Eine Ransomware-Attacke scheint zumeist aus dem Nichts zu kommen. Doch Experten von Sophos haben andere Erfahrungen gemacht: Sie haben zahlreiche Ransomware-Angriffe analysiert und fünf handfeste Anzeichen für einen potentiell bevorstehenden Angriff identifiziert. [...]
Bei der Kooperation mit Ransomware-Opfern analysiert das MTR-Team von Sophos die letzten ein bis zwei Wochen vor der Entdeckung eines Angriffs. Fällt einer von fünf Indikatoren auf, wird dieser genauer kontrolliert. Jedes dieser Anzeichen ist mit ziemlicher Sicherheit ein Hinweis dafür, dass Angreifer herumgeschnüffelt haben, wie das Netzwerk genau aussieht und wie sie Zugang zu Accounts erlangen können, um eine Ransomware-Attacke zu starten. Angreifer nutzen dabei oftmals legitime Administrator-Werkzeuge, um das Setup für eine Attacke zu gestalten. Deshalb können die folgenden fünf Tools oftmals schnell im Tagesgeschäft untergehen und sind leicht zu übersehen. Für das Aufspüren potentieller Ransomware-Attacken sind sie allerdings ganz klar Warnsignale, die unbedingt näher untersucht werden sollten.
Netzwerk-Scanner (besonders auf dem Server)
Die Erpresser starten normalerweise damit, Zugang zu einem Rechner zu bekommen, auf dem sie nach Informationen suchen: handelt es sich um Mac oder Windows, wie lautet der Domain- oder Unternehmens-Name, über welche Admin-Rechte verfügt der Computer etc. Im zweiten Schritt untersuchen sie, welche weiteren Nutzer mit welchen Zugängen auf dem Netzwerk arbeiten. Der einfachste Weg, das herauszufinden, ist ein Netzwerk-Scan. Falls ein entsprechender Scanner wie zum Beispiel AngryIP oder Advanced Port Scanner entdeckt wird, sollte man bei den Administratoren nachfragen. Wenn keiner dieser Scanner offiziell benutzt wird, ist eine nähere Untersuchung Pflicht.
Tools zur Deaktivierung von Antivirus-Software
Verfügen die Angreifer über Admin-Rechte, werden sie oft versuchen, installierte Sicherheitssoftware zu deaktivieren. Dabei helfen ihnen Applikationen, die bei der erzwungenen Beseitigung solcher Software assistieren, wie Process Hacker, IOBit Uninstaller, GMER oder PC Hunter. Diese kommerziellen Werkzeuge sind legitim, aber in falschen Händen prekär. Sicherheitsteams und Administratoren sollten hellhörig werden, wenn diese Programme plötzlich in ihrem System auftauchen.
Die Präsenz von MimiKatz
Jeder Hinweis auf das Auftauchen des Tools MimiKatz sollte untersucht werden. Kann sich keiner der Administratoren für den Einsatz des Programms verbürgen, ist das eine tiefrote Warnflagge: MimiKatz ist eines der populärsten Hacking-Werkzeuge für den Diebstahl von Anmeldedaten. Angreifer setzen in diesem Zusammenhang auch auf den Microsoft Process Explorer (enthalten in Windows Sysinternals), ein rechtmäßiges Tool, das den lokalen Sicherheits-Authentifizierungsserver LSASS.exe aus dem Speicher lesen und eine .dmp-Datei erstellen kann. Diese können Angreifer nach dem Export in ihr eigenes System mit MimiKatz bearbeiten, um Benutzernamen und Passwörter zu extrahieren.
Muster ungewöhnlichen Verhaltens
Jeglicher Systemeingriff zur immer gleichen Zeit oder in einem sich wiederholenden Muster ist ein Indikator dafür, dass noch irgendwo etwas Ungewolltes passiert, selbst wenn schadhafte Dateien entdeckt und entfernt wurden. Sicherheitsteams sollten sich deshalb fragen, warum diese Situation zurückkehrt. Es handelt sich oft um ein Zeichen dafür, dass doch noch ein schädlicher Prozess ausgeführt wird, der nur noch nicht identifiziert ist.
Testangriffe
Vereinzelt führen Angreifer Testattacken auf ein paar Computer durch, um die Schlagkraft ihrer Angriffsmethode zu überprüfen, oder ob Sicherheitssoftware sie stoppt. Wird die Attacke gestoppt, ändern die Angreifer ihre Taktik und versuchen es erneut. Hacker wissen dann allerdings, dass ihre Zeit begrenzt ist und sie schnell auffliegen können. Deshalb ist es nach erfolglosen Testattacken oft nur eine Frage von Stunden, bis ein weitaus größerer Angriff erfolgt.
Be the first to comment