Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Chimera: Ein neues Ransomware-Modell

Geschrieben von Michael Buckbee | Jan 29, 2016 12:23:00 PM

Ransomware an sich ist nichts Neues. Die erste bekannte Variante tauchte bereits 1989 auf. Doch erst mit der Internet-Revolution und der Einführung automatisierter Online-Zahlungssysteme entdeckten organisierte Cyber-Gangs Ransomware als gigantische Gelddruckmaschine für sich. Dabei geht es nicht selten um enorme Summen und Erpressung auf globaler Ebene. Mit einem ROI, der sich sehen lassen kann.

Allein die dritte Variante von CryptoWall hat seit ihrer Entdeckung im Januar 2015 Schäden von sage und schreibe 325 Millionen US-Dollar angerichtet.

Die Risiken dieser neuen Ära digitalen Erpressungsmethoden erregten sogar die Aufmerksamkeit des US-amerikanischen Federal Financial Institutions Examination Council. Erst kürzlich wurde eine Stellungnahme veröffentlicht, um Finanzinstitutionen auf die Häufigkeit und Ernsthaftigkeit der Bedrohungen durch Ransomware hinzuweisen.

Bis vor kurzem sorgten sich IT-Experten eher um den nach einer Ransomware-Infektion zu betreibenden Aufwand. Ransomware ist definitiv eine kostspielige Angelegenheit, wenn man nicht darauf vorbereitet ist. Firmen und Institutionen mit einer gut funktionierenden Backup-Strategie sind aber in der Lage, die verschlüsselten Dateien wiederherzustellen. Das Risiko erschien für manche also durchaus tragbar.

Bis jetzt.

Chimera: Eine neue Qualität von Ransomware

Aktuell ist eine neue Ransomware-Variante namens Chimera aufgetaucht. Die Malware verschlüsselt nicht nur die Dateien und es wird ein Lösegeld verlangt, zusätzlich drohen die Angreifer damit, die Dateien im Internet zu veröffentlichen falls die geforderte Summe nicht gezahlt wird.

Was bisher eine lästige Sache war, wird durch diesen Trick zu einer echten Bedrohung, die Umsatz und Gewinn eines Unternehmens empfindlich beeinträchtigen kann.

Damit Sie sich ein Bild des potenziellen Ausmaßes von Chimera machen können, sehen wir uns zunächst die finanziellen Schäden an, die bei zwei sehr bekannt gewordenen Sicherheitsvorfällen angerichtet wurden:

  • Beim Angriff auf die amerikanische Einzelhandelskette Target waren 40 Millionen Datensätze mit Zahlungsinformationen (Kredit- und Debitkarten) sowie 70 Millionen Datensätze mit personenbezogenen Kundendaten (Adressen und Telefonnummern) betroffen. Laut einer Aufstellung von Target selbst kostete der Sicherheitsvorfall das Unternehmen 252 Millionen US-Dollar.
  • Bei Home Depot entwendeten die Angreifer 56 Millionen Datensätze mit Zahlungsinformationen (Kredit- und Debitkarten) sowie 53 Millionen E-Mail-Adressen. Nach Angaben von Home Depot beliefen sich die Nettokosten auf rund 33 Millionen US-Dollar.

Die beiden Handelsketten mussten für Kreditkarten- und Überwachungsdienstleistungen (darunter den Ersatz von Millionen von Kreditkarten) und Massenklagen aufkommen und ihre eigene Sicherheitsinfrastruktur komplett überarbeiten.

Und dann kam Sony

Beim Angriff auf Sony wurden zwar nicht Millionen von Kreditkartennummern gestohlen dafür aber riesige Mengen an Informationen im Internet veröffentlicht:

  • 47.000 Sozialversicherungsnummern
  • Interne Finanzdokumente und Gehaltslisten
  • Persönliche Daten und Adressen, Visa- und Passnummern, Steuerunterlagen
  • Über 30.000 vertrauliche Geschäftsdokumente
  • Peinliche und belastende E-Mails von C-Level-Führungskräften
  • Private Schlüssel für die Sony-Server

Mit den durch das derart offengelegte geistige Eigentum entstandenen Schäden – veröffentlichte Verträge und Geschäftspraktiken, Ideen zu Drehbüchern, Gehälter – wird Sony vermutlich noch jahrelang zu kämpfen haben.

Und: Es kann durchaus passieren, dass eine Cyber-Gang mithilfe von Chimera ein fürstliches Lösegeld einstreicht und trotzdem sämtliche interne Dateien eines Unternehmens in Sony-Manier im Internet zur Schau stellt. Von einem Erpresser kann man schließlich nicht unbedingt erwarten, dass er sein Wort hält.

Chimera & Co. haben also das Potenzial, den verheerenden finanziellen Schaden des Target-Angriffs mit einer Rufschädigung wie beim Sony-Hack zu verbinden.

Zeitverzögerte Aufdeckung von Sicherheitsvorfällen

Wie lange haben Target, Home Depot und Sony gebraucht, um festzustellen, dass sie angegriffen wurden? Unglücklicherweise konnten die Hacker ihre Arbeit wochenund monatelang ungestört verrichten.

Damit stehen diese Unternehmen bei weitem nicht alleine da. Eine aktuelle Analyse von 574 Sicherheitsvorfällen durch Trustwave ergab, dass der Zeitraum zwischen Angriff und Aufdeckung durchschnittlich 188 Tage beträgt. Es dauert also sehr lange – zu lange –, bis Unternehmen die Eindringlinge überhaupt bemerken.

Um Ransomware zu entdecken und zu stoppen, kann es sinnvoll sein, das Pferd von hinten aufzuzäumen. Die IT-Sicherheitsabteilung muss versuchen, Phishing-E-Mails zu blockieren oder zumindest die Mitarbeiter im Hinblick auf diese Methode schulen, sie muss den Zugriff auf soziale Medien einschränken, Netzwerkverbindungen mit bekannten Command-and-Control-(C2-)URLs/IP-Adressen überwachen und nach Prozessen Ausschau halten, die potenziell schädigend sein können.

Doch das A und O im Kampf gegen Ransomware ist es, sich genauer anzusehen worauf es die Angreifer eigentlich abgesehen haben, nämlich auf die Dateien und E-Mails, die tagtäglich von Mitarbeitern erstellt und verwendet werden. In den meisten Unternehmen sind unstrukturierte Daten die mengenmäßig umfassendste, wertvollste und sensibelste Art von Daten – und zugleich auch diejenige, die am wenigsten überwacht wird.

Möglicherweise kann man einen Angreifer nicht davon abhalten, in ein Netzwerk einzudringen. Aber mit geeigneten Governance- und Überwachungsmethoden ist es möglich, die Menge der verfügbaren Daten deutlich einzuschränken und die IT zeitnah zu benachrichtigen, wenn Hacker auf sensible Daten zugreifen und sie kopieren.

Eine geeignete Methode um Angriffe schneller aufzudecken ist die Analyse des Benutzerverhaltens. Weitere Informationen dazu finden Sie unter anderen in diesem Beitrag.

The post Chimera: Ein neues Ransomware-Modell appeared first on Varonis Deutsch.