Ransomware
"Dark Marketing" für Kriminelle
Die Veröffentlichung und Beschreibung von Angriffsmethoden unterstützt nicht nur die Verteidigungsseite sondern dient unbeabsichtigt auch der Vermarktung der Attacke an weitere potenzielle Täter. Wie ist mit den Konsequenzen umzugehen?
Dark Marketing ist ein Phänomen, das im Rahmen von Angriffen auf IT-Security abläuft und von vielen unterschätzt wird. Die Veröffentlichung und Beschreibung von Angriffsmethoden und -Vorgehensweisen unterstützt nicht nur die Verteidigungsseite sondern dient unbeabsichtigt auch der Vermarktung der Attacke an weitere potenzielle Täter. Wie lässt sich dies unterbinden und wie ist mit den Konsequenzen umzugehen?
Umgang mit Angriffen in der öffentlichen Wahrnehmung
Als aktuelles Beispiel könnten die Angriffe der als „Hafnium“ bekannten Hackergruppe herhalten. Als diese Attacken auf Exchange Server im März 2021 bekannt wurden, war von sieben Zero Day-Schwachstellen die Rede und davon, dass es politische Akteure sind, die diese für Angriffe ausnützen. Aufgrund der enormen Anzahl betroffener Systeme gab das BSI eine Alarmwarnung der Stufe „rot“ heraus und forderte Unternehmen auf, umgehend die von Microsoft veröffentlichten Fixes einzuspielen. Der Zweck der Maßnahme: Aufmerksamkeit erzeugen, Handlungsdruck aufzubauen und dabei zu unterstützen, Mittel (finanzielle und zeitliche) bei betroffenen Unternehmen frei zu machen. Blickt man auf die Anzahl der Systeme, die nur einen Monat später bereits geschützt sind, ist dieses Kalkül aufgegangen. Da bereits Angriffe in Deutschland stattfanden, hatte das BSI schlicht keine andere Wahl als diese Vorgehensweise.
Unerwünschte Nebenwirkung
Allerdings ist wahrscheinlich jedem, der in der IT arbeitet, auch bewusst, dass solche Informationen nicht allein von den „Verteidigern“ aufgenommen werden. Geht es wie hier um technische Methoden, so werden sie von vielen Experten analysiert, es werden Beschreibungen von Indikatoren erstellt, Details zu den Vorgehensweisen beobachteter Akteure zusammengefasst. Damit entstehen aber auch Blaupausen für Angriffsvorgehen – quasi Best Practice-Empfehlungen, um die Schwachstellen auszunutzen, ja sogar Youtube Tutorials dazu. Und diese Blaupausen und Anleitungen führen zu Angeboten im Darkweb, die auf diese Schwachstellen verweisen, um ihren Service zu bewerben. Heißt es heute, dass Hafnium-Angreifer Daten verschlüsseln (also Ransomware einsetzen), dann kann davon ausgegangen werden, dass der ursprünglich vielleicht tatsächlich politisch motivierte Angriff mittlerweile von gewöhnlichen Cyberkriminellen nachgebaut wurde!
Unterschiedliche Wahrnehmung eines „politisch motivierten“ Angriffs
Des Weiteren sollte klar sein, dass die Aussage, es steckten politische Akteure hinter den Angriffen, sich auf Verteidiger anders auswirkt als auf Cyberkriminelle. Die Sicherheitsprofis in Unternehmen werden sich überlegen, ob die eigene Organisation überhaupt als Ziel für politische Akteure taugt. Denn, dass „der Schurkenstaat Ihrer Wahl“ ein Interesse daran hat, die IT eines Landes wie die Bundesrepublik in Friedenszeiten lahm zu legen, scheint eher ungewöhnlich. Hat ein Unternehmen nun auch keine wirklich wertvollen Daten, sind die Verantwortlichen schon eher geneigt, die Warnung ruhiger anzugehen.
Ganz anders sieht es auf Seiten der Kriminellen aus. Da gilt ein staatlich vorbereiteter Angriff als Gütesiegel, und ein „Made in…“ ist ein Qualitätsmerkmal, denn die Kriminellen gehen davon aus, dass eine solche Attacke professionell vorbereitet wurde. Entsprechend hoch ist das Interesse an dieser „Ware“. Das kurzfristige Ziel der Kriminellen ist es, ihre Angriffe so schnell und so weit es geht zu verbreiten und Zugänge zu legen, weil sie wissen, dass sich ihr Zeitfenster schließt. Das bedeutet, sie müssen Backdoors platzieren. Die bleiben im System, auch wenn die ursprünglichen Sicherheitslücken geschlossen werden. Ist Ruhe eingekehrt, kann man über diese Backdoors in aller Ruhe das System infizieren.
