netzwerke mit veralteten Rechnern betraf (CVE-2017-0144, auch EternalBlue genannt, die im Vorfeld mit dem Security Update MS17-010 gepatcht wurde).

Petya erweiterte den Verbreitungsmechanismus von WannaCrypt, indem es nicht nur eine sondern zwei Sicherheitslücken ausnutzte. Neben CVE-2017-0144 nutze Petya auch CVE-2017-0145 (bekannt als EternalRomance und gepatcht im selben Sicherheitsupdate wie EternalBlue), welche veraltete Systeme betraf.

Diese beiden Attacken demonstrierten nachhaltig, wie wichtig es ist, Security Updates zu installieren sobald diese verfügbar sind. Gleichermaßen stellen sie heraus, wie wichtig es ist, schädliches Verhalten in Zusammenhang mit Exploits zu erkennen und zu unterbinden.

Der wichtige Hinweis, dass weder EternalBlue noch EternalRomance Windows 10 beeinträchtigt haben, zeigt welche Vorteile es mit sich bringt, immer die aktuellste und sicherste Version einer Plattform oder Software in Betrieb zu haben. Selbst wenn die Exploits entworfen worden wären, um auf Windows 10 zu arbeiten, verfügt die Plattform über mehrere Techniken zur Entschärfung von Exploits, einschließlich „Zero-Days“. Darüber hinaus erkennt Windows Defender Advanced Threat Protection (Windows Defender ATP) schädliche Aktivitäten, die sich aus Exploits ergeben, ohne die Notwendigkeit von Signatur-Updates.

Diebstahl von Zugangsdaten

Eine der erwähnenswerten Eigenschaften von Petya ist die Fähigkeit zum Diebstahl von Zugangsdaten, sowohl über die Nutzung eines Credential Dumping Tools als auch über das Stehlen aus dem Credential Store. Diese Fähigkeit stellt eine schwierige Sicherheitsherausforderung für Netzwerke mit Benutzern dar, die sich mit lokalen Administratorrechten anmelden und aktive Sitzungen über mehrere Maschinen eröffnen. In dieser Situation können gestohlene Anmeldeinformationen das gleiche Zugriffsniveau bieten, das die Benutzer auf anderen Maschinen haben.

Die Verbreitung von Petya ist daher ein Beleg für die Wichtigkeit für Pflege bzw. Hygiene bei Zugangsdaten. Unternehmen müssen regelmäßig privilegierte Konten überprüfen, die uneingeschränkten Netzwerkzugang und Zugriff auf Unternehmensgeheimnisse und andere sensible Daten haben. Credential Guard verwendet virtualisierungsbasierte Sicherheit, um abgeleitete Domain-Anmeldeinformationen zu schützen und Versuche zu unterbinden, die zum Ziel haben privilegierte Konten zu kompromittieren.

Network Scanning

Mithilfe von Exploits oder gestohlenen Anmeldeinformationen kann sich Ransomware durch Network Scanning in Netzwerken ausbreiten. So hat Petya zum Beispiel betroffene Netzwerke gescannt, um valide Verbindungen zu anderen Computern aufzubauen. Petya suchte außerdem nach Network Shares, um sich über diese weiter zu verbreiten.

WannaCrypt hingegen scannte massiv IP-Adressen, um Rechner ausfindig zu machen, die für den EternalBlue Exploit anfällig waren. Dies gab ihm die Möglichkeit, sich auf veralteten Computern außerhalb des Netzwerks zu verbreiten. Network Defender können unberechtigte Netzwerk-Scan-Verhaltensweisen aufdecken und stoppen.

Zerstörerisches Verhalten

In den meisten Fällen von Ransomware ist die Motivation des Angreifers klar: Opfer müssen die geforderte Summe zahlen oder sie erhalten nie wieder Zugriff auf ihre verschlüsselten Daten. Obwohl es keine Garantie dafür gibt, dass die Dateien nach Zahlung der Summe wieder entschlüsselt werden, wird bei der meisten Ransomware die Intention des Angriffs durch eine sog. „Ransom Note“ deutlich gemacht. Im August verlangten die Personen hinter WannaCrypt eine Lösegeldzahlung in Form von Bitcoins.

