Warum Ransomware funktioniert: Taktiken und Routinen

Originalartikel von Rhena Inocencio, Anthony Melgarejo, Jon Oliver

Kürzlich zeigte eine Studie, dass Unternehmen überlegen, Bitcoins anzusparen, für den Fall, dass sie von Ransomware angegriffen werden. Damit wollen sie das verlangte Lösegeld schnell zahlen und ihre vertraulichen Dateien wiederherstellen können. Dies ist keine empfehlenswerte Taktik, und sie garantiert auch nicht, dass die Zahlung die Dateien wiederbringt. Um zu vermeiden, der Erpressungssoftware zum Opfer zu fallen, sollten Unternehmen verstehen, wie Ransomware funktioniert.

Köder über Social Engineering-Taktiken und der Einsatz von hochentwickelter Verschlüsselung spielen eine entscheidende Rolle für den Erfolg der Angriffe mit digitaler Erpressungssoftware. Darüber hinaus aber nutzt Ransomware auch weitere Schadsoftware-Routinen, die zwar technisch nicht sehr raffiniert sind, doch größeren Schaden anrichten können, wenn sie zusammenarbeiten.

Unternehmen X etwa erhält die Nachricht, dass seine Dateien, einschließlich der unternehmenskritischen, möglicherweise verschlüsselt und als Geisel genommen wurden bis ein bestimmtes Lösegeld gezahlt wird. Die IT-Abteilung unternimmt die nötigen Schritte, um das infizierte System vom Netzwerk zu nehmen und es zu isolieren. Dann versuchen die Administratoren, die infizierten Computer zu säubern und die Dateien wiederherzustellen. Doch dies ist nicht so einfach, denn eine der beliebten Methoden der Schadsoftware besteht darin, Shadow-Kopien zu löschen. Dazu verwendet sie folgende Befehle:

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

Dadurch werden auch Backup-Kopien der Dateien entfernt, sodass die Dateien nicht wiederherzustellen sind. Windows 7 und 8 besitzen die Funktion des Löschens von Shadow-Kopien, in Windows 8 geschieht dies unsichtbar. Varianten wie CRYPWALL, Locky, CERBER und CRYPTESLA unter anderen nutzen diese Technik.

Weitere Routinen lassen sich folgendermaßen einteilen:

Startup-Modifikation

Das Überschreiben oder Löschen des Master Boot Record (MBR) verhindert das Booten eines Systems. Diese Funktionalität führt zu weiteren Schwierigkeiten, wenn das System im Safe Mode wiederhergestellt werden soll. PETYA hat diese Fähigkeit. MATSNU wiederum führt Backdoor-Befehle wie Löschen des MBR und Lock Screen durch.

Verbreitungstaktiken

Aufgrund des verwendeten Verschlüsselungsalgorithmus ist es schon schwierig genug, Dateien in einem System wiederherzustellen. Erschwert wird dies aber, wenn die Bedrohung über Wechselmedien und Netzwerkfreigaben verbreitet wird, denn weitere kritische Daten können damit verschlüsselt werden. Zcryptor (ZCRYPT Crypto-Ransomware) etwa nutzt diese Verbreitungswege.

Anti-Erkennungsmechanismen

Der Watchdog-Prozess wird normalerweise dazu genutzt, um eine neue Instanz der Schadsoftware zu erzeugen. Dafür wird die reguläre regsvr32.exe oder rundll32.exe kopiert und als svchost.exe benannt. Während sich ein Prozess um die Verschlüsselung kümmert, arbeitet ein weiterer als Watchdog. Eine andere Vermeidungstaktik besteht darin zu prüfen, ob es sich um eine VMWare-Umgebung handelt.

Bild 1. Prozess-Baum der CryptXXX-Infektion, einschließlich Watchdog-Prozess

VIRLOCK leitete sich von anderer Ransomware über die Nutzung von polimorpher Verschlüsselung ab, wobei die Verschlüsselungsschlüssel sich bei jeder Infektion ändern. Die Schadsoftware kann sogar beliebigen Garbage-Code und API-Aufrufe in die infizierten Dateien einfügen. Damit soll die dateibasierte Erkennung und simple Emulation erschwert werden. Die Malware nutzt auch mehrere Verschlüsselungsschichten zur Verhinderung der Entdeckung und Analyse.

Bild 2. Code-Ausschnitt des VIRLOCK Anti-Erkennungsmechanismus

Weitere Techniken

Eine andere bekannte Technik, die zur Persistenz der Bedrohung beiträgt, ist das Prüfen der Netzwerk- oder Server Message Block (SMB)-Freigaben, mit denen das infizierte System verbunden ist. CryptoFortress nutzt diese Technik. CRYPWALL Versionen 3 und 4 können auch alle Laufwerke aufzählen und wenn diese gemappt sind, auch die Dateien verschlüsseln.

Einige Varianten missbrauchen auch reguläre Services wie Windows PowerShell. Dazu gehören PowerWare und POSHCODER. Weitere wichtige Routinen sind Domain Generation Algorithm (DGA) für die C&C-Serververbindung, wie sie CryptoLocker nutzt. CryptXXX wiederum stiehlt auch Informationen, sodass die Angreifer durch deren Verkauf zusätzlichen Umsatz auf dem Untergrundmarkt erzielen.

IT-Administratoren können zusätzliche Probleme zu lösen haben, wenn Angreifer Sicherheitslücken für die Verbreitung der Schadsoftware nutzen. SAMSAM etwa nutzte den Jexboss Exploit, um über angreifbare Server ins Netzwerk zu gelangen und sich hier zu verbreiten.

Mehrschichtige Verteidigung

Backup der Dateien ist sehr empfehlenswert, doch keine alleinige Lösung, denn es gibt Ransomware-Varianten, die auch Backups verschlüsseln. Daher sollten Unternehmen eine mehrschichtige Verteidigung wählen.

Trend Micros Smart Protection Suites kann über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware.

Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden. Die anpassbare Sandbox erkennt auch Varianten, die Makros nutzen. IP- und Web-Reputation mindern das Risiko von Ransomware auf Mail- und Web-Ebene.

Netzwerkschutz bietet Trend Micro Deep Discovery Inspector, der über die Sandbox und Scanning Ransomware erkennt und blockt.

Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Mail Gateway-Sicherheit über Hosted Email Security. Privatanwender wiederum erhalten  mit Trend Micro Security 10 einen guten Schutz vor Ransomware.

Kostenlose Tools wie Trend Micro Lock Screen Ransomware erkennt und entfernt Screen Locker Ransomware, während Trend Micro Crypto-Ransomware File Decryptor bestimmte Varianten von Crypto-Ransomware entschlüsseln kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.