Transcript
Trend Micro White Paper | März 2016
Crypto-Ransomware: Geld oder Daten Digitale Erpressung lässt sich vermeiden
EINLEITUNG Im Grunde genommen ist es immer dasselbe Muster: Jemand besitzt etwas Wertvolles, möglicherweise nur für den Eigentümer selbst von Bedeutung, und daraus lässt sich Profit schlagen. Die Methoden, um den Eigentümer dazu zu „überreden“, für den Schutz seines Besitzes oder die Rückgabe im Fall des Diebstahls Geld zu bezahlen, sind unterschiedlich. Eine davon, und zwar eine sehr wirksame, ist Erpressung. In der Cyber-Welt funktioniert dies mit Ransomware, einem Typus von Schadsoftware, mit dessen Hilfe ein digitaler Erpresser den Zugriff auf die Dateien eines Opfersystems sperren kann, sodass der Betroffene erst dann wieder auf die Daten zugreifen kann, wenn er das geforderte Lösegeld (Ransom) gezahlt hat. Das ist zumindest das Versprechen des Kriminellen. Von den Anfängen bis heute Digitale Erpressersoftware, ist nichts Neues. Den Anfang machten die „alten“ Fake-AV-Schädlinge, die Nutzern fingierte AV-Scanning-Ergebnisse präsentierten und sie damit dazu brachten, gefälschte AV-Software zu kaufen. Vor etwa zehn Jahren begannen Cyberkriminelle immer mehr Gefallen an Erpressungssoftware zu finden. Berüchtigt war die so genannte Polizei-Ransomware, die Nutzer mit Nachrichten über angeblich begangene Vergehen erpresste. Mittlerweile hat sich eine viel raffiniertere Art von Ransomware durchgesetzt: Crypto-Ransomware. Diese Schadsoftware geht einen Schritt weiter und verschlüsselt die gekaperten Dateien in den Systemen oder Netzwerklaufwerken der Opfer. 2013 tauchte mit CryptoLocker die erste Variante dieser Art auf und hat sich seither immer weiter entwickelt. Neue Taktiken und Methoden sollen unter anderem einer frühzeitigen Erkennung vorbeugen. Inzwischen bieten die Untergrundmärkte auch schon Ransomware-Dienstleistung an. Das Geschäftsmodell: Der Provider versorgt Interessierte mit den benötigten Angriffsmitteln und erhält dafür 10% vom Lösegeld [1]. Schon immer setzten Erpresser auf die Angst ihrer Opfer, doch mit diesen neuen Fähigkeiten können die Cyberkriminellen ganze Organisationen als Geiseln nehmen und von ihnen Geld erpressen, denn es geht um das für Unternehmen entscheidende Gut – Informationen. Wie erfolgreich Erpressung mit Crypto-Ransomware ist, lässt sich mit Zahlen aus Trend Micros Smart Protection Network belegen: Lag der Anteil der Crypto-Ransomware im Jahr 2013 noch bei 20% der gesamten Erpressersoftware, so ist er im Jahr 2015 auf 80% gestiegen. Auch sind die Cyberkriminellen wählerisch geworden und zielen mit ihren Angriffen eher auf Unternehmen mit wertvolleren Daten, so die Online Trust Alliance (OTA) in einer Studie [2]. Die Höhe des Lösegelds passen sie der Größe des Opferunternehmens und dem Wert der Daten an. Auch gibt es Indizien dafür, dass aktuell auch speziell kritische Infrastrukturen im Fokus dieser Angriffe stehen, weil die Betreiber solcher Systeme unter einem besonders hohen Druck stehen und schnell agieren müssen. Die Angst wird weiterhin Teil einer jeden erfolgreichen Erpressungstaktik sein. Und je persönlicher die Kriminellen werden können, desto leichter geben ihre Opfer den Forderungen nach. Experten gehen davon aus, dass CyberErpresser immer neue Taktiken entwickeln, die die Psyche ihrer Opfer – seien es Unternehmen oder Einzelpersonen – im Visier haben. Beispielsweise wenn der Ruf einer Einzelperson oder eines Unternehmens auf dem Spiel steht, ist die Erpressung besonders wirksam und entsprechend lukrativ.
