Bekämpfung von Ransomware mit Zero Trust

Ransomware-Angriffe sind eine Plage, vor der keine öffentliche Einrichtung und kein Privatunternehmen gefeit ist. Im Jahr 2019 wurden in den USA über 140 Ransomware-Angriffe auf staatliche Behörden und medizinische Einrichtungen gemeldet und 2020 wurden vor allem Krankenhäuser unerbittlich ins Visier genommen. Die Abwehr von Ransomware zählt branchenübergreifend zu den wichtigsten Aufgaben von IT-Fachkräften.
 

Weitere Informationen können dem Whitepaper Zscaler Workload Segmentation zur Abwehr von Ransomware entnommen werden.

Ransomware ist keine neue Bedrohung

Erstmals wurde sie bereits 1989 eingesetzt. Die rapide Verbreitung groß angelegter Angriffe begann aber erst ab etwa 2012. In der Regel wird das Netzwerk über einen von zwei Vektoren mit Ransomware infiziert: einen Phishing-Angriff oder die Ausnutzung vorhandener Sicherheitslücken.

Bei einem Phishing-Angriff erhält das Opfer eine E-Mail mit einem Dokument, das die Ransomware startet, sobald es geöffnet wird. Bei manchen Angriffen kommen auch Social-Engineering-Tools zum Einsatz, um den User zur Preisgabe von Anmeldedaten zu veranlassen, damit die Hacker einfacheres Spiel haben.

Andere Arten von Ransomware können Systeme durch Ausnutzung von Sicherheitslücken kompromittieren, ohne dass User ein infiziertes Dokument anklicken müssen. NotPetya ist ein besonders heimtückisches Beispiel für diese Variante. In einem Fall wurde eine Backdoor in einem in der Ukraine weit verbreiteten Buchhaltungspaket ausgenutzt. Von dort aus verbreitete sich die Ransomware über die (inzwischen gepatchten) Sicherheitslücken EternalBlue und EternalRomance in der Windows-Implementierung des SMB-Protokolls (Server Message Block) auf andere Systeme. Das Gefährliche an NotPetya ist vor allem, dass kein Lösegeld für die Entschlüsselung der Daten gefordert wird. Stattdessen generiert NotPetya eine zufällige Zahlenfolge zur Verschlüsselung sämtlicher Daten und vernichtet sie dadurch permanent. Es gibt keine Möglichkeit, die Daten anhand eines Schlüssels wiederherzustellen.

In den letzten Jahren ist Ransomware sehr viel raffinierter geworden. Viele Stämme verschlüsseln nicht mehr den ersten Rechner, auf dem sie ins Netzwerk gelangen. Stattdessen überwacht die Malware zunächst die Umgebung, um herauszufinden, wie sie sich lateral im Netzwerk bewegen kann, um weitere Ressourcen zu infizieren. Häufig werden dazu legitime Tools genutzt, wie z. B. nslookup zur Aufklärung von SAMR-Protokollen (Security Account Manager Remote) und Domain-Name-Servern (DNS). Mit diesen Informationen kann sich die Malware unbemerkt durch das gesamte Netzwerk bewegen und Ransomware in weiteren Systemen ablegen. Sobald eine kritische Masse erreicht ist, verschlüsselt die Ransomware alle Ressourcen auf einmal und kann dem Unternehmen damit einen vernichtenden Schlag versetzen.

Abwehr von Ransomware

Ein weit verbreiteter Irrtum ist, Ransomware-Angriffen sei am effektivsten durch eine solide Datensicherung beizukommen. Wer über eine gute Backup-Sicherung verfügt, brauche kein Lösegeld zu zahlen, solange die Sicherheitskopien intakt seien, so das Argument. Denn mithilfe von Backup- und DR-Dateien (Disaster Recovery, Notfallwiederherstellung) könne die IT im Ernstfall alle Daten, die von der Malware erfolgreich verschlüsselt wurden, problemlos auf dem Stand unmittelbar vor dem Angriff wiederherstellen.

Sicherheitskopien eignen sich jedoch allenfalls als letzte Verteidigungslinie – und keinesfalls als vorderste Abwehrfront. Denn wenn der Angriff verheerend genug ist, muss die IT-Abteilung womöglich Petabytes an Daten wiederherstellen – ein Prozess, der Tage oder sogar Wochen dauern kann und den Geschäftsbetrieb über einen längeren Zeitraum behindert. Schlimmer noch: Wenn die Backups mit dem Netzwerk verbunden sind, kann es passieren, dass sie von der Ransomware ebenfalls digital geschreddert werden und dem Unternehmen keine andere Wahl bleibt, als das Lösegeld zu zahlen. In dieser Position möchte sich kein Unternehmen befinden – und zwar nicht nur wegen der Kosten. Nachdem Beamte in Lake City im US-Bundesstaat Florida ein Lösegeld für die Entschlüsselung ihrer Daten gezahlt hatten – es handelte sich um einige hundert Terabyte –, dauerte die Wiederherstellung mehr als acht Tage. Bei größeren Unternehmen mit Datenmengen im Petabyte-Bereich könnte dieser Prozess über einen Monat in Anspruch nehmen.

