Emsisoft
Strategien zum Erkennen und Vorbeugen von Datenexfiltration über Ransomware
Im November 2019 erreichte die Entwicklung von Ransomware einen traurigen neuen Höhepunkt.
Die Cyberkriminellen von Maze – dieselbe Gruppe, die auch für den Ransomware-Angriff auf Pensacola im US-Bundesstaat Florida verantwortlich ist – hat seine Drohung wahr gemacht und die Daten seines Opfers veröffentlicht. Allied Universal, ein Vermittlungsdienst für Sicherheitspersonal, hatte das Lösegeld nicht bis zur geforderten Frist bezahlt.
Dies ist das erste Mal, dass eine Ransomware-Gruppe große Datenmengen seines Opfers gestohlen und veröffentlicht hat. Sollte sich diese Strategie als profitabler erweisen als herkömmliche Angriffe, bei denen „lediglich“ verschlüsselt wird, könnte Datenexfiltration zu einer beliebten Vorstufe der Verschlüsselung werden.
In diesem Artikel erklären wir Ihnen, wie Datenextrafiltration funktioniert und wie Unternehmen ihre eigenen Daten und die vertraulichen Informationen ihrer Kunden davor schützen können.
Wie funktioniert Datenexfiltration?
Werden Daten unerlaubt von einem Computer auf ein anderes Gerät übertragen, spricht man von Datenexfiltration.
Zugriff erlangen
Um Daten stehlen zu können, müssen sich Angreifer zunächst Zugriff auf das anvisierte Netzwerk verschaffen. Dazu gibt es verschiedene Möglichkeiten, wie:
- Phishing: Die Angreifer schicken einem bestimmten Ziel (ein Unternehmen oder eine Person) sorgfältig formulierte E-Mails, in denen sie sich als „vertrauenswürdiger“ Absender ausgeben – etwa der Chef des Empfängers, ein wichtiger Kunde oder ein langjähriger Partner. In einem dringlichen oder begeisterten Tonfall versuchen die Angreifer, den Empfänger dazu zu bewegen, einen schädlichen Anhang zu öffnen oder auf einen Link im E-Mail-Text zu klicken. Hierauf wird der Empfänger entweder dazu aufgefordert, eine schädliche Software zu installieren, oder auf eine kompromittierte Website geleitet, über die die Schadsoftware automatisch heruntergeladen wird. Diese Malware kann dann eine Hintertür installieren, über die die Angreifer Daten direkt stehlen können. Sie kann allerdings auch die Installation zusätzlicher Malware wie Keylogger oder Rootkits ermöglichen, die sich dann für eine zukünftige Datenexfiltration einsetzen lassen.
- Gehacktes Remotedesktopprotokoll (RDP): Das von Microsoft entwickelte RDP ist ein Kommunikationsprotokoll, mit dem Anwender über eine Netzwerkverbindung auf einen anderen Computer zugreifen und ihn bedienen können. Mithilfe leicht zugänglicher Scan-Tools können Angreifer im Internet nach Computern mit IP- und TCP-Port-Bereichen suchen, die von RDP-Servern (in der Regel Port 3389) eingesetzt werden. Haben sie ein geeignetes Gerät gefunden, versuchen sich die Angreifer Zugriff darauf zu verschaffen. Dazu setzen sie häufig Brute-Force-Tools ein, die automatisch wiederholt versuchen, sich bei dem System anzumelden, indem sie Millionen Kombinationen aus Buchstaben, Zahlen und Sonderzeichen ausprobieren. Hat das Tool die richtigen Anmeldedaten gefunden, können die Angreifer alles tun, was innerhalb der Berechtigungen des gehackten Kontos liegt.
- MSP und RMM: Angreifer zielen häufig auf die von Managed Service Providern (MSP) zur Fernüberwachung und -verwaltung (RMM) verwendete Software ab. Mit nur einem einzigen erfolgreichen Angriff auf einen MSP können sich Kriminelle im schlimmsten Fall Zugriff auf dessen gesamte Kundendatenbank verschaffen. Damit erhalten sie ein enormes Druckmittel, damit das Opfer das Lösegeld bezahlt.
Datendiebstahl
Haben sich die Angreifer einmal Zugriff auf das Netzwerk verschafft, ist die Datenexfiltration selbst ein relativ einfacher Vorgang.
Es gibt unterschiedlichste Strategien, was den Umfang der Exfiltration angeht. Angreifer können zum Beispiel willkürlich Dateien stehlen, um sie später auszuwerten. Haben sie es jedoch nur auf sehr wertvolle Daten abgesehen, können sie hingegen auch sehr vorsichtig und wählerisch vorgehen.
- Die subtile Art: Je nach Situation versuchen Angreifer möglicherweise zu vermeiden, dass die Exfiltration durch Netzwerküberwachungssysteme erkannt wird, indem sie die zu stehlenden Daten verschleiern. Da viele Systeme zum Schutz vor Datenverlust bei der Exfiltrationserkennung schlicht auf Musterabgleiche setzen, lassen sich diese durch einfache Verschlüsselungstechniken austricksen. Typische verdeckte Exfiltrationskanäle sind SSL/TLS sowie Tunnelprotokolle und Protokollsteganographie.
- Die schnelle und wilde Art: Manche Angreifer gehen lieber schnell vor und nutzen Kanäle mit hohen Bandbreiten, um Dateien in kürzester Zeit zu stehlen. Dabei sind FTP, HTTP und HTTPS die häufigsten Kanäle, da über diese Verbindungen exfiltrierte Daten oft schwer vom regulären Datenverkehr zu unterscheiden sind. In selteneren Fällen werden auch Anwendungen für E-Mail oder Sofortnachrichten verwendet. Diese Kanäle lassen sich zwar leicht überwachen, haben aber meistens weniger Beschränkungen als andere Verbindungen, da sie häufig im normalen Geschäftsalltag eingesetzt werden.
Exfiltration über Ransomware
Wir gehen davon aus, dass Datenexfiltration in künftigen Ransomware-Angriffen immer häufiger vorkommen wird. Wie genau die einzelnen Ransomware-Gruppen dabei vorgehen, ist jedoch unterschiedlich. Die Ransomware selbst muss beispielsweise nicht zwangsläufig über Exfiltrationsfunktionen verfügen. Je nachdem, auf welchem Weg sich die Angreifer Zugriff auf das Netzwerk verschafft haben, kann der Datendiebstahl durch schlichtes Kopieren der Dateien per RDP erfolgen. Die Angreifer könnten auch ein Skript ausführen, das das gesamte Laufwerk an einen externen Speicherort kopiert. Vielleicht gehen sie auch selektiv vor und schreiben eine einfache Anwendung, die nach bestimmten Dateien in bestimmten Ordnern sucht und diese dann als ZIP-Archiv an einen Remoteserver hochlädt. Im Falle von Maze wird davon ausgegangen, dass mithilfe von PowerShell eine Verbindung zu einem FTP-Remoteserver hergestellt wurde, woraufhin alle betroffenen Dateien automatisch auf die Server der Angreifer kopiert wurden.
Datenexfiltration ist für Ransomware-Gruppen jedoch auch mit Risiko verbunden. Für das Stehlen von Dateien benötigen Sie Zeit, Bandbreite und Speicherplatz auf ihren Servern. Sollte dem Opfer etwas seltsam vorkommen, ergreift es möglicherweise Gegenmaßnahmen und unterbricht den Angriff, bevor die Kriminellen mit dem Exfiltrieren und Verschlüsseln fertig sind. Dadurch geht ihnen ein wichtiges Druckmittel verloren und die ganze Operation – deren Vorbereitung mitunter Wochen, Monate oder sogar Jahre gedauert hat – könnte komplett scheitern.
Vorbeugende Maßnahmen für Datenexfiltration
Natürlich wäre es am besten, wenn sich Gefährdungen komplett vermeiden ließen, aber jedes Unternehmen muss davon ausgehen, dass seine äußeren Schutzvorkehrungen irgendwann einmal durchbrochen werden könnten, und es sollte daher entsprechend Vorsorge getroffen werden.
Angesichts der ganz individuellen und vielseitigen Anforderungen eines jeden Unternehmens und der zahllosen technischen Möglichkeiten zur Datenexfiltration gibt es kein allgemeingültiges Vorgehen, um das Netzwerk eines Unternehmens abzusichern.
Erkennen
- Inhaltsfilter: Je schneller ein Unternehmen einen möglichen Datendiebstahl erkennt, umso größer sind die Chancen, den Angriff rechtzeitig aufzuhalten. Daher ist es ratsam, für den über bekannte Exfiltrationskanäle wie E-Mail, HTTP und FTP ausgehenden Datenverkehr Inhaltsfilter einzusetzen. Bestimmte Filter können so konfiguriert werden, dass sie die Übertragung sensibler Daten anhand benutzerdefinierbarer Datenmuster überprüfen. Werden nun über das Netzwerk Daten übertragen, die dem Datenmuster entsprechen, kennzeichnet der Filter das Ereignis und benachrichtigt den Administrator. Bei einigen Filtern kann auch eingestellt werden, dass dann die Übertragung automatisch unterbrochen wird. Inhaltsfilter lassen sich jedoch umgehen, indem übertragene Daten verschleiert werden, sodass sie keinen bekannten Mustern mehr entsprechen.