Seite 2 von 8 | Trend Micro White Paper Crypto-Ransomware: Geld oder Daten
AKTUELLE ANGRIFFSWELLE Trend Micros CTO Raimund Genes hatte in den Vorhersagen für 2016 betont: „2016 wird das Jahr der CyberErpressung.“ Die Realität hat ihm bereits Recht gegeben [3]. Im Februar häuften sich die Meldungen über digitale Erpressungsversuche auf Krankenhäuser, vor allem im Raum NRW [4], aber auch in den USA, wo das Hollywood Hospital über eine Woche lahmgelegt wurde und 40 Bitcoins (17.000$) Lösegeld zahlte [5]. Beim Neusser Lukaskrankenhaus hielt sich zwar der Schaden in Grenzen, weil ein zeitnahes Backup vorhanden war, dennoch mussten viele Systeme heruntergefahren werden. Die Angriffe in Deutschland und in den USA stehen nicht direkt miteinander in Verbindung, sie haben dennoch eines gemeinsam: Es sind Crypto-Ransomware-Angriffe mit dem Ziel, den Opfern zu schaden und ihnen Geld abzunehmen. Die derzeit „prominenteste“ Ransomware aber ist „Locky“. Dieser Schädling verschlüsselt Dateien auf der Platte mit einer Mischung aus RSA/2048- und AES/128-Algorithmen und versieht sie mit der Endung .locky. Perfiderweise scheint Locky nicht sofort nach einer Infektion zu verschlüsseln. Vielmehr scheint er ein bestimmtes Datum (Montag, 15.2.2016, 15:06) abgewartet zu haben, um damit anzufangen. Der zum Entschlüsseln benötigte Decryptor/Key kann gegen Zahlung von einem Bitcoin (~360 EUR) erworben werden [6]. Den Daten aus Trend Micros Smart Protection Network zufolge sind Deutschland und Japan am meisten von Locky betroffen:
Bild 1: Die weltweite Verteilung der Infektionen mit der Ransomware Locky
Seite 3 von 8 | Trend Micro White Paper Crypto-Ransomware: Geld oder Daten
INFEKTIONSWEGE Die Verbreitungswege der Ransomware sind vielfältig. Eines steht fest: Eine Infektion ist nur dann möglich, wenn ein Nutzer eine wie auch immer geartete Datei herunterlädt und ausführt. Über die folgenden Vektoren gelangt Ransomware am häufigsten an seine Opfer: • E-Mail: Sehr häufig ist es eine Mail mit einem infizierten Anhang, die den Schädling mitbringt: Office-Dokumente, pdf-Dateien oder gar Javascripts, die der Empfänger ahnungslos anklickt. Laut derzeitigem Kenntnisstand von Trend Micro erfolgte zumindest der Angriff auf das Lukaskrankenhaus in Neuss über eine Mail mit einem Word-Dokument als Anhang, welches nach dem Öffnen weiteren Schadcode nachlädt. Die Hintermänner von Locky etwa zeigen viel Phantasie, um ihre Opfer zu überrumpeln: Zuerst verbreitete sich der Trojaner ebenfalls nur über eine Mail mit dem Betreff „Rechnung“ und einem infizierten Word-Anhang. Als nächstes wählte er Skript-Dateien, die täuschend echt aussehenden Rechungs-Mails anhängen. Dann tarnte sich der Trojaner als Meldung über den Empfang eines Fax [7]. Mittlerweile kommt er auch in einer Batch-Datei, die Antivirenprogramme austrickst [8]. • Mobilgeräte: Zum Teil gelangte der Schadcode auch auf direktem Wege ins Netzwerk, zum Beispiel über mitgebrachte Mobilgeräte externer Mitarbeiter. • „Drive-By“-Infektion: Wer sich jedoch nur auf den Schutz der Mail konzentriert, ist trotzdem vor Ransomware nicht sicher. Denn Nutzer können auf einen Erpressungs-Trojaner auch bei dem Besuch von eigentlich seriösen Webseiten ist als Verbreitungsweg treffen.
ABLAUF EINES ANGRIFFS
Bild 2: Ein Angriff mit Ransomware läuft in sechs Schritten ab.
Seite 4 von 8 | Trend Micro White Paper Crypto-Ransomware: Geld oder Daten
Der Nutzer erhält eine Spam-Mail mit einem verseuchten Anhang. • Sobald er den Träger (meist Dokument) des Schädlings öffnet, wird er heruntergeladen und auf dem System des Opfers ausgeführt. • Der Crypto-Trojaner erzeugt eine Textdatei mit Zahlungsanweisung (Höhe der Lösegeldforderung, Art der Zahlung – zumeist eine Bitcoin-Transaktion – und der Behauptung, nach Abwicklung der Zahlung, die Dokumente wieder entschlüsseln zu können) und verschlüsselt alle Dokumente des Opfers, auf die er zugreifen kann – sowohl auf dem System als auch in Netzwerkfreigaben.
Bild 3: Die Erpressernachricht nach einem Angriff • In einigen Fällen ließ sich auch ein „Selbstzerstörungsbefehl“ des Schädlings beobachten. Das Design der heutigen Ransomware-Varianten setzt auf die mächtigen modernen Verschlüsselungsalgorithmen, deren Ziel es ist, nicht aufgebrochen werden zu können. Das bedeutet aber, dass die damit verschlüsselten Dateien nur noch mit dem zugehörigen Decryption-Key zugänglich sind. Ohne diesen Schlüssel bleiben die Dateien auch nach dem Entfernen der Malware verschlüsselt. Opfer der Erpressersoftware sollten sich nicht darauf verlassen, von ihren Peinigern tatsächlich den befreienden Schlüssel zu erhalten, nachdem sie das Lösegeld gezahlt haben. Das BSI empfiehlt, im Fall eines Angriffs kein Lösegeld zu zahlen, sondern Screenshots mit der Erpressernachricht zu machen und Anzeige zu erstatten.
Seite 5 von 8 | Trend Micro White Paper Crypto-Ransomware: Geld oder Daten
GEGENMASSNAHMEN In der Praxis stellen die Angreifer in der Regel sicher, dass idealerweise die eingesetzte Malware nicht von StandardVirenscannern erkannt wird, das heißt, sie wird entsprechend modifiziert, so dass Signaturen in der Regel nicht greifen. Dennoch können sich Anwender und Organisationen gegen die digitalen Erpresser effizient wehren: • Breach Detection-Systeme: Mit so genannten Breach Detection-Systemen ist es möglich, solche Angriffe frühzeitig zu erkennen und sie entweder direkt abzuwehren oder die Ransomware in ihrer Wirksamkeit sofort zu begrenzen. Da diese Systeme mit speziellen Methoden arbeiten, um verhaltensbasierte Analysen durchzuführen, werden diese gefährlichen Angriffe recht einfach erkannt. • Hochentwickelte E-Mail-Lösungen können beispielsweise nicht nur gefährliche und teilweise verschlüsselte Anhänge einer verhaltensbasierten Analyse unterziehen, sondern auch gefährliche Links erkennen. Auf diese Weise kann eine gefährliche E-Mail schon geblockt und unzugänglich gemacht werden, bevor sie den Nutzer erreicht. Wird ein Angriff erkannt, so wird die Mail in der Regel bei einer guten Zusammenarbeit der einzelnen Module einer Sicherheitslösung in „Quarantäne“ gestellt und erreicht im besten Fall den Empfänger gar nicht. • Kommunikation der Sicherheitskomponenten in Echtzeit: Bei einer „Drive-By“-Infektion ist dies unter Umständen nur begrenzt möglich, aber potenzieller Schaden für das Unternehmen kann in der Regel abgewehrt werden, weil der Angriff direkt mit dem Eintritt des Schädlings ins Firmennetzwerk erkannt wird. Ein hoher Integrationsgrad zwischen verschiedenen Teilaspekten einer Lösung (z.B. die Endpoint-Produkte kommunizieren in Echtzeit mit einem Breach Detection-System und einer Firewall und verhindern somit Datenabfluss oder Ausbreitung im Netzwerk) erhöht den Sicherheitsgrad erheblich. Deshalb sollten Unternehmen bei der Auswahl einer Lösung, darauf achten, dass alle eingesetzten Produkte miteinander kombiniert werden können.
HANDLUNGSEMPFEHLUNGEN Zusätzlich sind die folgenden Empfehlungen für alle Unternehmen von Bedeutung: • Jedes Unternehmen braucht geschultes Personal, das im Falle eines Angriffs in der Lage ist, adäquat zu reagieren. In der Fachsprache sind dies typischerweise Security Analysten oder so genannte Incident Response Teams. Dazu gehört natürlich auch der entsprechende Incident Response-Prozess, damit bei einem Vorfall die richtigen Schritte eingeleitet werden. • Als probates Mittel haben sich regelmäßige spezielle Security-Analysen und -Audits der Systeme bewährt, um versteckte Malware oder Verbindungen ins Darknet zu entdecken (Breach Detection Systeme sind hierzu auch geeignet). • Schließlich sind die Konzeption, Durchführung & Review von Security Awareness Maßnahmen unerlässlich. • Last but not least gilt es, existierende Backup-Prozesse zu überarbeiten und zu härten, und einen Business ContinuityProzess, sowie einen Business Recovery-Prozess aufzusetzen, um kritische Situationen überstehen zu können. Auch gibt es bestimmte Regeln, die jeder Anwender beachten sollte, um den Erpressern keine Chance zu geben: • In erster Linie ist es dringend zu empfehlen, regelmäßig Backups wichtiger Daten zu erstellen. Dabei sollte das 3-2-1-Prinzip angewendet werden: drei Kopien, zwei unterschiedliche Medien, ein separater Speicherort. CloudSpeicher können einen nützlichen Teil der Backup-Strategie darstellen. • Empfänger einer Mail sollten stets prüfen, wer der Absender ist. Kommen Mails angeblich von einer Bank, lässt sich dort prüfen, ob die empfangene Nachricht legitim ist. Kommt die Mail von einem persönlichen Kontakt, so ist es ratsam zu checken, ob dieser die Nachricht tatsächlich gesendet hat. Die Tatsache, dass ein bekannter Absender vorhanden ist, heißt noch gar nichts, denn dieser Freund oder Verwandte könnte auch Spammern zum Opfer gefallen sein.