Petya verhielt sich hier, wie die meiste andere Ransomware. Die Angreifer leerten die Petya Online Wallets im Juli. Allerdings hatte Petya auch deutlich mehr zerstörerische Routinen: Es überschrieb oder beschädigte das Master Boot Record (MBR) und das Volume Boot Record (VBR), was die betroffenen Rechner unbrauchbar machte. Dies löste eine Diskussion aus, ob diese Petya-Variante nun in erster Linie eine Ransomware wie WannaCrypt war oder eine zerstörerische Cyberattacke im Stil von Depriz (auch bekannt als Shamoon).

Bild 4: Petya zeigte komplexes Verhalten, welches nicht typisch für Ransomware ist.

Die Debatte ist noch nicht zu Ende, aber die Petya-Attacke machte einen wichtigen Punkt klar: Angreifer können leicht andere Sprengladungen in den Ransomware-Code integrieren, um gezielte Angriffe und andere Arten von zerstörerischen Cyberattacken zu ermöglichen. Da die Bedrohung durch Ransomware stark ansteigt, ist es sowohl für Privatpersonen als auch für Unternehmen wichtig, eine solide Cybersecurity-Strategie und eine Protection Suite zu haben, die vor dem End-to-End-Ransomware-Infektionsprozess Schutz bieten.

Eine integrierte End-to-End Security Suite gegen Ransomware

Aufgrund der schwerwiegenden globalen Ausbrüche und anderen bemerkenswerten Trends können die ersten sechs Monate im Jahr 2017 ohne Abstriche als die turbulenteste Periode in der Geschichte der Ransomware bezeichnet werden. Die Beobachtungen, die wir in diesem Blogbeitrag zusammengefasst haben, heben die Macht und die Gefahr von Ransomware hervor. Leider sind aufgrund der beobachteten Trends auch in naher Zukunft derartig anspruchsvolle oder noch komplexere Angriffe zu erwarten. Umso wichtiger ist es, dass wir aus diesen Angriffen und Entwicklungen lernen sollten, da sie die Bereiche der Cybersecurity herausstellen, die verbessert bzw. neu bewertet werden müssen.

Bei Microsoft arbeiten wir mit Hochdruck daran, Windows 10 kontinuierlich weiter gegen Ransomware und andere Arten von Angriffen zu wappnen.

Im kommenden Windows 10 Fall Creators Update werden die Sicherheitslösungen von Microsoft in eine mächtige Oberfläche integriert – eine zentralisiertes Management, das es Kunden ermöglicht, die Sicherheit für Geräte im Netzwerk zu überwachen, zu verwalten und zu integrieren. Windows Defender ATP wird erweitert, sodass es nahtlos mit dem gesamten Windows Protection Stack integriert ist. Die verfügbaren Tools werden den neuen Windows Defender Exploit Guard und Windows Defender Application Guard sowie den verbesserten Windows Defender Device Guard und Windows Defender AV beinhalten.

Bereits heute bietet das Windows 10 Creators Update Technologien, die vor Ransomware-Attacken schützen.

Bild 5: Windows 10 End-to-End Protection Stack (Quelle: Next-gen ransomware protection with Windows 10 Creators Update)

Windows 10 bietet verschiedene Techniken zur Entschärfung von Exploits. Dazu gehören der Control Flow-Guard for Kernel (kFCG), Kernel Mode Code Integrity (KMCI), eine bessere Kernel Address Space Layout Randomization (KASLR), NX HAL und PAGE POOL (nicht-ausführbare Kernel-Regionen). Diese Mitigations helfen, Windows 10 belastbarer gegen Exploit-Attacken zu machen, wie sie von WannaCrypt und Petya verwendet wurden.

Intelligenter Security Graph und Machine Learning

Die Security-Technologien von Windows 10 basieren auf dem Microsoft Intelligent Security Graph, welcher Signale von Milliarden von Sensoren zueinander in Beziehung setzt. Einzigartige Einblicke aus dieser umfangreichen Sicherheitsintelligenz ermöglichen es Microsoft, Echtzeit-Schutz durch Windows Defender AV, Windows Defender ATP und andere Next-Gen-Sicherheitstechnologien zu liefern.

