Nuclear Ransomware 3.0: Es wird noch viel schlimmer

Wenn Sie denken, dass Ransomware  schlecht ist, wird es viel, viel schlimmer werden. Was werden Ransomware-Banden tun? Einfach alles.

Ich schreibe seit über 27 Jahren über Computersicherheit. Und jedes Jahr, wenn das Jahr zu Ende geht, werden mir oft Fragen gestellt, was meiner Meinung nach die zukünftigen Trends in den Bereichen Computersicherheit und Cyberkriminalität sein werden. Sie laufen darauf hinaus, ob sich die Angriffe im nächsten Jahr verschlimmern werden oder wird die Computersicherheitsindustrie endlich anfangen, die Cyberkriminalität zu verringern und tatsächlich die gesamten bösartigen Hacker- und Malware-Aktivitäten zu verringern?

Und Jahr für Jahr, wenn ich mir alle Beweise aus früheren Jahren ansehere, musste ich immer zu dem Schluss kommen, dass es schlimmer werden wird … und dass die Cybersicherheitsbranche noch nicht in der Lage ist, eine robuste Verteidigung zu implementieren, um die anhaltende Zunahme der Cyberkriminalität sogar zu verlangsamen, geschweige denn tatsächlich zu verringern. Jahr für Jahr wird die Cyberkriminalität immer schlimmer. Oft scheint das, was heute vor sich geht, jedoch so düster und riesig, dass ich nicht sehen kann, wie es im nächsten Jahr möglicherweise schlimmer werden könnte. Aber bisher tut es das immer.

Das Ransomware-Problem ist ein gutes Beispiel. Vor ein paar Jahren erpresste Ransomware bereits Milliarden von Dollar pro Jahr, nutzte jedes Unternehmen aus, das sie wollte, zerrte Krankenhäuser, zerschmeß Konsortien und hielt ganze Städte für Lösegeld fest. Ich wurde gefragt, ob es noch schlimmer kommen könnte. Ich sagte: „Ja.“ Um ehrlich zu sein, konnte ich nicht glauben, was ich sagte, aber basierend auf meiner Erfahrung und ohne Anzeichen dafür, dass die gute Seite einen deutlich besseren Job bei der Verhinderung von Cyberkriminalität machte, war es das einzige, was ich schlussfolgern konnte – dass Ransomware irgendwie schlimmer werden würde. Und das tat es. Viel schlimmer, als ich hätte vorhersagen können.

Nuclear Ransomware 2.0 Fünffache Erpressung

Ab Ende 2019 begann Ransomware routinemäßig Daten zu exfiltrieren, was heute allgemein als „doppelte Erpressung“ bekannt ist. Ich habe darüber am 7. Januar 2020 auf dem Bloggeschrieben. Ich teilte mit, dass ransomware-Programme und Banden neben der traditionellen Verschlüsselung auch Folgendes tun:

  • Diebstahl von geistigem Eigentum/Daten
  • Diebstahl aller Anmeldeinformationen, die es kann – Geschäft, Mitarbeiter, Persönlich, Kunde
  • Bedrohung der Mitarbeiter und Kunden des Opfers
  • Verwendung gestohlener Daten zum Spear-Phishing von Partnern und Kunden
  • Opfer öffentlich beschämen

Das Wichtigste an diesen fünf neuen Ransomware-Aktivitäten, abgesehen von dem Problem, dass es jetzt sechs Dinge gibt, über die man sich Sorgen machen muss, ist, dass keine der neuen durch ein gutes Backup gemildert werden kann. Vor Ransomware 2.0 konnte ein gutes, sicheres Backup Sie möglicherweise retten. Sobald die Ransomware-Banden routinemäßig mit allen neuen Aktionen begannen, war ein gutes Backup nur ein Teil der möglichen Lösung. Ich fing an, eine meiner beliebtesten Präsentationen meiner Karriere zu geben, genannt Nuclear Ransomware 2.0, um die Leute zu warnen. Ich habe es jetzt hunderte Male präsentiert und bin immer noch überrascht, wie viele Teilnehmer nicht verstehen, wie schlecht Ransomware geworden ist.