Ebenso wird immer wieder betont, wie wichtig es sei, die Mitarbeiter zu schulen, damit sie nicht auf Dokumente klicken, die in Phishing-Angriffen verwendet werden. Aber auch das ist bei Weitem nicht ausreichend.

Cyberkriminelle entwickeln ständig neue Methoden, um User zu überlisten. In einem Unternehmen mit Hunderten von Mitarbeitern wird früher oder später jemand den Fehler machen, eine infizierte Datei anzuklicken. Darüber hinaus lässt sich mit Mitarbeiterschulungen nichts gegen Angriffe ausrichten, die Sicherheitslücken ausnutzen – der Erfolg solcher Angriffe hängt nämlich nicht davon ab, dass jemand eine Datei anklickt.

Ein Zero-Trust-Ansatz für die Bekämpfung von Ransomware

In einer Zero-Trust-Umgebung wird jede interne Kommunikation als potenzielle Bedrohung behandelt. Kommunikationen zwischen Workloads werden erst nach erfolgreicher Autorisierung zugelassen. Dadurch wird verhindert, dass sich Ransomware lateral im Netzwerk verbreitet. Im Ernstfall kann das bedeuten, dass nicht Hunderte von Servern und Datenspeichern weltweit, sondern nur die Daten auf einem einzigen infizierten Rechner verschlüsselt werden.

Das Zero-Trust-Konzept beruht auf Mikrosegmentierung. Herkömmliche Methoden der Mikrosegmentierung eines Netzwerks funktionieren jedoch mithilfe „vertrauenswürdiger“ IP-Adressen. Das wirft erhebliche operative und sicherheitstechnische Probleme auf. Operative Probleme deswegen, weil Richtlinien unwirksam werden, wenn sich das zugrunde liegende Netzwerk ändert – und heutige Netzwerke ändern sich ständig. Noch schwieriger gestaltet sich die Verwaltung von Richtlinien in Umgebungen mit automatischer Skalierung – wie z. B. in der Cloud oder in Containern, in denen IP-Adressen kurzlebig sind. Die IT müsste Richtlinien ständig aktualisieren, wenn sich IP-Adressen ändern – das ist mit immensem Arbeitsaufwand und hoher Fehleranfälligkeit verbunden. Zudem kann Ransomware adressbasierte Kontrollen umgehen, indem sie sich mittels genehmigter Firewall-Richtlinien Zugriff verschafft. Firewalls sind nämlich nicht darauf ausgelegt, Malware zu erkennen bzw. von vertrauenswürdiger Software zu unterscheiden.

Es gibt jedoch ein neues Modell für die Mikrosegmentierung, das auf der Identität der kommunizierenden Software, Hosts und Geräte beruht und die Steuerungsebene vom Netzwerk trennt. Dadurch wird die Sicherheit erhöht und die Verwaltung vereinfacht. Bei einem identitätsbasierten Ansatz wird jedem Workload eine unveränderliche, eindeutige Identität (ein sogenannter Fingerabdruck) zugewiesen, die auf Dutzenden von Eigenschaften des Assets selbst basiert, u. a. der UUID des Bios, Seriennummern von Prozessoren oder einem SHA-256-Hash einer Binärdatei. Diese Identität wird überprüft, bevor die Workloads kommunizieren dürfen. Durch diese Identitätsprüfung wird verhindert, dass schädliche Software oder Geräte und Hosts kommunizieren können.

Angenommen ein User klickt eine infizierte Datei an, die dann eine Ransomware auf dem Computer des betreffenden Users ausführt. Wenn die Ransomware versucht, das SAMR-Protokoll oder nslookup zur Netzwerkaufklärung zu nutzen, würden identitätsbasierte Zero-Trust-Richtlinien diese Kommunikation blockieren, da die Ransomware nicht autorisiert ist. Ebenso würden Versuche verhindert, andere Ressourcen zu infizieren. Selbst wenn Ransomware ins Netzwerk gelangt, kann sie so nur begrenzten Schaden anrichten, statt den Betrieb des gesamten Unternehmens lahmzulegen.

Weitere Informationen können dem Whitepaper Zscaler Workload Segmentation zur Abwehr von Ransomware entnommen werden.