fb
WSO2 5 Minuten

Ransomware-as-a-Service

Rob Blaauboer
Rob Blaauboer
Integration Consultant & WSO2 Trainer
Ransomeware as a Service
Scrollen

Vor ein paar Wochen wurde Garmin Opfer eines Ransomware-Angriffs der russischen Hackergruppe Evil Corp. Garmins Service war tagelang nicht mehr erreichbar. Diese Art von Angriffen wird immer einfacher, denn, ob du es glaubst oder nicht, es gibt so etwas wie Ransomware-as-a-Service.

Alles as-a-Service

Du kennst vielleicht den Trend ‚as-a-Service‘. Wir, bei Yenlo, bieten Integration als as-a-Service, wie unsere Connext Go! (iaaS) oder die Connext Platform (iPaaS). Du kannst mit der Integration deiner Systeme beginnen, ohne dich um die Installation, Wartung und Updates des WSO2 Stacks kümmern zu müssen. Dadurch kannst du dich auf die Dinge konzentrieren, die wirklich wichtig für dein Unternehmen sind.

Bei Ransomware-as-a-Service werden ein Ransomware-Modul im Dark Web gekauft oder gemietet und dann genutzt, um Organisationen oder Unternehmen zu erpressen. Die Anbieter haben sogar einen Helpdesk, falls du Fragen hast. Kein echter Helpdesk mit einer Telefonnummer, sondern eher ein Konzept, das online / per E-Mail funktioniert. Und der Grund ist einfach: Es steckt ein Geschäftsmodell dahinter!

Geschäftsmodell

In diesem Fall gibt es, anders als z.B. bei einem Virenangriff, tatsächlich ein Geschäftsmodell. Für die Angreifer, um Hilfe beim Einrichten des Ransomware-Angriffs zu bekommen. Aber auch für die Opfer des Angriffs.

Dort geht es bei dem Geschäftsmodell darum, Geld (oft Bitcoins) zu bekommen. Bist du als Organisation oder Person ein Opfer geworden, kannst du dich an Personen wenden, die dir helfen, die Dateien wieder freizuschalten, gegen eine Gebühr natürlich!

Wichtig ist zu erkennen, dass wenn eine Organisation bereit ist zu zahlen, du nicht zu viel verlangst (in dem Fall kann die Organisation die Kosten nicht tragen oder die Kosten überwiegen die Alternativen), jedoch auch nicht zu wenig in dem Sinne, dass du tatsächlich nicht genug Geld für den Angriff verdienst. Den Sweetspot zu finden ist in diesem Fall der Schlüssel.

Die Entschlüsselung muss auch funktionieren. Oft darf eine Datei entschlüsselt werden, um zu beweisen, dass es funktioniert. Die Höhe des Geldes hängt von der finanziellen Situation der Organisation / Größe des Unternehmens und der Dringlichkeit ab. Laut Sophos: „Ein ausgewachsener Ransomware-Angriff kostet im Durchschnitt 755.991 US-Dollar“.

Wie funktioniert es?

Die erste Malware-Infektion kann z.B. per E-Mail erfolgen, wenn jemand auf einen bestimmten Link klickt. Der Link ist natürlich mit Malware infiziert. Dann geht die Infektion erst richtig los, denn in diesem Moment wird z.B. die Verschlüsselung von Dateien lokal eingeleitet, indem z.B. eine Reihe von Powershell-Skripten auf den Computer heruntergeladen und ausgeführt werden. Der Angriff wird auf alle Laufwerke und Verzeichnisse zugreifen, mit denen er sich verbinden kann und beginnen, die Dateien zu verschlüsseln. Oft wird er sie an eine Bootsequenz anhängen, so dass nach dem Neustart der Prozess weiterläuft. Wo auch immer die Software darauf zugreifen kann, um den Verschlüsselungsprozess zu durchlaufen.

Evil corp

Der Name der Gruppe, die Garmin gehackt hat, ist Evil Corp. Das Sprichwort „Nomen est Omen“ war noch nie so wahr. Ziele für die Gruppe können jede Person oder jede Organisation sein. Universitäten und Krankenhäuser, solange sie das Geld bekommen, ist es ihnen egal. Dies zeigt, dass eigentlich jeder ein Opfer sein kann. Im Moment gibt es aber auch viele Angriffe, die auf Krankenhäuser und andere Parteien abzielen, die eine Rolle im Kampf gegen die Corona-Pandemie spielen. Der Gedanke ist, dass sie aufgrund der Umstände und des Drucks zahlen werden.

