Barracuda full logo

Intermittierende Verschlüsselung: Der jüngste Fortschritt beim Wettrüsten um Ransomware

Themen:
23. Sept.. 2022
|
Phil Muncaster

Angreifer und Verteidiger von Netzwerken stehen sich seit Jahrzehnten gegenüber, was lange als „Wettrüsten“ zwischen den beiden bezeichnet wurde. Diese Beschreibung ihrer schrittweisen Bemühungen, sich einen technologischen Vorteil zu verschaffen, gehört mittlerweile zu den ältesten und am häufigsten verwendeten Metaphern im Sicherheitslexikon. Aber es ist heute genauso relevant wie vor 15 Jahren. Wenn überhaupt, beschleunigt sich das Innovationstempo sogar.

Das ist sicherlich eine der wichtigsten Erkenntnisse aus neuen Untersuchungen zu den „intermittierenden Verschlüsselungstechniken“, die derzeit im Ransomware-Bereich beworben werden. Aber reicht das aus, um den Kriminellen einen dauerhaften Vorteil zu verschaffen? Solange die Anbieter von Sicherheitslösungen ihre Innovationen in den Bereichen Schutz, Erkennung und Reaktion fortsetzen, gibt es keinen Grund, warum das so sein sollte.

Was ist intermittierende Verschlüsselung?

Mit der neuen Technik, die in dieser Forschungsarbeit vorgestellt wird, sollen zwei Dinge erreicht werden:

  • Schnelles Verschlüsseln, um alle Dateien einer Opferorganisation zu verschlüsseln, bevor sie einen Angriff erkennen und stoppen kann;
  • Umgehung aktueller Erkennungsmethoden durch Verringerung der Intensität der IO-Operationen von Dateien – d. h. der Ähnlichkeit zwischen einer bekannten Version einer Datei, die nicht von Ransomware betroffen ist, und einer Datei, die vermutlich verändert und verschlüsselt wurde.

Die intermittierende Verschlüsselung trägt zu Ersterem bei, da die Dateien nur teilweise verschlüsselt werden. Somit richtet Ransomware immer noch „unwiederbringlichen Schaden“ an, jedoch in einem noch kürzeren Zeitrahmen. Die LockFile-Variante war anscheinend eine der ersten, die diese Technik einsetzte und jeweils jeden zweiten Satz an 16 Bytes einer Datei verschlüsselte. Eine Studie über 10 verschiedene Ransomware-Arten von Anfang dieses Jahres ergab, dass Netzwerkverteidiger im Durchschnitt nur 43 Minuten Zeit für die Entschärfung von Angriffen haben, sobald die Verschlüsselung begonnen hat.

Die intermittierende Verschlüsselung hilft, die Erkennung zu umgehen, da sie die statistischen Analysetechniken stört, die von vielen aktuellen Sicherheitstools verwendet werden. Diese suchen nach den intensiven Datei-IO-Operationen, die durch die partielle Verschlüsselung minimiert werden, wodurch es schwieriger wird, eine veränderte Datei von einer Datei zu unterscheiden, die nicht von Ransomware betroffen ist.

Die schlechte Nachricht ist, dass diese Techniken in einer wachsenden Anzahl von Varianten entdeckt wurden, darunter Qyick, Agenda, BlackCat (ALPHV), PLAY und Black Basta. Da sie angeblich relativ einfach zu implementieren ist, könnte sie unter Ransomware-Betreibern durchaus zur Norm werden.

Immer wieder kommt es zu Verstößen

Intermittierende Verschlüsselung ist nicht das einzige Beispiel für technologische Innovationen im Bereich Ransomware. Ein kürzlich veröffentlichter Bericht enthüllte Bedrohungsakteure, die Schwachstellen in beliebter VoIP-Software ausnutzen, um auf ein gezieltes Unternehmensnetzwerk zuzugreifen. Die Ausnutzung von Schwachstellen für Ransomware ist zwar nichts Neues – sie gehört neben Phishing- und RDP-Angriffen zu den drittwichtigsten Angriffsvektoren –, doch ist sie ein Zeichen dafür, dass Bedrohungsakteure zunehmend bereit sind, die Angriffsoberfläche nach beliebigen potenziellen Sicherheitslücken zu durchsuchen.

Andere Beispiele umfassen das Targeting von NAS-Geräten (Network-Attached Storage), wie sie vom taiwanesischen Hersteller QNAP hergestellt werden. Diese bei KMUs und Privatanwendern beliebten NAS-Boxen wurden kürzlich vom Hersteller gepatcht, aber die Kunden folgten dem nicht schnell genug. Forscher entdeckten vor Kurzem einen Anstieg um 674 % bei den Geräten, die infolgedessen von der Deadbolt-Ransomware infiziert wurden.

Die Ransomware-Bedrohung wird sich daher auf unerwartete Weise weiterentwickeln, da die Bedrohungsakteure nach neuen Wegen suchen, um Verteidiger und aktuelle Sicherheitstools zu täuschen. Zuletzt waren namhafte Organisationen wie das in Texas ansässige OakBend Medical Center, Bell Canada und die New Yorker Rettungskräfte Empress EMS betroffen. Die Bedrohung weitet sich auch immer mehr auf die Ebene der Nationalstaaten aus, wie die jüngsten Anklagen und Sanktionen der USA gegen iranische Akteure zeigen, die mit Teheran in Verbindung stehen. Diesen Personen wird vorgeworfen, nicht nur geopolitische Angriffe auf andere Nationalstaaten zu verüben, sondern auch finanziell motivierte Überfälle auf Privatunternehmen – von Steuerkanzleien bis hin zu regionalen Versorgern und Wohnungsanbietern.

Wieder die Führung übernehmen

Es ist die Aufgabe der Anbieter von Sicherheitslösungen, diese Trends zu beobachten, neue Bedrohungen zu erkennen und ihre Produkte zu aktualisieren, um die Vorteile, die sich Angreifer verschaffen können, auszugleichen. Aber auch ihre Kunden müssen wachsam sein und ihre Sicherheitslage proaktiv gestalten. Das bedeutet, dass die Abwehrmaßnahmen verstärkt werden müssen, um Ransomware über diese drei wichtigsten Angriffsvektoren hinweg zu entschärfen. Dies beinhaltet die Einführung von Best-Practice-Sicherheitskontrollen wie:

KMU sollten auch einen Zero-Trust-Sicherheitsansatz in Betracht ziehen, um die Auswirkungen von Ransomware zu mindern. Zu den wichtigsten Komponenten gehören Richtlinien für geringstmögliche Rechte, Netzwerksegmentierung, Multi-Faktor-Authentifizierung und kontinuierliche Überwachung. Das Ransomware-Wettrüsten mag nicht zu gewinnen sein. Aber es gibt viel, was Securityschefs tun können, um das Cyber-Risiko in ihrer gesamten Organisation zu minimieren.

E-Book: Der Schutz vor Ransomware kann überraschend einfach sein

 

 

 

Phil Muncaster

Phil Muncaster ist technischer Redakteur und Herausgeber mit über 12 Jahren Erfahrung bei einigen der größten Technologiepublikationen auf dem Markt, darunter Computing, The Register, V3 und MIT Technology Review. Er verbrachte mehr als zwei Jahre in Hongkong und konnte dadurch tief in die asiatische Technologieszene eintauchen. Jetzt ist er nach London zurückgekehrt, wo die Informationssicherheit zu einem wichtigen Schwerpunkt seiner Arbeit geworden ist.

Folgen Sie Phil auf Twitter und vernetzen Sie sich auf LinkedIn mit ihm.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Erste Anzeichen für KI-gestützte Ransomware-Angriffe tauchen auf
Erste Anzeichen für KI-gestützte Ransomware-Angriffe tauchen auf
 Update zum Thema Malware: Etwas Altes, etwas Neues …
Update zum Thema Malware: Etwas Altes, etwas Neues …
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.