Die zunehmende Menge und Komplexität von Ransomware erfordert erweiterten Echtzeit-Schutz. Windows Defender AV verwendet präzise Machine Learning-Modelle sowie generische und heuristische Techniken, eine verbesserte Erkennung von skriptbasierter Ransomware und eine verbesserte Verhaltensanalyse, um sowohl gebräuchlichen als auch komplexen Ransomware-Code zu erkennen. Durch die Nutzung des Cloud Protection Service kann Windows Defender AV Echtzeitschutz bieten. Durch aktuelle Verbesserungen kann der Cloud Protection Service eine schnelle Bewertung von neuen und unbekannten Dateien machen, sodass Windows Defender AV neue Malware blockieren kann, wenn diese das erste Mal auftritt.

Windows Defender Advanced Threat Protection gibt SecOps-Teams die Möglichkeit, Ransomware-Ausbreitung im Netzwerk zu unterbinden. Sowohl WannaCrypt als auch Petya zeigten, wie schwierig es ist, Ransomware-Angriffe zu erkennen, zu untersuchen und darauf zu reagieren und so die Verbreitung zu verhindern. Die verbesserten Bibliotheken in den Bereichen Verhaltens- und Machine Learning-Erkennung von Windows Defender ATP kennzeichnen bösartiges Verhalten über den gesamten Infektionsprozess bei Ransomware. Die neue Prozessbaum-Visualisierung und Verbesserungen bei der maschinellen Isolierung helfen bei Sicherheitsoperationen dabei, Ransomware-Angriffe zu untersuchen und darauf zu reagieren.

Online-Sicherheit mit Microsoft Edge und Office 365 Advanced Threat Protection

Microsoft Edge kann beim Blockieren von Ransomware-Infektionen aus dem Web unterstützen, indem es Seiten innerhalb von App Container-Boxen öffnet. Er nutzt eine reputationsbasierte Blockierung von Downloads. Seine Click-to-Run-Funktion für Flash kann Ransomware-Infektionen stoppen, die mit Exploit-Kits beginnen.

Um vor Ransomware-Attacken zu schützen, die durch E-Mails hervorgerufen werden, nutzt Microsoft Exchange Online Protection (EOP) die eingebauten Anti-Spam-Filtering-Funktionen, die beim Schutz von Office 365-Kunden helfen. Office 365 Advanced Threat Protection hilft, Postfächer gegen E-Mail-Angriffe zu schützen, indem sie E-Mails mit unsicheren Anhängen, bösartigen Links und verknüpften Dateien auf Basis des Time-of-Click-Schutzes blockiert. Die Anti-Spam-Filter von Outlook.com bieten ebenfalls Schutz vor bösartigen E-Mails.

Virtualisierungsbasierte Sicherheit und Anwendungskontrolle

Credential Guard kann Domain-Anmeldeinformationen vor Angriffen wie Petya schützen, welcher versucht hat, Anmeldeinformationen zu stehlen, um sich weiter ausbreiten zu können. Credential Guard nutzt virtualisierungsbasierte Sicherheit zum Schutz vor Credential-Dumping.

Unternehmen können virtualisierungsbasierte Lockdown-Sicherheit implementieren, die alle Arten von nicht autorisierten Inhalten blockieren kann. Windows Defender Device Guard kombiniert virtualisierungsbasierte Sicherheits- und Anwendungskontrolle, sodass nur autorisierte Apps laufen dürfen. Petya, dessen erste Infektionen auf einen kompromittierten Software-Update-Prozess zurückgeführt wurden, wurde auf Geräten mit aktiviertem Device Guard blockiert.

Microsoft-geprüfte Sicherheit mit Windows 10 S und weitere Security-Funktionen beim Windows 10 Fall Creators Update

Geräte können eine ähnliche Lockdown-Sicherheit mit Windows 10 S erreichen, welches die Sicherheit und Performance dadurch modernisiert, dass es ausschließlich mit Apps aus dem Windows Store läuft. Dies stellt sicher, dass nur Apps, die durch das Store-Onboarding sowie den Überprüfungs- und Signing-Prozess gelaufen sind, ausgeführt werden dürfen.

Alle diese Sicherheitsfunktionen machen Windows 10 zu unserer sichersten Plattform. Die Next-Gen-Sicherheitstechnologien in Windows 10 bieten einen Next-Gen-Schutz gegen Ransomware.

Bild 6: Windows 10 Next-Gen Security

Und die Arbeit, um Windows 10 gegen Ransomware und andere Bedrohungen weiter zu stählen, geht weiter. Freuen Sie sich auf mehr Sicherheit-Features und -Kompetenzen in der kommenden Windows 10 Fall Creators Update.

Comments (0)

Skip to main content