Als ich ursprünglich über Ransomware 2.0 schrieb, taten weniger als 10% der Ransomware das, was ich genauer als fünffache Erpressungbezeichnete. Zunächst, Ende 2019, war es nur eine Ransomware-Bande. Dann, als die anderen Ransomware-Banden sahen, wie erfolgreich diese Bande war, schlossen sich eine nach der anderen Banden an. Bis Ende 2019 waren es zwei oder drei Ransomware-Banden. Und dann schlossen sich jeden Monat mehr Banden an. Als 2020 endete, machten über 60% aller Ransomware-Banden routinemäßig fünffache Erpressung. Im letzten Quartal  sagte Coveware, dass 81% der Ransomware-Bedrohungen jetzt Bedrohungen beinhalten, um exfiltrierte Daten preiszulecken.

Wir vermuten, dass es jetzt über 90% aller Ransomware-Vorfälle sind, und warum nicht? Die Ransomware-Banden, die fünffache Erpressung betreiben, machen Bank! Das US-Finanzministerium sagt, dass die Top 10 Ransomware-Banden (es gibt weit über 100 Ransomware-Banden) mindestens 5,2 Milliarden Dollar an Erpressungszahlungeneingezahlthaben. Das ist genau das, was die US-Regierung verfolgen und beweisen kann. Die realen Zahlen dürften um Größenordnungen weit höher liegen. Die Gesamtkosten, einschließlich Schäden und Wiederherstellung, werden bis  2031 auf bis zu 265 Milliarden US-Dollargeschätzt. Kritische Infrastrukturen, darunter nationale Gaspipelines und Lebensmittelkonsortien, wurden erfolgreich angegriffen. Über die Hälfte aller Unternehmen wurde bereits von Ransomware ausgenutzt, und es wird erwartet, dass in diesem und im nächsten Jahr ein höherer Prozentsatz betroffen sein wird. Der Prozentsatz der Opfer, die das Lösegeld (über 60%) und die durchschnittliche Ransomware-Erpressungszahlung (280.000 US-Dollar) zahlen, steigt weiter. Die Cyber-Versicherungsprämien sind deutlich gestiegen, während gleichzeitig der Gesamtbetrag der durchschnittlichen Deckung gesunken ist. Die Führer vieler Nationen, einschließlich Präsident Biden, engagieren sich direkt, um zu versuchen, die Bedrohung durch Ransomware zu mindern, und bisher scheinen alle ihre Bemühungen nur begrenzte Auswirkungen zu haben.

Also, wie kann es möglicherweise schlimmer werden?

Nuclear Ransomware 3.0 Alles

Der Trend ist ziemlich klar. Ransomware-Banden beginnen sich zu facettenreichen Banden zu entwickeln, die alles angreifen. Sie sind nicht durch Verschlüsselung oder sogar fünffache Erpressung begrenzt, sondern verzweigen sich in alle möglichen anderen verwandten oder nicht verwandten Aktivitäten, darunter:

  • Verkauf von exfiltrierten Daten
  • Verkauf von exfiltrierten gestohlenen Anmeldeinformationen
  • Verkauf des Erstzugriffs
  • Diebstahl von Geld von Bank- und Aktienkonten
  • Persönliche Erpressung gegen Einzelpersonen
  • Hacking für Miete
  • Verkauf von Lead-Listen aus gestohlenen Kundendaten
  • Geschäftliche E-Mail-Kompromittierungsbetrug
  • Adware installieren
  • Starten von DDoS-Angriffen
  • Krypto-Mining
  • Anlegen rentabler Botnets
  • Versenden von Spam-E-Mails
  • Ressourcenvermietung
  • Fungieren als Proxy-Sites für andere Angriffe
  • Alles andere, was ihnen einfällt, um Einnahmen zu generieren

