Strategien zum Erkennen und Vorbeugen von Datenexfiltration über Ransomware

Ransomware data exfiltration detection and mitigation strategies

Im November 2019 erreichte die Entwicklung von Ransomware einen traurigen neuen Höhepunkt.

Die Cyberkriminellen von Maze – dieselbe Gruppe, die auch für den Ransomware-Angriff auf Pensacola im US-Bundesstaat Florida verantwortlich ist – hat seine Drohung wahr gemacht und die Daten seines Opfers veröffentlicht. Allied Universal, ein Vermittlungsdienst für Sicherheitspersonal, hatte das Lösegeld nicht bis zur geforderten Frist bezahlt.

Dies ist das erste Mal, dass eine Ransomware-Gruppe große Datenmengen seines Opfers gestohlen und veröffentlicht hat. Sollte sich diese Strategie als profitabler erweisen als herkömmliche Angriffe, bei denen „lediglich“ verschlüsselt wird, könnte Datenexfiltration zu einer beliebten Vorstufe der Verschlüsselung werden.

In diesem Artikel erklären wir Ihnen, wie Datenextrafiltration funktioniert und wie Unternehmen ihre eigenen Daten und die vertraulichen Informationen ihrer Kunden davor schützen können.

Wie funktioniert Datenexfiltration?

Werden Daten unerlaubt von einem Computer auf ein anderes Gerät übertragen, spricht man von Datenexfiltration.

Zugriff erlangen

Um Daten stehlen zu können, müssen sich Angreifer zunächst Zugriff auf das anvisierte Netzwerk verschaffen. Dazu gibt es verschiedene Möglichkeiten, wie:

Datendiebstahl

Haben sich die Angreifer einmal Zugriff auf das Netzwerk verschafft, ist die Datenexfiltration selbst ein relativ einfacher Vorgang.

Es gibt unterschiedlichste Strategien, was den Umfang der Exfiltration angeht. Angreifer können zum Beispiel willkürlich Dateien stehlen, um sie später auszuwerten. Haben sie es jedoch nur auf sehr wertvolle Daten abgesehen, können sie hingegen auch sehr vorsichtig und wählerisch vorgehen.

Exfiltration über Ransomware

Wir gehen davon aus, dass Datenexfiltration in künftigen Ransomware-Angriffen immer häufiger vorkommen wird. Wie genau die einzelnen Ransomware-Gruppen dabei vorgehen, ist jedoch unterschiedlich. Die Ransomware selbst muss beispielsweise nicht zwangsläufig über Exfiltrationsfunktionen verfügen. Je nachdem, auf welchem Weg sich die Angreifer Zugriff auf das Netzwerk verschafft haben, kann der Datendiebstahl durch schlichtes Kopieren der Dateien per RDP erfolgen. Die Angreifer könnten auch ein Skript ausführen, das das gesamte Laufwerk an einen externen Speicherort kopiert. Vielleicht gehen sie auch selektiv vor und schreiben eine einfache Anwendung, die nach bestimmten Dateien in bestimmten Ordnern sucht und diese dann als ZIP-Archiv an einen Remoteserver hochlädt. Im Falle von Maze wird davon ausgegangen, dass mithilfe von PowerShell eine Verbindung zu einem FTP-Remoteserver hergestellt wurde, woraufhin alle betroffenen Dateien automatisch auf die Server der Angreifer kopiert wurden.

Datenexfiltration ist für Ransomware-Gruppen jedoch auch mit Risiko verbunden. Für das Stehlen von Dateien benötigen Sie Zeit, Bandbreite und Speicherplatz auf ihren Servern. Sollte dem Opfer etwas seltsam vorkommen, ergreift es möglicherweise Gegenmaßnahmen und unterbricht den Angriff, bevor die Kriminellen mit dem Exfiltrieren und Verschlüsseln fertig sind. Dadurch geht ihnen ein wichtiges Druckmittel verloren und die ganze Operation – deren Vorbereitung mitunter Wochen, Monate oder sogar Jahre gedauert hat – könnte komplett scheitern.

Vorbeugende Maßnahmen für Datenexfiltration

Natürlich wäre es am besten, wenn sich Gefährdungen komplett vermeiden ließen, aber jedes Unternehmen muss davon ausgehen, dass seine äußeren Schutzvorkehrungen irgendwann einmal durchbrochen werden könnten, und es sollte daher entsprechend Vorsorge getroffen werden.

Angesichts der ganz individuellen und vielseitigen Anforderungen eines jeden Unternehmens und der zahllosen technischen Möglichkeiten zur Datenexfiltration gibt es kein allgemeingültiges Vorgehen, um das Netzwerk eines Unternehmens abzusichern.

Erkennen

Vorbeugen

Reaktionen festlegen: Viele der oben angesprochenen Exfiltrationserkennungssysteme können nicht nur verdächtige Aktivitäten erkennen, sondern auch darauf reagieren. Je nach Situation kann diese Reaktion auch komplexer ausfallen als ein schlichtes Genehmigen oder Verweigern des Zugriffs. Erkennt das System einen Angriff, kann es beispielsweise den angefragten Datentransfer mit simulierten Daten beantworten, um die echten Daten zu schützen und den Administratoren die Möglichkeit zu geben, Informationen über die Bedrohung zusammen.

Fazit

Ransomware-Gruppen werden auch weiterhin versuchen, möglichst hohen Druck auf ihre Opfer auszuüben. Daher werden wir in den kommenden Wochen und Monaten höchstwahrscheinlich weitere Fälle von Datenexfiltration beobachten. Aufgrund der unterschiedlichsten Herangehensweisen existiert leider keine allgemeingültige Lösung, mit der Unternehmen Datendiebstahl verhindern können. Es gibt jedoch einige nützliche Vorkehrungen, um zumindest das Risiko zu senken. Hierzu gehören beispielsweise das Erkennen verdächtiger Aktivitäten in offenen und verdeckten Kanälen, das Festlegen und Durchsetzen von Sicherheitsrichtlinien oder die Investition in Systeme, die intelligent auf erkannte Bedrohungen reagieren können.

 

Übersetzung: Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel