Wer auf diese fünf Vorboten achtet, entdeckt Erpressungstrojaner, bevor sie zuschlagen können.
In den meisten Fällen erfolgt ein Ransomware-Angriff für die Betroffenen unerwartet und plötzlich. Es gibt jedoch typische Vorzeichen, die auf eine bevorstehende Attacke hinweisen, wie die Untersuchung zahlreicher Attacken durch den Sicherheitsspezialisten Sophos zeigen. Die Experten des Managed Threat Response (MTR)-Teams haben die IT-Umgebungen und den Netzverkehr betroffener Unternehmen vor dem eigentlichen Angriff analysiert und dabei die folgenden fünf Warnsignale identifiziert:
1. Einsatz von Netzwerk-Scannern
Haben sich Angreifer erst einmal Zugang zu einem Rechner verschafft, versuchen sie so viel wie möglich über das Gerät und seine Netzwerkumgebung herauszufinden. Hierbei kommen häufig frei verfügbare Netzwerktools wie Angry IP Scanner oder Advanced IP Scanner zum Einsatz, die eigentlich für die Administration oder die Fehlersuche im Netz gedacht sind. Wenn solche Tools auf Servern gefunden werden, sollten IT-Sicherheitsverantwortliche hellhörig werden und bei den Administratoren nachfragen, ob sie diese Werkzeuge im Einsatz haben. Wenn das nicht der Fall ist, handelt es sich mit großer Wahrscheinlichkeit um einen Angriff.
2. Deaktivierung von Sicherheitssoftware
In bestimmten Fällen kann es notwendig sein, Antivirus-Software und andere Sicherheitsprogramme zu deaktivieren und zu entfernen. Kostenlose oder kommerziell erhältliche Applikationen wie Process Hacker, IOBit Uninstaller, GMER oder PC Hunter erledigen diese Aufgabe auch dann, wenn die direkte Deinstallation fehlschlägt. Tauchen solche Werkzeuge jedoch im Firmennetz auf, ohne dass dies von der IT-Abteilung initiiert wurde, ist Vorsicht geboten. Höchstwahrscheinlich versuchen Cyberkriminelle mit den Tools, die installierte Sicherheitssoftware zu deaktivieren und damit unwirksam zu machen.
3. Präsenz von MimiKatz / Export von Authentifizierungsdaten
MimiKatz ist eine quelloffene, frei verfügbare Software für Windows-Systeme, mit der sich Passwörter im Klartext anzeigen oder Passwort-Hashes aus dem Speicher auslesen lassen. Administratoren und Sicherheitsexperten nutzen sie, um Systeme auf Schwachstellen zu überprüfen. MimiKatz ist jedoch auch bei Hackern sehr beliebt, um Anmeldedaten zu stehlen. Daher stellt die Anwesenheit der Software im eigenen Netz ein tiefrotes Warnsignal dar. IT-Sicherheitsverantwortliche sollten jedoch nicht nur auf MimiKatz selbst, sondern auch auf Aktivitäten achten, die zur Vorbereitung einer MimiKatz-Analyse dienen könnten. Angreifer exportieren gerne den Speicher-Dump das lokalen Sicherheits-Authentifizierungsservers lsass.exe als .dmp-Datei. Dazu kommt meist der Microsoft Process Explorer zum Einsatz, der in der Microsoft Systinternals Suite enthalten ist. Die Kriminellen können dann in aller Ruhe MimiKatz auf ihren eigenen Systemen einsetzen, um Nutzernamen und Passwörter aus den .dmp-Dateien zu extrahieren.
4. Ungewöhnliche Verhaltensmuster
Der ungewöhnliche Einsatz des Microsoft Process Explorers ist eines der Verhaltensmuster, die auf einen Angriff hindeuten können. Auch andere regelmäßige Systemzugriffe und Programmaktivitäten, die nicht von Administratoren oder legitimen Anwendern ausgehen, sollten die Alarmglocken schrillen lassen. Dazu gehören beispielsweise PowerShell-Aufrufe, HTTP(S)-Verbindungen zu unbekannten oder verdächtigen Zielen oder eine ungewöhnlich hohe Aktivität von Komprimierungstools wie 7Zip und WinRAR. Bleiben solche Verhaltensmuster auch nach der Desinfektion eines Systems bestehen, ist das ein Zeichen dafür, dass die Malware nicht vollständig entfernt wurde oder sich durch Seitwärtsbewegung (Lateral Movement) bereits in andere Bereiche des Firmennetzes ausgebreitet hat.
5. Testattacken
Häufig versuchen Angreifer, mit kleineren Attacken auf wenige Computer Schwachstellen herauszufinden und die vorhandenen Abwehrmaßnahmen zu analysieren. Sind sie mit den Versuchen nicht erfolgreich, ändern sie ihre Taktik, greifen andere Ziele an oder wechseln die Angriffsmethode. Eine ungewöhnliche Häufung solcher Versuche ist deshalb ein Warnzeichen dafür, dass ein größerer Angriff bevorstehen könnte. Das gilt im Übrigen nicht nur für klassische Ransomware mit Verschlüsselungstrojanern. Auch bei DDoS (Distributed Denial of Service) gehen der eigentlichen Hauptattacke häufig kleinere Testangriffe voraus. Sie sollen unter anderem dazu dienen, das Opfer einzuschüchtern und zur Zahlung von Lösegeld zu bewegen, um einen schwerwiegenderen Angriff zu vermeiden.
Fazit
Ransomware-Attacken tauchen nur scheinbar aus dem Nichts auf. Tatsächlich sind sie häufig von langer Hand vorbereitet. IT-Sicherheitsverantwortliche sollten die Vorzeichen daher immer im Blick behalten und auch scheinbar irrelevante oder harmlos scheinende Vorkommnisse genau untersuchen. Es ist allerdings alles andere als einfach, in der Flut von Alarmen, Logeinträgen und Prozessen Muster zu erkennen. Spezialisten wie das MTR-Team von Sophos haben hierfür einen geschärften Blick, das nötige Know-how und die notwendigen Ressourcen. Sie können daher die internen Teams hervorragend bei der Erkennung von Attacken unterstützen, bevor es zum eigentlichen Angriff kommt.