Das Hacker-Gold ist Zugang

Zu Beginn der fünffachen Erpressungsphase, der „Ransomware 2.0“-Periode, erkannten Ransomware-Banden, dass der ultimative Wert, den sie hatten, nicht die Fähigkeit war, die Daten eines kompromittierten Opfers zu verschlüsseln oder sogar zu exfiltrieren. Der wahre Heilige Gral war der ungezügelte Zugang zu den digitalen Ressourcen des Opfers. Sie konnten buchstäblich alles tun. Im Hacker-Sprech wird es als „pwning“ des Opfers bezeichnet. Wenn Sie alle Anmeldeinformationen des Opfers haben, können Sie mit ihnen alles tun, was Sie wollen. Der Himmel ist die Grenze! Und das ist es, was die meisten Ransomware-Banden bekommen. Sie brechen ein, erhalten alle Passwörter, einschließlich aller Passwörter für das Admin-Konto, und können dann auf alles zugreifen, auf das die legitimen Administratoren zugreifen können – was fast alles ist, wenn nicht alles digital.

Mehr Arten von Angriffen

Wenn Sie Ransomware verfolgt haben, haben Sie wahrscheinlich im letzten Jahr einen Trend bemerkt. Ransomware-Banden haben sich verzweigt. Wo sie früher hauptsächlich traditionelle Ransomware-Fünffacherpressung durchgeführt haben, haben sie sich in letzter Zeit in andere Arbeitswege vorgewähnt. Brian Krebs hatte kürzlich eine Geschichte  über die Conti-Ransomware-Bande, die den ersten Zugang zu kompromittierten Opfern verkaufte. Das ist so etwas wie das Gegenteil von dem, was bis vor kurzem passiert ist. Früher waren es die Ransomware-Banden, die den ersten Zugang zu neuen Opfern kauften, um den Ransomware-Prozess zu starten, und jetzt werden sie zu Originat-Verkäufern derselben.

Wir haben gewusst, dass einige Ransomware-Banden Krypto-Mining-Bots auf Opfercomputern installiert haben, bevor sie das Verschlüsselungs-Racket-Schema gestartet haben. Der Rakhni-Trojaner-Bühnener liefert seit langem sowohl Ransomware als auch Krypto-Mining-Bots an Opfer,oft für die gleichen Banden. Es war für einen Kriminellen immer sinnvoll, die Ressourcen eines Opfers für das Krypto-Mining zu „leihen“, wenn sie damit durchkommen, und gleichzeitig die Verschlüsselungsbots vor dem ultimativen Verschlüsselungserpressungsplan vorzuinszenieren. Sie erhalten das Geld, das sie zuerst durch Krypto-Mining und dann durch das Verschlüsselungsereignis verdienen. Sie müssen nur die Krypto-Mining-Aktivität unter einem Niveau halten, auf dem sie sich versehentlich zu früh offenbaren und die potenziell größere eventuelle Ransomware-Auszahlung verderben könnten. Ransomware-Banden überwachen routinemäßig die E-Mails und Nachrichten von IT- und IT-Sicherheitsmitarbeitern, um festzustellen, ob ihre bösartigen Aktivitäten bemerkt werden.

Einige Ransomware-Banden, wie Avaddon  und  Sun.Crypt,sind dafür bekannt, DDoS-Angriffe gleichzeitig durchzuführen und gleichzeitig die Opfer zu verschlüsseln, um mehr Schmerzen zu verursachen, damit das Opfer schneller bezahlen kann. Diese Technik ist besonders „hilfreich“ für den Ransomware-Angreifer, wenn die Hauptwebsite des Opfers, die Geld verdient, nicht am kompromittierten Ort gehostet wird (was oft der Fall ist). Durch das herunterfahren des unternehmenseigenen internen Netzwerks operativ (mit Verschlüsselung) und das Herunterfahren der Einnahmequelle des Opfers aus seinen Offsite-Assets (mit DDoS) ist das Opfer nicht in der Lage, lange zu verhandeln.

