Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

CryptoLocker: Alles, was Sie wissen müssen

Geschrieben von Michael Buckbee | Jan 11, 2019 5:41:00 AM

Was ist CryproLocker?

Bei CryptoLocker handelt es sich um eine inzwischen gut bekannte Malware, die für datenorientierte Unternehmen besonders schädigend sein kann. Sobald ihr Code ausgeführt wurde, verschlüsselt sie Dateien auf Desktops und in Netzwerkspeichern und hält sie sozusagen „als Geisel“. Dabei wird jeder Benutzer, der versucht eine Datei zu öffnen, zur Zahlung eines Lösegelds für die Entschlüsselung aufgefordert. Aus diesem Grund werden CryptoLocker und seine Varianten inzwischen als „Ransomware“ bezeichnet.

Malware wie CryptoLocker kann über zahlreiche Vektoren in ein Netzwerk eindringen, z. B. über E-Mails, Filesharing-Sites und Downloads. NeuereVarianten sind bereits erfolgreich durch die Maschen von Virenschutzprogrammen und Firewalls geschlüpft und es ist anzunehmen, dass auch weiterhin Spielarten auftauchen, die vorbeugende Maßnahmen umgehen können. Zusätzlich zur Einschränkung eines Ansteckungsrisikos, das vom infizierten Host ausgeht, etwa durch Firewalls, werden Zugriffskontrollen, Erkennungs- und Korrekturkontrollen als nächste Verteidigungslinie empfohlen.

FYI – die Informationen in diesem Artikel gelten speziell für CryptoLocker. Wenn Sie etwas über Ransomware im Allgemeinen lesen möchten, haben wir für Sie den weiter  in die Tiefe gehenden „Komplettleitfaden Ransomware“ geschrieben.

Aktualisierung September 2018: Die Anzahl der Ransomware-Angriffe ist seit ihrem Höhepunkt im Jahre 2017 signifikant zurückgegangen. CryptoLocker und seine Varianten sind nicht mehr besonders weit verbreitet und neue Ransomware ist an ihre Stelle getreten. Ransomware hat sich zu einem gezielteren Angriff im Gegensatz zur früheren eher breiter gestreuten Angriffen entwickelt und stellt weiterhin eine Gefahr für Unternehmen und Behörden dar.

Was machen CryptoLocker?

Bei Ausführung beginnt ein CryptoLocker, gemappte Netzwerklaufwerke, mit denen der Host verbunden ist, nach Ordnern und Dokumenten (siehe betroffene Dateitypen) zu scannen und diejenigen umzubenennen, bei denen er durch dieAnmeldeinformationen des Benutzers, welcher  den Code unwissentlich ausführt, über die entsprechenden Berechtigungen verfügt.

CryptoLocker verschlüsseln  Dateien mit einem 2048-Bit RSA-Schlüssel und benennen sie, je nach Variante, durch Hinzufügen einer Erweiterung wie .encrypted oder .cryptolocker oder [7 zufallsgenerierte Zeichen] um. Abschließend generiert die Malware eine Datei in jedem Verzeichnis, die auf eine Webseite mit Anweisungen zur Leistung einer Zahlung (z. B. in Bitcoin) verlinkt. Die Namen dieser Anweisungsdateien sind üblicherweise DECRYPT_INSTRUCTION.txt oder DECRYPT_INSTRUCTIONS.html.

Immer wenn neue Varianten entdeckt werden, wird die Ransomware-Diskussion auf Varonis Connect entsprechend ergänzt.  Zum Beispiel legt eine als „CTB-Locker“ bekannte Variante eine einzige Datei in dem Verzeichnis an, indem sie mit dem Verschlüsseln von Dateien beginnt, die den Namen !Decrypt-All-Files-[7 Zufallszeichen].TXT oder !Decrypt-All-Files-[7 Zufallszeichen].BMP trägt.

So beugen Sie CryptoLocker vor

Je mehr Dateien im Zugriffsbereich eines Benutzerkontos liegen, desto größer ist der Schaden, den Malware anrichten kann. Deshalb ist eine Zugriffsbeschränkung ratsam, weil sie damit den Umfang vonDaten eingrenzen, die verschlüsselt werden können. Dieses Vorgehen bietet nicht nur Schutz vor Malware, sondern mindert auch die potentielle Gefährdung durch andere Angriffe von internen oder externen Akteuren.

