Plattformübergreifende Angriffe könnten Ransomware noch tödlicher machen

Mehrere jüngste Sicherheitsverletzungen haben die neue Bedrohung deutlich gemacht

Dabei werden Sprachen wie Rust und Golang verwendet, um plattformübergreifende Malware über Windows, OSX und Linux zu verbreiten. Dieser Ansatz ermöglicht es Ransomware-Banden, dieselbe Software in verschiedenen Umgebungen einzusetzen - und kann auch die Entdeckung von Angriffen erschweren. Wie funktionieren diese Angriffe, und wie sollte Ihre Cyberstrategie aussehen? Zunächst müssen wir uns ansehen, was die Entwicklung von Ransomware antreibt. 

Ransomware ist tödlich - aber die Banden haben sich nicht immer durchgesetzt 

Die Anfänge von Ransomware liegen in den späten 1980er Jahren, als sich Viren noch per Diskette verbreiteten und das Lösegeld per Scheck gezahlt wurde. Doch mit der zunehmenden Vernetzung der Netze verbreiteten sich die Angriffe zum Datendiebstahl immer weiter und schneller. Das australische Cybersicherheitszentrum betrachtet Ransomware als "die zerstörerischste Bedrohung durch Cyberkriminalität", und zwar nicht wegen ihrer Häufigkeit - Business Email Compromise (BEC) und einfacher Betrug sind weitaus häufiger - sondern weil die Auswirkungen eines einzigen Vorfalls seismisch sein können. Im Dezember legte ein Angriff auf einen neuseeländischen IT-Anbieter mehrere Regierungssysteme lahm. Der australische Krankenversicherer Medibank, in dessen Datenbestände im Oktober eingebrochen wurde und der sich weigerte, das Lösegeld zu zahlen, könnte mit Schadenersatzforderungen in Höhe von 700 Millionen Dollar konfrontiert werden; sein Aktienkurs fiel nach dem Angriff um 20 %. 

Doch auch wenn Trends wie die Zunahme der Telearbeit den Kriminellen neue Angriffsflächen eröffnet haben, haben die Banden nicht alles für sich behalten. Zu den bemerkenswerten Erfolgen gehören die Verhaftung zahlreicher Mitglieder der berüchtigten REvil-Bande und das Durchsickern vertraulicher Nachrichten aus der Conti-Gruppe durch ein unzufriedenes ehemaliges Mitglied, während der Wertverfall von Kryptowährungen die Erträge beeinträchtigt hat. Diese Faktoren haben viele Arten der Internetkriminalität eingedämmt und nicht wenige Gelegenheitskriminelle abgeschreckt. Aber Cyberkriminelle sind ein innovatives Völkchen, und andere Hacker lassen altbewährte Taktiken links liegen und erforschen plattformübergreifende Angriffe.

Warum plattformübergreifende Angriffe boomen 

Auch wenn es ein gutes Gefühl ist, dass die größten Banden zur Rechenschaft gezogen wurden, sind die Kriminellen hinter Ransomware nicht über Nacht verschwunden. Stattdessen scheinen sie sich von der Arbeit in größeren, öffentlichkeitswirksamen Gruppen auf kleinere, flinkere Operationen zu verlagern, die ein kleineres Ziel im Rücken haben. Ransomware-as-a-Service (RaaS), bei dem Experten ihre Malware und ihr Fachwissen vermieten und anderen Kriminellen einmalige Angebote, Abonnementmodelle und direkte Zusammenarbeit anbieten, nimmt zu.  

Ansätze wie Erpressersoftware (bei der Hacker damit drohen, wertvolle Daten preiszugeben, wenn kein Lösegeld gezahlt wird) und plattformübergreifende Angriffe sind Teil dieses Trends, da die Angreifer flexible Tools und Methoden einsetzen, um ihren Gewinn zu maximieren und gleichzeitig das Risiko der Entdeckung zu minimieren. Doch welche Faktoren treiben das Wachstum plattformübergreifender Cyberangriffe voran? 