Was sich in letzter Zeit geändert hat, ist, dass einige Ransomware-Banden beginnen, DDoS als ihre erste und einzige böswillige Handlung gegen das Opfer zu tun. Hier ist ein Beispiel  für die sehr beliebte REvil-Ransomware-Bande, die einen beliebten VoIP-Anbieter erpresst, ein Lösegeld von 4,2 Millionen US-Dollar zu zahlen, um den DDoS-Angriff zu stoppen, der die Dienste des Opfers unterBinden konnte. Um es klar zu sagen, DDoS-Angreifer gibt es seit Jahrzehnten. Sie waren jahrelang die großen Erpressungskönige, bevor die Ransomware-Crews den Mantel aufhoben und mit dem Mantel rannten. Aber was hier anders ist, ist, dass die Ransomware-Banden nicht einmal versuchen, die Dateien des Opfers zu verschlüsseln. Sie beginnen und enden einfach mit dem DDoS-Angriff. Die Ransomware-Bande hat das Zahlungssystem bereits eingerichtet und kann für jede Art von Cyberkriminellem verwendet werden.

Wir sehen also eindeutig Ransomware-Banden, die mehr Arten von Schaden anrichten und sogar „verkettete“ Ziele haben, bei denen sie mit einer Art von Angriff beginnen und dann zu einer anderen übergehen.

Cybersicherheitsanbieter haben diesen winzigen, aber wachsenden Trend von Ransomware-Banden aufgegriffen, die mehr als ein „Payload“ -Ziel erreichen, sobald sie den ersten Zugriff erhalten. Hier ist ein Beispiel aus dem Microsoft-Bericht vom März 2020 über von Menschen betriebene Ransomware-Angriffe. Microsoft erklärt zu Beginn des Berichts: „Sie verfügen über umfangreiche Kenntnisse der Systemadministration und häufiger Fehlkonfigurationen der Netzwerksicherheit, führen gründliche Aufklärung durch und passen sich an das an, was sie in einem kompromittierten Netzwerk entdecken.“

Im selben Bericht listen sie verschiedene Ransomware-Banden und ihre bekannten Aktivitäten auf. Hier diskutieren sie eine bestimmte Ransomware-Familie: „PARINACOTA betrifft jede Woche drei bis vier Organisationen und erscheint ziemlich einfallsreich: Während der 18 Monate, in denen wir es überwacht haben, haben wir beobachtet, wie die Gruppe ihre Taktiken geändert hat, um ihren Bedürfnissen zu entsprechen und kompromittierte Maschinen für verschiedene Zwecke zu verwenden, einschließlich Kryptowährungs-Mining, Senden von Spam-E-Mails oder Proxying für andere Angriffe. Die Ziele und Nutzlasten der Gruppe haben sich im Laufe der Zeit verschoben, beeinflusst von der Art der kompromittierten Infrastruktur …“

Offensichtlich passen sich Ransomware-Gruppen an. Wenn Sie ein Cyberkriminal mit der vorletzten Kontrolle über die Ressourcen eines Opfers sind, warum versuchen Sie nicht alles?

Künftiger Zustand

Wenn Sie diesen neuen Trend zu Ende bringen, werden Sie mehr Ransomware-Banden haben, die zu „Alles-Banden“ mit mehreren, progressiven, verketteten Zielen werden. Sie werden alles tun, um das Lösegeld zu verlangen und Geld zu verdienen. Die niedrigstufigen, weniger ausgeklügelten Banden werden sich an ein paar Angriffsmethoden und ein paar Ziele halten, aber die klügeren Banden, die bereits eher wie ein Unternehmen geführt werden, werden wahrscheinlich anfangen, eine komplexere Analyse durchzuführen. Sie werden jeden Kunden wie einen potenziellen Geldpool betrachten, dessen Wert sie maximieren möchten. Sie werden in den Kunden einbrechen, sich umsehen, Assets und Ressourcen untersuchen und dann bestimmen, welche Angriffe durchgeführt werden sollen und in welcher Reihenfolge sie durchgeführt werden sollen, um den Gewinn zu maximieren.

