Cybersicherheit bei MSPs: Beste Praktiken bei gezielten Ransomware-Angriffen

MSPs (Managed Service Provider), die häufig mit der Bereitstellung von IT-Sicherheitsdiensten betraut sind, sehen sich immer häufiger als Ziel von Ransomware-Gruppen. Diese haben es zunehmend auf den MSP-Markt abgesehen, wo die Kriminellen mit einem einzelnen erfolgreichen Angriff ihre Ransomware auf Dutzende Unternehmen verteilen können.

Auch wenn das für die MSP eine enorme Herausforderung darstellt, so eröffnet es jedoch auch neue Möglichkeiten. Indem die Anbieter ihre internen Sicherheitsprotokolle zur Priorität machen, um sich selbst besser zu schützen, bieten sie folglich auch ihren Kunden einen höheren Schutz. Sicherheitsbewusste MSPs können sich auf diese Weise auch von Mitbewerbern abheben, die anfälliger für Angriffe sind.

In diesem Artikel werden wir der Frage nachgehen, weshalb es Ransomware-Gruppen auf MSPs abgesehen haben und wie sich die Angriffe am besten abwehren oder entschärfen lassen.

Weshalb werden MSPs angegriffen?

Es ist nur logisch, dass MSPs ein interessantes Ziel für Ransomware-Gruppen sind. 2018 hat das Ministerium für Innere Sicherheit der Vereinigten Staaten eine Warnmeldung herausgegeben , dass MSPs seit Mai 2016 im Visier von Kriminellen sind.

Seit Veröffentlichung dieser Warnung sind bereits Dutzende MSPs Opfer von Ransomware geworden, wodurch wiederum Zehntausende Endpunkte verschlüsselt wurden und Ransomware-Gruppen Millionen US-Dollar ergaunern konnten.

Leider ist noch lange kein Ende für diesen Trend in Sicht. Doch weshalb sind MSPs so beliebte Ziele?

Leichter Zugang zu Zielen

Über die Infrastruktur der MSPs können sich Angreifer direkten Zugriff auf die Kunden verschaffen. Mithilfe der rechtmäßigen Zugangsdaten eines kompromittierten MSP können Angreifer frei auf die zwischen Anbieter und Kunde freigegebenen Netzwerke zugreifen. Darüber lässt sich dann mit nur wenig Aufwand Ransomware verteilen.

Wie das Ministerium anmerkte, „haben MSPs im allgemeinen einen direkten und uneingeschränkten Zugriff auf die Netzwerke der Kunden und können Kundendaten in ihrer eigenen internen Infrastruktur speichern. Indem MSPs eine große Anzahl von Kunden betreuen, können sie sehr wirtschaftlich und kostensparend arbeiten. Auf diese Weise kann jedoch eine Beeinträchtigung in einem Bereich des Netzwerks des MSP sich im gesamten System ausbreiten und folglich andere Kunden gefährden und zum Risiko werden.“

Druckmittel

Das Motiv für die meisten Ransomware-Angriffe ist Geld. Während Unternehmen in der Regel davon abgeraten wird, das Lösegeld zu bezahlen, sind MSPs eher dazu geneigt. Anderenfalls hätte es erhebliche Ausfallzeiten für ihren gesamten Kundenstamm zur Folge, was nicht nur den Ruf des Anbieters irreparabel schädigen würde.

Laut einem Bericht von SolarWinds und The 2112 Group hat ein US-amerikanischer MSP im Durchschnitt 52 aktive Kunden. Ein Ransomware-Angriff auf einen dieser MSPs kann folglich kolossalen wirtschaftlichen Schaden anrichten.

Mangel an Ressourcen

Viele MSPs sind meistens erheblich kleiner als die Unternehmen, die sie betreuen. Dem Bericht zufolge haben 65 Prozent der MSPs weniger als 10 Vollzeitangestellte.

Kleinere MSPs arbeiten in der Regel mit beschränkten Ressourcen, haben kein dediziertes Sicherheitspersonal und sind oftmals so ausgelastet, dass sie gar nicht die Zeit haben, strenge Cybersicherheitsvorkehrungen zu unterhalten.

Infolgedessen sind MSPs leichtere Ziele als große Unternehmen und bieten Angreifern gleichzeitig Zugang zu möglicherweise Hunderten oder Tausenden Endpunkten.