Seite 6 von 8 | Trend Micro White Paper Crypto-Ransomware: Geld oder Daten
• Auch der Inhalt der Nachricht lässt sich auf offensichtliche Fehler oder Ungereimtheiten prüfen: etwa die Behauptung einer Bank oder eines Freunds, etwas vom Empfänger erhalten zu haben. Deshalb sollte dieser die gesendeten Mails prüfen, ob kürzlich tatsächlich etwas von diesem Konto aus gesendet wurde, was deren Behauptung rechtfertigt. • Es gilt, Links in Mails prinzipiell nicht anzuklicken. Es ist sicherer, Sites, die in einer Mail erwähnt werden, direkt zu besuchen. Ist es dennoch nötig, einen Link in einer Mail anzuklicken, sollte sichergestellt sein, dass der Browser Web-Reputation nutzt, die den Link prüft. • Schließlich ist es wichtig sicherzustellen, dass Programme und Nutzer des Computers nur die Mindestpriviligien haben, die für die Durchführung einer Aufgabe erforderlich sind.
BEST PRACTICES: KONFIGURATION VON TREND MICROS LÖSUNGEN Als Best Practices zur Vermeidung von Ransomware-Infektionen bietet Trend Micro OfficeScan und Worry-Free Business Security/Services (WFBS/WFBS-SVC). Trend Micro liefert auch Best Practices für das Konfigurieren des Malware-Schutzes in OfficeScan und Worry-Free Business Security/Services (WFBS/WFBS-SVC). Unternehmen, die eine dieser beiden Lösungen im Einsatz haben, können die folgenden Einstellungen vornehmen: • IT-Admins aktivieren die Funktion Ransomware Protection, die in OSCE 11 SP1 vorhanden ist, um bekanntes Ransomware-artiges Verhalten in der Umgebung des Clients zu vermeiden. • Für Mail-Anhänge gilt, dass häufig bestimmte in den Anhängen als JS- oder HTML-Datei vorhanden sind. Es ist dringend zu empfehlen, diese Dateien zu blocken, entweder über True File Type oder über den Extension-Namen (eg. *.js, *.jse, *.htm, oder *.html). • Im Fall von anderen Arten der Malware-Anhänge gibt es Anleitungen, wie die Anhänge mit Trend Micros MessagingProdukten gefiltert und geblockt werden können. • Für Nutzer von ERS Advance Service (IP-Reputation) lässt sich sicherstellen, dass diese Funktion aktiviert ist und dass QIL mindestens auf Level 2 gesetzt ist. • Für zusätzlichen Schutz vor Social Engineering-Angriffen dient Trend Micros Social Engineering Attack ProtectionFunktion, die in Trend Micros InterScan Messaging Security und Hosted Email Security-Produkte integriert ist. • IMSVA-Nutzern und für den Fall einer Infektion empfiehlt Trend Micro Kunden, eine Policy zu erstellen, in der festgelegt ist, dass die Executables (oder einen bestimmten Dateitypus/Extensions, die für die Übertragung von bestimmter Malware bekannt sind) blockiert und Dokumente sowie zip-Dateien archiviert werden, um sie für weitere Analysen an den Support zu übermitteln: • Blocken von ausführbaren Dateien • Archivieren von doc- und zip-Dateien • Obige Policies werden üblicherweise nach folgenden Regeln aufgesetzt: • Spam-Regel • Antivirus-Regel • Weitere eigene Regeln des Kunden (optional) Ziel ist es, alle bekannten Spam-Mails und bekannte Schadsoftware gleichzeitig zurückzuweisen, eine hochvertrauliche Sample-Datei zu erhalten, die für weitere Analysen an den Support übermittelt wird. Des Weiteren unterstützen verschiedene Versionen von Trend Micros Tool AntiRansomware bei der Erkennung und Beseitigung von Ransomware-Varianten: • AntiRansomware Tool für Geschäftsanwender • Threat Cleaner for GOZ and CryptoLocker for 32-bit systems • Threat Cleaner for GOZ and CryptoLocker for 64-bit systems • AntiRansomware Tool für Endanwender • AntiRansomware Tool 3.0 mit USB für Privatanwender • Housecall (Free Online Virus and Spyware Scan) • Trend Micro Titanium Internet Security (fortschrittlicher Schutz für Privatanwender)