Vielleicht beginnen sie mit einem geschäftlichen E-Mail-Kompromittierungsbetrug, dann machen sie Passwortexfiltration, dann Krypto-Mining, dann Datenexfiltration, dann Identitätsdiebstahl, Spear-Phishing der vertrauenswürdigen Partner des Opfers, dann und nur dann, führen Sie die endgültige Ransomware-Verschlüsselung durch. Sie werden aus ihren Fehlern lernen. Sie werden herausfinden, in welcher Reihenfolge verschiedene Angriffe und Ziele sein sollten und wie sie sich am besten für lange Zeiträume verstecken können. Sie könnten Krypto-Mining vermeiden, wenn dies die Alarme des Opfers zu früh auslöst und zu einem vorzeitigen Lockdown führt. Nein, sie werden das beste Kosten-Nutzen-Verhältnis für jedes mögliche Ziel herausfinden und die Kette bis zur endgültigen Verschlüsselung langsam nach oben bewegen. Einige Banden werden bei verschiedenen Kombinationen von Nutzlastketten mehr Erfolg haben, wie sie es bereits heute mit einzelnen Zielen tun, und sich darauf konzentrieren, was für sie funktioniert.

Die ausgefeiltesten Crimeware-Banden werden wahrscheinlich grobe Algorithmen erstellen und verwenden, um die besten Erfolgschancen und die maximale Auszahlung zu bestimmen, abhängig von der Art des Opfers (z. B. Größe, Branche, Anwendungen, Plattformen usw.) und den Ressourcen, die das Opfer hat. Die bestbezahlte Person in der Ransomware-Bande nach dem CEO könnte ihr „Algo“ sein.

Wir wissen nicht genau, ob der zukünftige Zustand von Ransomware 3.0 genau im durchdachten Rahmen von „verketteten Zielen, die jedem Opfer den maximalen Wert ziehen“ passieren wird. Es besteht immer noch die Möglichkeit, dass Ransomware-Banden einfach an der einen Sache festhalten, die für sie am besten funktioniert, und die anderen potenziellen Wege der Wertextraktion ignorieren. Jedes neue Bedrohungsziel ist ein Risiko für den Angreifer, dass sie frühzeitig entdeckt und die endgültige, größere Auszahlung vorzeitig unterbrochen wird.

Es besteht sogar noch die Möglichkeit, dass cybersicherheitsbezogene Abwehrmaßnahmen endlich in der Lage sein werden, den anhaltenden Fortschritt von Ransomware zu beheben. Aber angesichts besserer Abwehrmaßnahmen scheint es wahrscheinlich, dass Ransomware-Banden ihre Geschäftsmodelle weiter reifen lassen, um die Wertextraktion zu maximieren. Wir sehen bereits einige winzige, aber wachsende Trends, genau wie wir es getan haben, als Ransomware von der Verschlüsselung zur fünffachen Erpressung wurde. Gleich, anfänglich, langsam, aber wachsend, marschiere zu etwas viel Schlimmerem. Wir sehen es wieder.

Viele der Banden operieren bereits wie Pseudokonzerne. Das sollten sie. Sie bringen Hunderte von Millionen bis Milliarden von Dollar ein. Sie haben CEOs, Verwaltungsmitarbeiter, Rekrutierung, Gehaltsabrechnung, Marketing, Entwicklungsteams sowie Marketing- und PR-Mitarbeiter. Die C-Level-Führer von Ransomware-Gruppen wollen ihre Einnahmen maximieren, wie alle Führungskräfte jeder Organisation, insbesondere bei zunehmendem Wettbewerb und Bedrohungen.