Ein Modell nach dem Prinzip der notwendigsten Berechtigung einzurichten ist zwar keine kurzfristige Maßnahme, Risiken lassen sich dann aber schnell durch die Löschung nicht benötigter globaler Zugriffsgruppen aus den Zugriffs-Kontrolllisten reduzieren. Gruppen wie „Jeder“, „Authentifizierte Benutzer“ und „Domänen-Benutzer“ können bei der Anwendung auf Daten-Container (etwa  Ordner oder SharePoint-Sites) ganze Verzeichnishierarchien für alle Benutzer in einem Unternehmen öffnen. Die betroffenen Datensätze sind nicht nur leichte Ziele für Diebstahl oder Missbrauch, sondern werden mit großer Wahrscheinlichkeit auch bei einem Malware-Angriff beschädigt. Auf Dateiservern werden diese Ordner als „offene Shares“ bezeichnet, wenn sowohl auf das Dateisystem als auch auf die Freigabeberechtigungen über eine globale Zugriffsgruppe zugegriffen werden kann.

Es ist zwar am einfachsten, Technologien zur Erkennung und Eliminierung globaler Zugriffsgruppen zu verwenden, offene Shares lassen sich aber auch durch Anlegen eines Benutzers ohne Gruppenmitgliedschaft und „Scannen“ der gemeinsamen Dateispeicher mit den Anmeldeinformationen dieses Kontos entdecken. Zum Beispiel können sogar grundlegende Net-Befehle aus der CMD-Shell von Windows zur Auflistung und Prüfung von Shares auf Zugreifbarkeit nutzen:

 

  • net view (listet Hosts in der Nähe auf)
    >net view \\host (listet Shares auf) >net use X: \\host\share (ordnet dem Share ein Laufwerk zu)
  • dir /s (listet alle Dateien im Share auf, die der Benutzer lesen kann)

Diese Befehle lassen sich einfach in einem Batch-Skript miteinander kombinieren, um weithin zugängliche Ordner und Dateien zu identifizieren. Diese ohne Automatisierung zu reparieren kann leider sehr zeitaufwändig und riskant sein, weil sich die Tätigkeit leicht auf die normale Geschäftstätigkeit auswirken kann, wenn Sie nicht vorsichtig sind. Wenn Sie eine große Anzahl offener Ordner entdecken, sollten Sie eine automatisierte Lösung in Betracht ziehen. Automatisierte Lösungen können Ihnen auch die Möglichkeit erschließen, über die Eliminierung globaler Zugriffsberechtigungen hinauszugehen. Dabei können Sie ein Modell, in dem das Prinzip der notwendigsten Berechtigungen tatsächlich eingehalten wird, einrichten und gleichzeitig eine ineffiziente manuelle Zugriffsverwaltung loswerden.

So erkennen Sie CryptoLocker

Wenn die Dateizugriffsaktivität auf betroffenen Dateiservern überwacht wird, erzeugen diese Verhaltensweisen sehr schnell eine große Anzahl von Öffnen-, Ändern- und Erstellen-Ereignissen und sind mit Automatisierung relativ einfach zu erkennen, was eine wertvolle Erkennungskontrolle liefert. Wenn beispielsweise ein einzelner Benutzer innerhalb einer Minute 100 Dateien ändert, lässt sich mit hoher Sicherheit vermuten, dass dort ein automatisierter Prozess abläuft. Konfigurieren Sie Ihre Überwachungslösung so, dass sie eine Benachrichtigung auslöst, wenn sie ein derartiges Verhalten erkennt. Varonis DatAlert überwacht bereits direkt nach der Installation das Verhalten in Dateisystemen im Hinblick auf Ransomware-Angriffe. Wenn Varonis Ihre Daten überwacht, müssen Sie keine speziellen Konfigurationen vornehmen.

Wenn Sie keine automatisierte Lösung zur Überwachung der Dateizugriffsaktivität haben, müssen Sie möglicherweise ein natives Auditing aktivieren. Natives Auditing belastet aber leider die  überwachten Systeme und die Ergebnisse sind oft schwer zu entziffern. Anstatt zu versuchen, die nativen Auditprotokolle aller Systeme zu aktivieren und zu sammeln, sollten Sie besonders sensible Bereiche priorisieren und in Erwägung ziehen, dem Angriefer mit einem Honeypot im Speichersystem eine Falle zu stellen.

