Gastbeitrag: Ransomware – Sie ist nicht tot

ransomwareDie Angriffe mit Erpressersoftware und das fehlende Sicherheitsbewusstsein im Umgang mit sensiblen Daten gehen mir nicht aus dem Kopf seit der Cyber-Attacke auf deutsche Krankenhäuser und der Kleinstadt Dettelbach, (das übrigens nur ein paar Kilometer von Janotta und Partner entfernt ist). Mit der Verbreitung der Verschlüsselungssoftware ist der Umgang mit sensiblen Daten wieder ins Licht der Öffentlichkeit gerückt.

Im Jahre 1972 gelang es Forschern, eine sich selbst verbreitende Software zu entwickeln – die Geburtsstunde des ersten, noch harmlosen Computervirus. Heutige Computerviren verbreiten sich autonom und agieren deutlich gefährlicher.

Zuerst aber mal eine Technische Analyse, was denn Ransomware ist und welche Mittel Ransomware verwendet, um Schaden anzurichten. Dabei braucht man keine allzu große Analyse für diesen Artikel zu erstellen, ich selbst kenne einige Ransomware-Programmierer und viele davon kommen nicht unbedingt aus der EU.

Mit geringem Overhead, das heißt mit niedrigem Risiko von der Strafverfolgung erwischt zu werden, haben Ransomware-Attacken und Banking-Trojaner eine schiere große Anzahl von IT-Sicherheitsvorfällen generiert.

Ransomware wächst schnell und hat eine große Popularität. Dutzende Varianten und Subtypen gibt es, die man übrigens in Familien einstuft. In dieser dynamischen Bedrohungslandschaft, ganz neben der Überwachung der etablierten Ransomware Familien, sollte man eigene Taktiken, Techniken oder Verfahren finden, um sich zu schützen. Das heißt ganz banal das Überwachen von Social Media Kanälen, aber auch die Überwachung von Hacking Foren und Deep Web Märkten.

Wenn das beachtet wird, ist man gut geschützt – als Experte.

ranomware2Eine Untersuchung von Ransomware zeigt, daß Hacker natürlich keine Rücksicht auf urheberrechtlich geschütztes Eigentum nehmen. Gesetze interessieren sie nicht, allein deshalb neue Gesetze wie den §202e zu erfinden, ist wirkungslos. Die Dateien weisen oft eine Zeichenfolge auf, in dem der Autor böswillige binäre Codes verwendet, die zum System selbst gehören. Am Beispiel Apple erkennen wir, daß Apple-interne Dateien oft so verändert werden, dass letztendlich das System selbst glaubt, es handelt sich um ein natives Apple Programm.

Die ausführbare Datei selbst nutzt das Address Space Layout Randomization (ASLR) und eine Fahne im PE-Header, die letzten Endes aktiviert sind. ASLR ist ein Schutzmechanismus, der das Betriebssystem, genauer gesagt die Speicherplätze des Programms nutzt, um sie weniger anfällig zu machen und so randomisierte Überlauf-Angriffe zu puffern. Bestimmte Funktionen bei jeder Ausführung der “Nutzlast” ändern sich dabei. Bei der Ausführung wird dabei beobachtet, wie die Nutzlast neue Dateien mit verschlüsselten Inhalt mit einem neuen gemeinsamen Muster erstellen – mit zufälliger Dateierweiterung oder mehreren Zeichen.

Das kann so aussehen:
.1cd, .3ds, .3gp, .accdb, .ai, .ape, .asp, .aspx, .bc6, .bc7, .bmp, .cdr, .cer, .cfg, .cfgx, .cpp, .cr2, .crt, .crw, .csr, .csv, .dbf, .dbx, .dcr, .dfx, .dib, .djvu, .doc, .docm, .docx, .dwg, .dwt, .dxf, .dxg, .eps, .htm, .html, .ibank, .indd, .jfif, .jpe, .jpeg, .jpg, .kdc, .kwm, .max, .md, .mdb, .mdf, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pps, .ppt, .pptm, .pptx, .psd, .pst, .pub, .pwm, .py, .qbb, .qbw, .raw, .rtf, .sln, .sql, .sqlite, .svg, .tif, .tiff, .txt, .vcf, .wallet, .wpd, .xls, .xlsm, .xlsx, .xml

Technisch gesehen beginnt nun die Schadsoftware alle Daten auf dem Computer zu verschlüsseln, indem oft SHA256 Hashes einer bestimmten Zeichenfolge berechnet werden, die über jeden Lauf erzeugt werden. Als Ergebnis davon wird anschließend als Eingabe ein AES-128-Bit- Verschlüsselungsschlüssel über eine große Schleife dieser API-Funktionen verwendet:ransomware-3

ReadFile-, CryptEncrypt und dann Writefile.

Im Anschluss der Ausführung versucht die Ransomware eine .onion-Adresse aufzulösen, um den Check-in zu starten. Ab nun wird Lösegeld für die Daten verlangt. Den Prozess kann man auch umdrehen und oftmals gelangt es Anti-Viren Software Herstellern auch, verschlüsselte Daten mit kostenlosen Tools zu entschlüsseln, allerdings ist dies nur bei bekannten Ransomware Typen der Fall. Letzten Endes heißt es auf der Hut bleiben, denn Ransomware ist nicht verschwunden. Wenn die Werte “POST”-ed dekodiert sind, weiß ich als Experte, wir sind nun in der Lage, Parameter und Informationen über das Opfer zu erkennen.