Ransomware 4.0 – Automatisierung

Was ist der nächste Schritt? Die schlechten Akteure haben alles automatisiert. Im Moment erhält die meiste Ransomware anfänglichen Zugriff und installiert sich dann als Hintertür und benachrichtigt dann die Command-and-Control-Server (C & C) der Bande, damit die Ransomware-Bande oder ihre Partner von dem neuen kompromittierten Opfer erfahren können. Das anfängliche Schadprogramm kann einige Kennwörter und Details der Umgebung sammeln, andere Malware herunterladen und installieren und dann auf weitere Anweisungen warten. Die Hacker kommen dann oft herein und verwenden vorhandene, legitime Programme und angepasste Skripte, um die Umgebung zu recherchieren und zu entscheiden, was als nächstes zu tun ist. Dann starten die Hacker die neuen Aktionen, sei es die Datenexfiltration oder das Starten der Verschlüsselungsroutinen. Das ist es, was sie heute tun. Es wird meist vom Menschen betrieben und nach dem ersten Zugriff und der Ausbreitung geleitet.

Wie jeder gute Entwickler weiß, ist es besser, zu automatisieren, wenn Sie dasselbe mehr als ein paar Mal tun müssen. Es ist zeitaufwendig, menschliche Bediener für Forschung, Installation und Exfiltration einzusetzen. Erwarten Sie, dass die neueren Wellen von Ransomware die Aufklärung und verkettete Ziele besser automatisieren können, wobei weniger Menschen an jeder Entscheidung beteiligt sind. Letztendlich wird die Zukunft sowohl der Cybersicherheit als auch des Hackings die guten Bedrohungsjagd-Bots im Vergleich zu schlechten „alles“ -Bots sein, wobei sich die beste Seite spontan anpasst und am Ende gewinnt. Der Mensch wird weiterhin beteiligt sein, auf beiden Seiten, aber nur in den Aufgaben, bei denen die Automatisierung nicht überragt.

Verhütung

Wenn die Zukunft von Ransomware entmutigend erscheint, gibt es etwas sehr Gutes, in dem Sie sich trösten können. Es ist, dass die Prävention aller Ransomware, egal wie automatisiert und ausgeklügelt, genau die gleiche ist. Die Abschwächungen, die Sie bereits heute durchführen sollten, sind das, was Sie in Zukunft hoffentlich noch besser machen sollten. Die gleichen Abwehrmaßnahmen werden funktionieren. Sie müssen sich nur darauf konzentrieren, die richtige Verteidigung an den richtigen Stellen gegen die richtigen Dinge in den richtigen Mengen zu setzen.

Erkennen Sie auch, dass Ihr Problem nie Ransomware war, sondern wie Ransomware überhaupt eindringt. Die gleichen Methoden, die böswillige Hacker und Malware seit den Anfängen von Computern verwenden, werden auch heute noch verwendet. Die beiden wichtigsten Methoden, wie Angreifer einbrechen, sind Social Engineering und ungepatchte Software. Mildern Sie diese Bedrohungen nicht gut und Sie werden in der Regel schließlich böswilligen Hackern oder Malware zum Verhenden übergehen. Machen Sie einen großartigen Job bei der Verhinderung von Social Engineering, Patching und haben Sie MFA und eine gute Passwortrichtlinie, dann werden Sie wahrscheinlich viel widerstandsfähiger gegen alle Hacker und Malware, einschließlich Ransomware, sein als die Organisation, die diese Dinge nicht gut macht.

Schließen

Im Moment sind verkettete Ziele, um die Extraktion des Werts aus dem Opfer durch Ransomware-Gruppen zu maximieren, eine kleine Minderheit von Angriffen, aber sie beginnen zu wachsen. Erwarten Sie, dass die meisten Ransomware in den nächsten Jahren jedes Mal, wenn sie einbrechen, mehr Dinge tun wird. Es wird uns die Tage wünschen, an denen Ransomware-Programme gerade unsere Daten gesperrt haben. Aber die Lösung besteht darin, das zu tun, was Sie heute bereits tun sollten (z. B. Social Engineeringbekämpfen, gutes Patchen, MFA verwenden, eine gute Passwortrichtlinie haben usw.). Werden Sie besser in Ihren bestehenden Abwehrmechanismen und die Zukunft der Ransomware wird nicht so beängstigend sein. Und eines Tages werden wir sicherlich das Jahr sehen, in dem die Cybersicherheitsabwehr endlich beginnt, bösartige Hacker und Malware wirklich zu besiegen.

Recommended Posts