Dark Marketing für Fortgeschrittene
Hier greift dann die zweite Stufe des „Dark Marketing“, das den Tätern in die Hände spielt. Es geht um Nachrichten wie „Die Hacking Gruppe X gibt bekannt, Daten der Firma Y gestohlen zu haben“. News dieser Art sind in der Presse sehr populär, führen sie doch die Verwundbarkeit von Unternehmen vor Augen und sind auch immer peinlich für die Betroffenen. Je bekannter der Name des Opfers, desto sicherer wird darüber gesprochen. Die Täter haben damit ihren Zweck erreicht, sobald über sie berichtet wird. Der Druck auf die Opfer, die „Sache“ irgendwie aus der Welt zu schaffen, wird aufgebaut. Und gleichzeitig wird auch schon das nächste Opfer beeinflusst, wenn Hacker X seinen „guten Namen“ nutzt, um nun auch den Nächsten zu überzeugen schnell zu zahlen.
Auch die Erwähnung spezieller Techniken dient dazu, Reflexhandlungen auszulösen. Im Falle von Wannacry war lediglich ein kleiner Bereich meist veralteter Windows-Systeme betroffen und der dadurch entstandene Schaden in der Regel gering. Doch da zu dieser Zeit (2016/17) Ransomware-Angriffe überall durch die Medien gingen, überwiesen Unternehmen und Verbraucher weltweit insgesamt mehrere hunderttausend Dollar auf die Konten der Täter — noch bevor innerhalb weniger Stunden veröffentlicht wurde, dass rein technisch gesehen, nie eine Entschlüsselungsmöglichkeit existierte. Volltreffer für die Erpresser!
Lehren ziehen
Erstens, Cyberangriffe über die global berichtet wird, sind ernst zu nehmen. Werden dort Eintrittspunkte erwähnt (wie z.B. Software-Schwachstellen), gilt es diese zu schließen. Es ist dabei völlig unerheblich, wer angeblich hinter diesen Angriffen steckt. Sobald die Attacke in der Öffentlichkeit diskutiert wird, gibt es innerhalb kürzester Zeit Nachahmer. Doch trotz dieser unfreiwilligen „Werbung“ ist es wichtig, auch ausführlicher über Angriffe zu berichten, damit Unternehmen verstehen, wo die Probleme liegen, wie es zu solchen Angriffen kommt und wie diese ablaufen und sich darauf vorbereiten können.
Zweitens, nur weil jemand behauptet, Daten zu haben oder Daten entschlüsseln zu können, heißt das nicht, dass dem auch so ist. Potenzielle Opfer sollten sich dies im Zweifel beweisen lassen. Informieren Sie Strafverfolgungsbehörden und stimmen Sie Ihr Vorgehen mit diesen ab!
Drittens und gleichzeitig die wichtigste Erkenntnis: Gehen Sie von der Möglichkeit aus, dass versucht wird, Sie zu erpressen. Eine solche Situation lässt sich vorherplanen. Im Fall eines Vorfalls ist es wichtig herauszufinden, ob tatsächlich Daten entwendet werden konnten, wie weit ein Täter bereits in ein System eingedrungen ist, ob es Backdoors gab/gibt, durch die der Angreifer ein- oder ausgehen konnte. Nur dann lässt sich abschätzen, ob es tatsächlich einen Datenverlust gab oder ob der Erpressungsversuch doch nur Fake ist.
Diese von Unternehmen anzuwendenden Techniken gehören zur Kategorie des Detection & Response. Richtig angewandt, unterstützen sie dabei, einen tatsächlichen Angriff bereits in der Entstehung zu erkennen und Backdoors wie auch andere Einfallstore zu identifizieren. Im Worst Case können sie zumindest Auskunft darüber geben, was entwendet wurde und wie groß das Ausmaß des Angriffs ist.
Um hier erfolgreich zu agieren, reicht es nicht, nur eindimensional Systeme wie Windows Endpoints zu überprüfen. Auch Kommunikation über das Netzwerk und in anderen Bereichen des Unternehmens müssen überwacht werden. Die Technik heißt deshalb XDR (übergreifendes Detection und Response), und Trend Micro fasst alle diese Technologien in der Plattform Trend Micro Vision One zusammen.