Der erste Wert p=16n8x93IpeZzXeMbLsHpXNAB ist die Verschlüsselung bzw. der Schlüssel für die Entschlüsselung. Dies ist offensichtlich der wichtigste Parameter und zeigt einen großen Fehler bei der Gestaltung von Ransomware. Wir haben in der Praxis diesen Fehler genutzt, um die Dateien des Opfers zu entschlüsseln, ohne das Lösegeld zu bezahlen.

Was kann man also noch tun um sich zu schützen?

IT-Sicherheit sollte von Firmen, Krankenhäusern und Privatpersonen befolgt werden.

Wenn zuhause bereits nicht aufgepasst wird, dann sicher auch nicht am Arbeitsplatz.

Dazu müssen alle Kollegen wissen, welche fundamentalen, wesentlichen Schritte im Umgang mit IT und Daten zu beachten sind. Die Datensicherung ist ein wesentlicher Bestandteil der IT-Sicherheit. Datensicherung über Backups erscheinen zunächst einmal sehr einfach.

Allerdings muss man genau wissen, wie und wo man seine Daten sichert und ein internes Sicherungssystem, das an dasselbe Netzwerk angeschlossen ist, kann für Erpressersoftware anfällig sein. Sie sehen, wir müssen uns einige Gedanken über gute Sicherungssysteme machen.

Backup auf externe Server bzw. Festplatten hilft

Egal ob Privat, in kleinen oder großen Unternehmen, oder im Krankenhausbereich – eine Datensicherung gerade sensibler Daten ist essentiell und eine Notwendigkeit. Damit die Erpressungssoftware (Ransomware) oder andere Schadsoftware nicht auch das Backup verschlüsseln bzw. infizieren kann, sollten die Daten auf einem Server oder einem Speicherbereich verpackt werden, der nicht mit dem Arbeits-PC bzw. Netzwerk verbunden ist. Jedem IT-Beauftragten in einem Unternehmen sollte zudem klar sein, dass der Backup-Weg auch Rückwärts überprüft werden muss. Das bedeutet, sind die Daten wieder herstellbar und können mit dem System synchronisiert werden.

Webfilter, Anti-Viren- und Anti-Malware-Software

Ein wichtiger Schutz gegen Viren und unerwünschte Software ist und bleibt ein gutes Antivirenprogramm. Die Programme werden neben Webfiltern auch online aktiv und zeigen unsichere Mails, Programme oder Online-Seiten an. Auch Malware nimmt immer weiter zu und erfordert spezielle Software um gezielt gegen unerwünschte Schadprogramme und Datenklau vorzugehen.

Anti-Ransomware-Software

Die großen Anti-Viren- und Anti-Malwarehersteller geben mittlerweile spezielle Anti-Ransom-Software raus. Eine Erkundigung bei entsprechenden Softwareherstellern hilft garantiert weiter.

Befallene Rechner

Ist ein Rechner einmal verschlüsselt und Sie werden gebeten, eine gewisse Geldsumme an ein Konto zu überweisen, folgen Sie diesen Anweisungen auf keinen Fall. Es gibt keine Garantie, dass Sie Ihre Daten wiederbekommen und die Erpresser kennen Ihre Kontoverbindung. Mit dem erpressten Geld wird zudem neue, noch raffiniertere Schadsoftware programmiert.

Mitarbeiterschulungen

Ein wichtiger Bestandteil der IT-Sicherheit jedes Unternehmens sind geschulte Mitarbeiter. Periodisch wiederkehrende IT-Schulungen und weiterführende Aufbaukurse im IT-Bereich sind essentiell. Des Weiteren darf bei Nachfolgern einer IT- oder generell Jobstelle nicht davon ausgegangen werden, dass derjenige den Firmenstandard in IT-Sicherheit erfüllt. Auch IT-Spezialisten müssen sich ständig weiterbilden, um den Voraussetzungen eines Unternehmens im Bereich Datensicherheit gerecht zu werden.

IDS

Hier gibt es speziell keine Anleitungen, die man selbst durchführen könnte, da jedes Intrusion Prevention System anders funktioniert.

Generell gilt, es gibt auch Open Source IDS Systeme, die kostenfrei sind und:
•Verbindungen zu Botnetzen unterbinden
•Angriffsversuche und Muster intern, wie extern erkennen (bspw. TCP Portscanning)
•Signaturbasiert nach Eindringlingen suchen
•Verhinderung vom Nachladen neuer Payloads (Schadcode für weitere Funktionalität)
•Reputationsdatenbanken befragen

janottaÜber den Autor:

Adrian Janotta ist Security Spezialist bei Janotta und Parter. Er ist für das Thema Sicherheits-Strategie und für Unternehmen verantwortlich. Janotta hat langjährige Erfahrung mit Hacker Attacken. Zwischen 1999 und 2010 war er selbst in den dunklen Ecken aktiv. Heute berät er internationale Unternehmen beim Thema Sicherheit.