Seite 7 von 8 | Trend Micro White Paper Crypto-Ransomware: Geld oder Daten
RESSOURCEN [1] „Ransomware-Dienstleistung für 10% Provision“, 9. November 2015, http://blog.trendmicro.de/ransomwaredienstleistung-fuer-10-provision/
FAZIT Der rasante Anstieg der Angriffe mit Ransomware auf Einzelpersonen und auf Unternehmen in der letzten Zeit deutet darauf hin, dass Online-Erpressung zu der bevorzugten Verdienstmethode der Cyberkriminellen mutiert ist. Auch zeigen die Zahlen, dass Ransomware nahezu die Hälfte der Schadsoftwareangriffe des letzten Jahres ausmachten. Für Verbraucher sind diese Angriffe sehr unangenehm, für Unternehmen können die Auswirkungen zum Desaster werden, weil sie zur Unterbrechung der Geschäftstätigkeiten führen und mit potenziell hohen Kosten verbunden sind. Die gute Nachricht: Ransomware ist kein Schicksalsschlag, und Einzelne wie auch Unternehmen können sich wehren, wenn sie zum Einen bestimmte Regeln im Umgang mit ihrer IT beachten und wenn sie zum Anderen effiziente Sicherheitslösungen einsetzen. Wichtig dabei ist ein hoher Integrationsgrad zwischen verschiedenen Teilaspekten einer Lösung (z.B. die Endpoint-Produkte kommunizieren in Echtzeit mit einem Breach Detection System und einer Firewall und verhindern somit Datenabfluss oder Ausbreitung im Netzwerk).
[2] „Ransomware Being Used to Target Specific Data Types“, 26. Januar 2016, http://www.infosecurity-magazine.com/ news/ransomware-being-used-to-target/ [3] Sicherheitsvorhersagen für 2016: Der schmale Grat“, http://www.trendmicro. de/sicherheitsinformationen/forschung/ sicherheitsvorhersagen-2016/index.html [4] „Ransomware-Virus legt Krankenhaus lahm“, 12. Februar 2016, http://www.heise.de/security/meldung/ Ransomware-Virus-legt-Krankenhauslahm-3100418.html [5] „Ransomware Attack Holds Hollywood Hospital Records Hostage for $3.6M“, 15. Februar 2016 http://www.trendmicro. com/vinfo/us/security/news/cyber-attacks/ ransomware-attack-holds-hollywoodhospital-records-hostage-for-3-6m [6] „Neue Crypto-Ransomware Locky nutzt verseuchte Word-Makros“, 19. Februar 2016, http://blog.trendmicro. de/neue-crypto-ransomware-lockynutzt-verseuchte-word-makros/ [7] „Neue Virenwelle: Krypto-Trojaner Locky tarnt sich als Fax“, 24. Februar 2016, http://www.heise.de/security/meldung/ Neue-Virenwelle-Krypto-Trojaner-Lockytarnt-sich-als-Fax-3117249.html [8] „Ransomware Crosses Over from WordPress to Joomla“, 23. Februar 2016, http://www.trendmicro.com/vinfo/us/ security/news/cybercrime-and-digitalthreats/ransomware-crosses-over-fromwordpress-to-joomla
TREND MICRO Deutschland GmbH Zeppelinstrasse 1 85399 Hallbergmoos Deutschland Tel. +49 (0) 811 88990–700 Fax +49 (0) 811 88990–799
TREND MICRO Schweiz GmbH Schaffhauserstrasse 104 8152 Glattbrugg Schweiz Tel. +41 (0) 44 82860–80 Fax +41 (0) 44 82860–81
TREND MICRO (SUISSE) SÀRL World Trade Center Avenue Gratta-Paille 2 1018 Lausanne Schweiz www.trendmicro.com
© 2016 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
Seite 8 von 8 | Trend Micro White Paper Crypto-Ransomware: Geld oder Daten