Größte Ransomware-Bedrohungen für MSPs

Ryuk

Ryuk ist berühmtberüchtigt dafür, große Unternehmen anzugreifen und Lösegelder zu fordern, die zum Zeitpunkt seiner erstmaligen Entdeckung im August 2018 mehr als das Zehnfache des Durchschnitts betrugen. Ryuk infiziert für gewöhnlich Systeme, die Opfer von Emotet oder Trickbot geworden sind. Diese beiden Trojaner werden meistens per Phishing-E-Mails verbreitet. Etliche MSPs wurden bereits von Ryuk betroffen, wie Data Resolution, CorVel und CloudJumper.

Sodinokibi

Sodinokibi, manchmal auch als REvil bezeichnet, trat erstmals im April 2019 in Erscheinung. Angreifer versuchen mit Sodinokibi, RDP-Schwachstellen bei den MSPs auszunutzen und privilegierte Zugangsdaten zu stehlen. Über die bei dem MSP allgemein eingesetzte RMM-Software (Fernüberwachung und -verwaltung) verteilen sie dann die Ransomware auf die Endpunkte von dessen Kunden. Viele MSPs sind bereits Sodinokibi zum Opfer gefallen, wie Complete Technology Solutions, PerCSoft und Synoptek.

Beste Praktiken zur Abwehr von Ransomware

Die Einhaltung grundlegender und bewährter Cybersicherheitsmaßnahmen kann bereits viel zum Schutz der Endpunkte beitragen – der eigenen ebenso wie denen der Kunden. Die folgenden Empfehlungen sind nicht allumfassend, sondern lediglich eine Sammlung bester Praktiken zur Abwehr und Entschärfung von Ransomware-Angriffen.

1. Sichere Fernverwaltungstools

Eine der wirkungsvollsten Maßnahmen für MSPs zur Entschärfung von Ransomware ist sicherzustellen, dass die Fernverwaltungstools so sicher wie möglich sind. Dazu gehört:

• MFA erzwingen: Die MFA (mehrstufige Authentisierung oder auch Zwei-Faktor-Authentisierung bzw. 2FA) ist eine einfache und überaus wirkungsvolle Methode, um Angreifer daran zu hindern, sich mit gestohlenen Zugangsdaten bei den Fernverwaltungstools anzumelden. Aktivieren Sie MSA als erforderliche Authentifizierungsmethode ausnahmslos wann immer möglich.
• IP-Beschränkungen umsetzen: Erwägen Sie die Einrichtung von IP-Beschränkungen, um den Zugriff auf Fernverwaltungstools nur Benutzern zu gestatten, die mit dem lokalen Netzwerk des MSP verbunden sind.
• RMM-Software aktualisieren: Software-Anbieter veröffentlichen regelmäßig Updates, um Sicherheitslücken in ihren Programmen zu schließen. Auch wenn deren Installation mitunter aufwändig oder ungelegen sein kann, sollten diese doch unbedingt Priorität haben.
• Sicheres RDP: Das Remotedesktopprotokoll (RDP) ist ein natives Fernverwaltungstool von Windows, das immer wieder für Ransomware-Angriffe ausgenutzt wird. Diese Anleitung der UC Berkeley (auf Englisch) bietet einen guten Ansatz für MSPs, die mehr darüber erfahren möchten, wie sie das RDP absichern können. In diesem Blogartikel finden Sie Tipps zum Vorbeugen von RDP-Brute-Force-Angriffen.

2. Beschränkter Netzwerkzugriff

Für Ransomware-Angriffe auf MSPs werden häufig gestohlene Zugangsdaten eingesetzt. Dienstleister sollten daher generell unter der Annahme agieren, dass ihre Konten irgendwann einmal kompromittiert werden, und folglich den Netzwerkzugang entsprechend beschränken.

• „Prinzip der geringsten Berechtigungen“ anwenden: Mitarbeiter sollten ausschließlich Zugriff auf die unbedingt für ihre Arbeit erforderlichen Ressourcen erhalten. Beschränken Sie die Zugriffsberechtigungen und überprüfen Sie diese regelmäßig, um sicherzustellen, dass die Berechtigungen den aktuellen Anforderungen genügen. Sie sollten auch keine lokalen Administratorberechtigungen haben, sofern diese nicht für ihren Aufgabenbereich benötigt werden.
• Gute Authentifizierungspraktiken pflegen: Mitarbeiter müssen verstehen, wie wichtig es ist, starke Kennwörter zu erstellen und Anmeldedaten nicht weiterzugeben oder mehrere Konten zu verwenden. Erwägen Sie die Verwendung eines Passwortmanagers und aktivieren Sie wo immer möglich MFA.
• Seitwärtsbewegung vermeiden: Wenn sich Angreifer Zugriff auf eine Ressource in einem Netzwerk verschafft haben, versuchen sie normalerweise, ihren Einfluss weiter auszubauen, indem sie sich seitlich im Netzwerk bewegen. Dies wird auch als „Lateral Movement“ bezeichnet. Anwendungswhitelists, MFA, Netzwerksegmentierung und eine starke Passwortverwaltung sind nützliche Tools, um diese Seitwärtsbewegung zu vermeiden. In diesem Leitfaden des National Cyber Security Centres (auf Englisch) finden Sie weitere Informationen dazu.

