Go to Top

Ransomware – will it come or will it go? (Gastbeitrag Net at Work, GmbH)

Immer mehr und immer gefährlicher

Ransomware

Autor: Stefan Cink

Während in den Jahren ab 2010 immer wieder über kleinere gezielte Attacken mit Erpressungsviren berichtet wurde, stellt die Verbreitung von Locky über den Einfallsvektor E-Mail im Februar 2016 eine vorher nie dagewesene Verschärfung der Bedrohungslage dar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits im April 2016 eine Umfrage durchgeführt, an der 592 Unternehmen teilgenommen haben. Von diesen waren 32% – also ein Drittel – von Ransomware betroffen.  In 82% aller Fälle war E-Mail das Einfallstor für die erfolgreiche Attacke! In 21 Fällen war der Verlust wichtiger Daten, die auch nicht wieder hergestellt wurden, die Folge. Die vollständige Studie finden Sie hier.

Im weiteren Verlauf des Jahres 2016 wurden weitere Ransomware-Wellen beobachtet, die ähnlich gefährlich wie Locky waren und auch eine erhebliche Ausbreitung erreichen konnten.
Dagegen lässt sich bei den einfachen Spam-Mails seit Anfang 2015 sogar ein leichter Rückgang feststellen. Aber während zu viele Spam-Mails im Postfach einfach nur nervig sind, stellt schon eine einzige erfolgreich zugestellte Ransomware-Mail ein großes Sicherheitsrisiko dar, die die Existenz des Unternehmens bedrohen kann. In der zitierten BSI Studie haben vier Unternehmen angegeben, dass durch die Ransomware-Attacke ihre Existenz gefährdet wurde.

Was macht Ransomware so gefährlich?

Gegenüber herkömmlichen Spam- und Malware-Mustern zeichnet sich Ransomware durch eine erheblich ausgefeiltere Architektur und Funktionalität aus. Die Steuerung der Angriffswellen ist so granular, dass einzelne Wellen nur wenige Stunden dauern, bevor die Kontroll-Komponente die Struktur des Codes verändert und neue Adressen von anderen Bot-Netzen aus attackiert. Ransomware und neueste Malware verändern sich also automatisch ständig in ihrer Erscheinungsform, Hashwerte unterscheiden sich, oder Domänen werden erst nach dem Mail-Versand registriert und können zu diesem Zeitpunkt noch nicht geprüft werden. Gemeinsam ist ihnen jedoch, dass sich der Schadcode meist nicht in der E-Mail befindet, sondern über Script-Code in Anhängen oder über in der E-Mail enthaltene Links nachgeladen wird. Durch geschicktes Social-Engineering oder verlockende oder neugierig machende Texte werden die Anwender dann dazu verleitet, den Link anzuklicken oder die Anlage zu öffnen.

Daher kommt einem intelligenten Anhangs-Management für E-Mails heute eine besondere Bedeutung zu.

Zu hoffen, dass man den nachstehenden Bildschirminhalt im eigenen Unternehmen nicht zu sehen bekommt, ohne gezielte Schutzmaßnahmen zu ergreifen, ist bei einer 30 prozentigen Chance eher nicht anzuraten.

Ransomware
E-Mail Security nicht in den Sand setzen

Große Hoffnungen setzen viele Technologie-Anbieter in sogenannte Sandbox-Technologien, die allerdings einen sehr großen Rechenbedarf verursachen, den der Endkunde auch bei Cloud-Angeboten letztlich bezahlen muss. Damit einher geht auch immer eine stark zeitverzögerte Zustellung von E-Mails, die im Cloud-Zeitalter einfach nicht zeitgemäß ist. Will man diese Nachteile vermeiden, muss man Kompromisse machen und die „Verdachtsschwelle“ heraufsetzen, ab der eine zusätzliche Prüfung durch Sandbox-Technologie durchgeführt wird, so dass letztlich weniger Anhänge geprüft werden müssen. Da Sandbox-Technologien den Code aufgrund von Datenabhängigkeiten letztlich auch nicht vollständig ausführen können, führt die Technologie zu einer hohen False-Positive-Rate, wenn der Erkennungsschwellwert zu niedrig/empfindlich gesetzt wird. Zudem erkennen inzwischen alle neueren Malware-Varianten, wenn sie in einer Sandbox-Umgebung ausgeführt werden und z.B. bestimmte Komponenten des Betriebssystems nicht sichtbar sind, Zeitmanipulationen durchgeführt werden oder Hooks der Sandbox schlichtweg schlecht getarnt sind. Darüber hinaus unterliegen die Ergebnisse einer Sandbox immer einer gewissen Wahrscheinlichkeit.