Warum Garmin?

Es bleibt natürlich die Frage: Warum Garmin? Die Antwort bleibt leider ein Rätselraten. 

Allgemein ist bei Ransomware eine Sache wichtig und das ist die Bezahlung. Unternehmen müssen bereit sein, zu zahlen, sonst macht es für die Hacker keinen Sinn. Politische Spielchen lasse ich dabei außen vor.

Wann bist du eher bereit zu zahlen? Beispielsweise, wenn ein Service ausfällt, Umsatzverluste und Kosten zu hoch werden oder, und das ist das ganz Böse daran, wenn du Teil der kritischen Infrastruktur bist.

Was ist zu tun?

Sophos, ein Anbieter von Sicherheitstools, bietet dafür eine Suite von Erkennungstools an. Das Tool ist aber nur ein Teil. Es gibt eine Reihe von Dingen, die wichtig sind, zum Beispiel, dass du Backups und einen Plan hast, für den Fall, dass du unerwartet mit Ransomware angegriffen wirst.

Du musst natürlich dafür sorgen, dass du Backups hast. Nicht ein Backup an einem Ort, sondern mehrere Backups an mehreren Orten, von denen keiner aus dem Netzwerk selbst erreichbar ist. Diese Backups müssen regelmäßig erstellt und überprüft werden. Abgesehen von der allgemeinen Tatsache, dass deine Sicherheit in Ordnung sein muss, kannst du auch an spezialisierte Software wie Sophos intercept X Advanced denken, die in der Lage ist, Ransomware-Angriffe auf dieselbe Weise aufzuhalten, wie ein Virenscanner einen Virus aufhalten kann.

Bezahlen ist gefährlich

Bezahlen ist sicherlich eine Option, ansonsten würden diese Arten von Angriffen nicht existieren. Die politischen Beweggründe lasse ich mal außen vor, aber auch die Zahlung ist ein Risiko. Laut Sophos wird man automatisch auf eine andere Liste gesetzt und die Chance, dass man kurzfristig wieder zum Ziel der Ransomware-Attacke wird, ist deutlich größer. 

Die Devise lautet natürlich immer: Nicht zahlen. Aber man muss sich auch in die Situation des Betroffenen hineinversetzen. Angenommen, du bist in einem Krankenhaus und kannst nicht mehr auf deine Patientendaten zugreifen, würdest du dann das Lösegeld bezahlen? Die Verbrecher sind schwer zu fassen, da sie oft außerhalb deines Landes in anderen Gerichtsbarkeiten operieren.

Schlüssel

Außerdem gibt es eine Seite mit allen möglichen Schlüsseln für die Entschlüsselung. Einige ältere Ransomware-„Strains“ wurden entschlüsselt und die Schlüssel sind zum Beispiel auf der holländischen Seite https://www.nomoreransom.org/ zu finden, aber wie so oft, ist es immer das Spiel zwischen den Guten und den Bösen, bei dem wir als die Guten immer ein paar Schritte hinterher sind. 

Fazit

Am besten machst du einen Plan, sorgst dafür, dass deine Backups einwandfrei sind und suchst nach Erkennungssoftware, um die Angriffe frühzeitig aufzuhalten. Sicherheit, im weitesten Sinne, den du dir vorstellen kannst, ist lebenswichtig. Kriminelle werden zuerst nach dem einfachsten Weg suchen, um sich Zugang zu verschaffen, aber sie werden auch nach anderen Wegen suchen, um sich Zugang zu verschaffen. Können wir uns sicher sein, dass sie nicht Schwachstellen in APIs ausnutzen werden, um ihre Ransomware-Angriffe zu starten?  Es wurden noch keine Angriffe über APIs durchgeführt… Noch nicht. 

Noch ist das entscheidende Wort hier. Achte darauf, dass deine API-Definition hieb- und stichfest ist und du Payloads gegen ein Schema prüfst, um Chancen von Angriffen zu minimieren. Sieh dir unser Webinar zum WSO2 API Manager und 42Crunch zu diesem Thema an.

Aber wie bei vielen Dingen gibt es auch hier keine Garantie, dass du nicht zum Opfer wirst.