3. PowerShell deaktivieren, sofern nicht benötigt

PowerShell ist ein integriertes Framework von Microsoft zur Aufgabenautomatisierung und Konfigurationsverwaltung. Während es viele legitime Einsatzbereiche gibt, wird PowerShell häufig auch von Angreifern zum Verbreiten von Ransomware eingesetzt, da es Makros und aus dem Speicher heraus sogenannte Payloads ausführen sowie vollständigen Zugriff auf viele Windows-Systemfunktionen gewähren kann.

Sofern MSPs es nicht für ihren regulären Betrieb benötigen, sollten sie PowerShell deaktivieren. Ist PowerShell erforderlich, müssen alle PowerShell-Aktivitäten genau überwacht werden, um verdächtiges Verhalten so schnell wie möglich erkennen und stoppen zu können.

4. Sichere Endpunkte

Ransomware kann auf viele verschiedene Arten verbreitet werden. Die meisten Angriffe erfolgen jedoch immer noch auf dem herkömmlichem Weg, nämlich indem Benutzer durch bösartige E-Mails getäuscht werden. MSP können ihre Mitarbeiter wie folgt schützen:

• E-Mail-Sicherheit: E-Mail-Authentifizierungsmethoden wie DMARC, SPF und DKIM sind überaus nützlich zum Überprüfen von Absender-Domains, um Fälschungen zu erkennen und BEC-Angriffe zu vermeiden.
• Webfilter: Sicherheitsprogramme wie Emsisoft Browser Security hindern Benutzer daran, auf schädliche Websites zuzugreifen, und beugen so auch Phishing-Angriffe vor.
• Endpunkt-Sicherheit: Zur Abwehr von Ransomware und anderer Malware, die Ransomware verbreitet, ist eine zuverlässige Antivirus-Software unerlässlich. Für den eigenen Schutz vor Malware und dem der Kunden können MSPs beispielsweise Emsisoft Business Security einsetzen, das mit seiner Management Console eine webbasierte Plattform zur effizienten Fernverwaltung der Endpunktsicherheit bietet. Emsisoft Business Security ist die einzige Sicherheitslösung für Endpunkte, die überprüft, ob kompromittierte Passwörter verwendet werden, die häufig auch in MSP-Hacks und Ransomware-Angriffen genutzt werden.

5. Software sorgfältig auswählen

MSPs verlassen sich zur Erfüllung der unterschiedlichen Bedarfe ihrer Kunden auf eine Vielzahl von Tools. Da jedes dieser Tools einen möglichen Angriffspunkt für Kriminelle bietet, ist es besonders wichtig, dass MSPs die Sicherheitsmaßnahmen der Anbieter genau überprüfen, bevor sie sich für ein Programm entscheiden.

6. Externe Sicherungen anlegen

Ein wirkungsvolles Sicherungssystem ist ein unerlässlicher Bestandteil jeder Strategie zur Ransomware-Abwehr. MSP sollten sich daher unbedingt bewusst machen, dass sich Angreifer bei einer Kompromittierung der RMM-Software höchstwahrscheinlich auch Zugriff auf die Sicherungen des MSP verschafft haben.

Sollte sich Angreifern die Gelegenheit bieten, Sicherungen zu löschen oder sich ein weiteres Druckmittel zu verschaffen, werden sie diese auch nutzen. Darüber hinaus sind einige Ransomware-Versionen darauf ausgelegt, auch lokal und in der Cloud gespeicherte Sicherungen zu verschlüsseln.

Die sogenannte 3-2-1-Regel ist die einfachste und wirkungsvollste Methode, um Sicherungen vor Ransomware zu schützen. Diese sieht wie folgt aus:

• Legen Sie mindestens drei Kopien Ihrer Dateien an.
• Zwei Kopien sollten dabei auf unterschiedlichen Speichermedien abgelegt sein.
• Speichern Sie mindestens eine Kopie extern. Diese Sicherung muss vom Netzwerk getrennt, für möglichst niemanden zugänglich und idealerweise offline gespeichert sein.

In dieser umfangreichen Anleitung finden Sie weitere Informationen, wie Unternehmen ihre Sicherungen vor Ransomware schützen können.