Ein Honeypot-Share ist ein offener Share mit Dateien, die normal und wichtig aussehen, aber tatsächlich gefälscht sind. Da keine rechtmäßige Benutzeraktivität mit einem Honeypot-Share verbunden sein sollte, sollte hier jede beobachtete Aktivität sorgfältig untersucht werden. Wenn Sie keine andere Möglichkeit als manuelle Methoden haben, müssen Sie natives Auditing für die Aufzeichnung der Zugriffsaktivitäten aktivieren und ein Skript erstellen, das Sie benachrichtigt, sobald Ereignisse in das Sicherheitsereignisprotokoll geschrieben werden (z. B. unter Verwendung von dumpel.exe).

Wenn Sie gerne mit PowerShell arbeiten, finden Sie hier unseren kurzen Artikel über die Bekämpfung von CryptoLocker mit PowerShell.

Wenn Ihr Erkennungskontrollmechanismus eine automatische Reaktion auslösen kann, z. B. durch Deaktivieren des Benutzerkontos, wird der Angriff effektiv gestoppt bevor er weiteren Schaden anrichtet. Zum Beispiel kann eine Reaktion auf einen Benutzer, der über 100 „Ändern“-Ereignisse innerhalb einer Periode generiert, folgendes umfassen:

  • Benachrichtigen von IT und der Sicherheitsadministratoren (einschließlich des betroffenen Benutzernamens und Computers)
  • Überprüfen der Registry des Computers auf Schlüssel/Werte, die bekannterweise von CryptoLocker erzeugt werden:
    • Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames()
  • Wenn der Wert existiert, wird der Benutzer automatisch deaktiviert.

Wenn protokollierbare Aktivitäten gespeichert und angemessen durchsuchbar sind, werden sie für die Wiederherstellung unbezahlbar, weil sie eine vollständige Aufzeichnung aller betroffenen Dateien, Benutzerkonten und (möglicherweise) Hosts enthalten. Kunden von Varonis können die Ergebnisse von Bericht 1a (der hier beschrieben wird) verwenden, um Dateien aus einer Sicherungskopie oder Hintergrundkopie wiederherzustellen.

In Abhängigkeit der Variante von CryptoLocker kann die Verschlüsselung möglicherweise mit einem Realtime-Disassembler rückgängig gemacht werden.

Sicherheitshinweise für Ransomware

  • Aktualisieren Sie Ihre Virenschutzsoftware und Sicherheitsprogramme auf Endgeräten – diese Lösungen können bei der Entdeckung bestimmter Arten von Ransomware hilfreich sein und die Verschlüsselung Ihrer Dateien verhindern.
  • Vermeiden Sie Phishing-Versuche – Phishing-E-Mails sind der wichtigste Einfallmechanismus bei Ransomware.
  • Legen Sie Sicherheitskopien Ihrer Dokumente an – es ist viel einfacher und schneller, Dokumente von einem Backup wiederherzustellen als sie zu entschlüsseln, wenn sie von einem Ransomware-Angriff betroffen waren.
  • Legen Sie sich auf ein Zero-Trust-Modell bzw. das Prinzip der notwendigsten Berechtigung fest – Ransomware kann nur Ordner beeinträchtigen, für die ein Benutzer schreibberechtigt ist. Das Modell notwendigsten Berechtigung begrenzt den Zugriff auf absolut notwendige Elemente.
  • Überwachen Sie Dateiaktivitäten und Benutzerverhalten, lassen Sie sich über potenzielle Ransomware-Aktivität benachrichtigen und reagieren Sie.

Neue Ransomware-Varianten treten ununterbrochen auf – aber glücklicherweise übernimmt unser Team für Sicherheitsforensik die Fleißarbeit für Sie und aktualisiert sorgfältig die Ransomware-Signaturen, damit Varonis sie erkennen kann. Lassen Sie sich die Funktion in einer kostenlosen 1:1-Demo vorführen und erfahren Sie mehr darüber, wie unsere Abwehrarchitektur gegen Ransomware darauf ausgelegt ist, Unternehmensdaten gegen Zero-Day-Angriffe auch jenseits der Endgeräte zu schützen – also gegen Ransomware, die von herkömmlichen Perimetersicherheitsvorkehrungen übersehen wird.