- Wasserzeichen: Digitale Wasserzeichen können nützlich sein, um Datenexfiltration und mögliche Schwachstellen in der Infrastruktur zu erkennen. Bei der bisher nur wenig eingesetzten Technik wird eine Markierung versteckt in einer Datei eingebettet. Diese Markierung enthält eine Signatur, die wiederum ein Deep-Packet-Inspection-Produkt in Echtzeit benachrichtigen kann, sobald die Datei exfiltriert wird. Wasserzeichen bleiben auch bestehen, nachdem die Datei kopiert und erneut abgespeichert wurde. Das ist besonders nützlich, um interne Schwachstellen in der Datenverarbeitungskette eines Unternehmens aufzudecken.
- Sicherheitsinformations- und -ereignismanagement: SIEM-Software (Security Information and Event Management) ist überaus hilfreich, um die von den Sicherheitsinfrastrukturen eines Unternehmens erzeugten Ereignisdaten zu sammeln und in einer zentralen Plattform aufzubereiten. Indem die Ausgaben der verschiedenen Quellen zusammengefasst werden, erhalten IT-Abteilungen einen ganzheitlichen Überblick über das Netzwerk.
Vorbeugen
Reaktionen festlegen: Viele der oben angesprochenen Exfiltrationserkennungssysteme können nicht nur verdächtige Aktivitäten erkennen, sondern auch darauf reagieren. Je nach Situation kann diese Reaktion auch komplexer ausfallen als ein schlichtes Genehmigen oder Verweigern des Zugriffs. Erkennt das System einen Angriff, kann es beispielsweise den angefragten Datentransfer mit simulierten Daten beantworten, um die echten Daten zu schützen und den Administratoren die Möglichkeit zu geben, Informationen über die Bedrohung zusammen.
- Prinzip der geringsten Berechtigungen: Jedes Unternehmen sollte das Prinzip der geringsten Berechtigungen anwenden. Danach hat jeder Benutzer und jede Anwendung nur die Berechtigungen, die erforderlich sind, um die jeweilige Rolle oder Funktion zu erfüllen. Durch die Limitierung der Berechtigungen verringern sich auch Umfang und Wert der Daten, die gestohlen werden könnten, falls ein Endpunkt kompromittiert wurde. Laut Forrester Research waren bei schätzungsweise 80 Prozent aller Sicherheitsverletzungen privilegierte Zugangsdaten im Spiel.
- Ausgangsfilter: Während viele Unternehmen sich darum sorgen, welche Angriffe von außen in ihr Netzwerk eindringen könnten, konzentrieren sich nur wenige darauf, welche Daten ihr Netzwerk verlassen. Ausgangsfilter sind eine wirksame Möglichkeit, um ausgehenden Datenverkehr zu beschränken. Dabei muss die ausgehende Verbindung bestimmte vom Administrator festgelegte Regeln erfüllen, bevor sie zugelassen wird. Sicherheitsbewusste Unternehmen möchten möglicherweise eine Regel umsetzen, die standardmäßig jeglichen ausgehenden Datenverkehr ablehnt (einschließlich E-Mails, Browser, Nachrichtensysteme usw.), sofern keine andere Regel erfüllt wird. Dies ist allerdings mit einem hohen Arbeits- und Zeitaufwand verbunden, da es viele Arten von ausgehenden Daten gibt, ohne die ein Unternehmen nicht funktionieren kann, und jede davon benötigt eine eigene Ausgangsfilterregel.
- Durchsetzen von Sicherheitsrichtlinien: Strenge Sicherheitsrichtlinien sind nutzlos, wenn sie nicht auch überwacht und durchgesetzt werden. Manuell ist das jedoch weder praktikabel noch effizient. Unternehmen sollten daher in eine Software zur Richtliniendurchsetzung investieren, die sicherstellt, dass Anwender die Sicherheitsrichtlinien einhalten. Es gibt viele Lösungen, mit denen Unternehmen Sicherheitsrichtlinien festlegen, deren Einhaltung überprüfen und mitunter auch automatisch Probleme beheben können.
Fazit
Ransomware-Gruppen werden auch weiterhin versuchen, möglichst hohen Druck auf ihre Opfer auszuüben. Daher werden wir in den kommenden Wochen und Monaten höchstwahrscheinlich weitere Fälle von Datenexfiltration beobachten. Aufgrund der unterschiedlichsten Herangehensweisen existiert leider keine allgemeingültige Lösung, mit der Unternehmen Datendiebstahl verhindern können. Es gibt jedoch einige nützliche Vorkehrungen, um zumindest das Risiko zu senken. Hierzu gehören beispielsweise das Erkennen verdächtiger Aktivitäten in offenen und verdeckten Kanälen, das Festlegen und Durchsetzen von Sicherheitsrichtlinien oder die Investition in Systeme, die intelligent auf erkannte Bedrohungen reagieren können.
Übersetzung: Doreen Schäfer