Wirksamer Schutz mit intelligenten Methoden

Wenn der Schadcode sich zumeist in Anhängen verbirgt – kann ich dann nicht einfach die Auslieferung von Anhängen verbieten? Mit dieser radikalen Maßnahme würde sich das Problem natürlich in den Griff bekommen lassen. In der Praxis ist es für die IT aber nicht durchsetzbar, einfach keine Anhänge mehr zuzustellen, da viele geschäftsrelevante Informationen in Dateianhängen ausgetauscht werden müssen – Word- oder Excel-Dateien zu verbieten, ist daher keine Option.

Gefordert ist die Möglichkeit, mit intelligenten Kriterien – also abhängig vom „Vertrauensgrad“ des Absenders, der Funktion des Empfängers, des Inhalts der Nachricht und vielem mehr zu entscheiden, ob eine Anlage zugestellt werden soll. Alternativ kann festgelegt werden, dass eine verdächtige Anlage in einer vom Administrator freizugebenden Warteschlange „geparkt“ wird und vom Administrator manuell oder zeitverzögert nach erneuter Prüfung automatisch freigegeben wird. Vorschau-Funktionen, die helfen, ähnlich wie ein Röntgenbild, dem Empfänger den Inhalt anzuzeigen, ohne dass die Originaldatei ausgeliefert werden muss, stellen ein besonderes Highlight dar.

Standards zur Prüfung der Absenderreputation wie SPF, DKIM und DMARC erlauben es festzustellen, ob eine E-Mail von der Domäne yourcompany.com auch tatsächlich von einem Server dieser Domäne versandt wurde und stellt damit einen weiteren sehr wirksamen Filter dar, mit dem sich Malware-Nachrichten erkennen und abweisen lassen.

Verschlüsseln Sie Ihre Mails bevor Krypto-Trojaner Ihre Daten verschlüsseln!

Zusätzliche Sicherheit können Unternehmen heute dadurch gewinnen, dass Sie den Großteil des geschäftsrelevanten Geschäftsverkehrs elektronisch signiert und verschlüsselt abwickeln. Wenn Mitarbeiter in Unternehmen gewohnt sind, dass Rechnungen oder andere wichtige Unterlagen, die Ihnen per E-Mail zugesandt werden, verschlüsselt sind, werden sie automatisch vorsichtiger sein, auf Anlagen von nicht signierten oder verschlüsselten Nachrichten hereinzufallen. Leistungsfähige E-Mail Security Gateways können inzwischen die Verwaltung der erforderlichen persönlichen Zertifikate und öffentlicher Schlüssel automatisiert übernehmen.

Jede Ransomware braucht einen Komplizen im Unternehmen

Auch wenn sich wie beschrieben die E-Mail Sicherheit in Unternehmen und der Schutz von Ransomware deutlich erhöhen lässt, wird sich eine 100-prozentige Sicherheit nicht erreichen lassen, wenn andere Angriffsvektoren gewählt werden, oder neue Schwachstellen ausgenutzt werden.

Daher ist jede technische Aufrüstung immer durch Aufklärung und Information der Anwender zu begleiten. Damit diese wirksam bleibt, muss sie regelmäßig und in Verbindung mit illustrativen Beispielen (Medienberichte) wiederholt werden. Damit lässt sich die Wahrscheinlichkeit verringern, dass es einem Angreifer gelingt, den – immer erforderlichen – Helfer im Unternehmen zu finden, der mit seinem unbedachten Klick den Befehl gibt, eine Anlage zu öffnen und damit den Schadcode aktiviert.

Fazit:
Auch wenn inzwischen wirksame Rettungsverfahren für durch Ransomware verschlüsselte Daten verfügbar sind, so sind diese doch aufwändig und bergen auch das Risiko, dass für eine neue Variante noch keine Wiederherstellung möglich ist. Deshalb kommt dem Schutz des Einfallsvektors E-Mail heute eine zentrale Bedeutung zu. Viele E-Mail Security Gateways auch namhafter internationaler Hersteller, sind natürlich inzwischen in der Lage, Locky-verseuchte E-Mails zu erkennen und zu blockieren. Es hat sich aber gezeigt, dass  sie keinen wirksamen Schutz gegen neue auftretende Ransomware-Attacken bieten. Hier sind Produkte wie NoSpamProxy  im Vorteil, die z.B. mit einem innovativen und intelligenten Anhangs-Management verhindern, dass der Schadcode überhaupt in die Mailbox von Endanwendern gelangen und von diesen aktiviert werden kann.

Stefan Cink, Produktmanager, Net at Work GmbH, Paderborn

Bildquelle: Santeri Viinamäki / flickr – Lizenz: CC2

Screenshot CryptoLocker Ransomware