7. BYOD-Richtlinien umsetzen

Cloud basierte Tools sind in MSP-Umgebungen allgegenwärtig. Doch jedes Gerät, das auf die Unternehmensressourcen zugreift, stellt ein mögliches Sicherheitsrisiko dar.

MSPs sollten also nicht nur sicherstellen, dass alle vom Unternehmen bereitgestellten und zur Arbeit eingesetzten Geräte angemessen geschützt sind, sondern auch Richtlinien für Mitarbeiter vorgeben, die für extern ausgeführte Aufgaben Privatgeräte verwenden.

Hilfreiche Maßnahmen, um Privatgeräte abzusichern und das Gefährdungsrisiko zu reduzieren, sind beispielsweise die Einschränkung des Netzwerkzugriffs, die Geräteverschlüsselung sowie die obligatorische Nutzung von VPN und MFA.

8. Notfallplan ausarbeiten und testen

Selbst wenn ein MSP alles richtig gemacht hat, kann er dennoch Opfer von Ransomware werden. Sollte das geschehen, muss er über einen Notfallplan verfügen, um schnell und effizient darauf reagieren zu können.

• Kommunikation: Es sollten Verantwortlichkeiten festgelegt werden, damit sowohl Personal als auch Führungskräfte wissen, wie bei einem Ransomware-Zwischenfall vorzugehen ist. Es muss ausgeführt werden, welche Stellen informiert werden müssen und in welcher Reihenfolge. Das können unter anderem interne Mitarbeiter, Kunden, Strafverfolgungsbehörden, Anwälte oder auch die Medien sein.
• Isolation: Es gilt eine Strategie auszuarbeiten, um die betroffenen Geräte zu isolieren oder zu deaktivieren. Indem infizierte Rechner vom Netzwerk getrennt werden, wird auch die Ausbreitung der Ransomware eingedämmt.
• Spezialisierte Notfalldienste: Es gibt eine Reihe von Notfalldiensten, die Ransomware-Opfern bei der Wiederaufnahme ihres Betriebs helfen. Dazu gehören oftmals auch Verhandlungen mit den Angreifern, um die verschlüsselten Daten wiederherzustellen. MSPs sollten sich über Notfalldienste informieren und Kontaktdaten griffbereit haben, falls deren Hilfe doch einmal gebraucht wird.
• Analyse: Es sollten Richtlinien zur Sicherung von Beweisen ausgearbeitet werden, die hilfreich für die Untersuchung sind. Dabei sind auch Leitlinien anzugeben, wie so viel nützliche Informationen wie möglich über den Vorfall gesammelt werden können. Dazu gehören Protokolldateien, Systemabbilder, Beispiele der verschlüsselten Dateien und die Lösegeldforderung (sofern vorhanden). Den Mitarbeitern muss außerdem untersagt werden, verschlüsselte Dateien zu löschen, sofern sie nicht explizit dazu aufgefordert werden.
• Gegenmaßnahmen: Hierzu gehören Vorgaben, wie die Malware zu entfernen ist (sofern möglich) und wie die Systeme mithilfe von Sicherungen wiederherzustellen sind. MSP müssen auch Kosten zur Behebung der ausgenutzten Schwachstelle einplanen, um das Risiko für zukünftige Zwischenfälle zu minimieren.

In dem Bericht des Ministeriums für Innere Sicherheit der Vereinigten Staaten finden Sie weitere Informationen zur Entwicklung eines Ransomware-Notfallplans (auf Englisch). Lesen Sie außerdem unseren Blogartikel, was es bei der Frage, ob ein Lösegeld bezahlt werden sollte oder nicht, zu bedenken gilt.

Fazit

Die Sicherheit von MSPs ist untrennbar mit der ihrer Kunden verwoben. Ist ein MSP kompromittiert, werden höchstwahrscheinlich auch dessen Kunden dem Angriff zum Opfer fallen, was zu erheblichen Ausfallzeiten und Lösegeldforderungen führt.

Unternehmen setzen viel Vertrauen in MSPs. Es ist daher unerlässlich, dass dieses Vertrauen auch gewürdigt wird und die MSPs alles in ihrer Macht stehende tun, um das Risiko eines Ransomware-Vorfalls zu mindern. In einer Zeit, da Cybersicherheit für Unternehmen jeder Branche zunehmende Bedeutung erlangt, können sich Anbieter, die einen aktiven Sicherheitsansatz verfolgen, zudem einen erheblichen Wettbewerbsvorteil verschaffen.

Übersetzung: Doreen Schäfer