1. Die Werkzeuge entwickeln sich weiter. Malware-Kits machen es Kriminellen leichter, mehrere Iterationen derselben Malware auf Abruf zu produzieren, während Tools für mehrere Plattformen den Angreifern mehr Möglichkeiten bieten, ihr Geld zu verdienen. Der Code muss nur einmal geschrieben werden und kann dann für den Angriff auf mehrere Ziele in unterschiedlichen Umgebungen umgestaltet werden.
2. Mit Hilfe von Befehlszeilen können sich Gruppen auf bestimmte Umgebungen, wie z. B. virtuelle Client-Maschinen, konzentrieren oder diese ausschließen und ihren Angriff auf einzelne Ziele zuschneiden.
3. Plattformübergreifende Binärdateien sind für Antivirenprogramme schwieriger zu erkennen. 

Die größten Bedrohungen durch plattformübergreifende Ransomware 

Kriminelle sind nichts als Opportunisten, und in den letzten Monaten haben zahlreiche Banden plattformübergreifende Malware entwickelt. Zu den ersten Anwendern gehören: 

1. BlackCat-Malware, die in Rust geschrieben wurde und Ende 2021 auftauchte. Microsoft stellt fest, dass die RaaS-Gruppe "erfolgreiche Angriffe auf Windows- und Linux-Geräte und VMWare-Instanzen" durchgeführt hat. Die Werkzeuge zur Analyse von Rust sind nicht so ausgereift wie die für C entwickelten, was die Analyse erschwert.
2. Blackbasta, das möglicherweise mit Conti oder der russischen Gruppe FIN7 in Verbindung steht, ist eine weitere RaaS-Gruppe, die bereits mehrere Angriffe durchgeführt hat; ihre Malware gibt es in Windows- und Linux-Versionen.
3. Luna, das unter Windows, Linux und ESXi läuft und ebenfalls in Rust geschrieben ist. Die Betreiber behaupten, nur mit russischsprachigen Partnern zu arbeiten.
4. Eine neue Variante der RansomExx-Ransomware, RansomExx2, wurde in Rust geschrieben. Eine Linux-Version ist bereits einsatzbereit und eine Windows-Variante befindet sich vermutlich in der Entwicklung.
5. RedAlert, das Mitte 2022 auf den Markt kam, greift sowohl Windows- als auch Linux-VMWare ESXi-Server an.
6. Deadbolt greift netzwerkgebundene Speichergeräte an. Es ist in Golang geschrieben, verwendet aber eine HTML-Lösegeldforderung und ein Bash-Skript zur Entschlüsselung.

Weitere Beispiele tauchen immer wieder auf: Die normalerweise auf Windows fokussierte Conti-Gruppe hat eine Linux-Variante herausgebracht, und Agenda hat kürzlich Rust übernommen.  

Wie man plattformübergreifende Angriffe abwehrt 

Plattformübergreifende Angriffe werden wahrscheinlich eines der großen Themen des Jahres 2023 sein, wobei immer mehr Kriminelle auf diesen Zug aufspringen werden. Wie können sich Unternehmen also schützen? 

1. Patchen Sie Software und aktualisieren Sie Sicherheitstools für alle Geräte, auch für Server mit Linux.
2. Geben Sie Nachrichten über neue Bedrohungen an die zuständigen Teams weiter: Ihr Sicherheitsteam sollte die neuesten Informationen über Bedrohungen erhalten und geschult werden; den Mitarbeitern im Allgemeinen sollten relevante, regelmäßige Schulungen und hochwertige Informationen über Bedrohungen wie Phishing angeboten werden.
3. Konzentrieren Sie sich auf die Erkennung seitlicher Bewegungen und ausgehender Daten, um Übergriffe im Keim zu ersticken.
4. Bewerten Sie Ihre Angriffsfläche und stellen Sie sicher, dass Sie Ihre wichtigsten Ressourcen durch mehrschichtige Sicherheitsmaßnahmen schützen.
5. Ziehen Sie ganzheitliche Ansätze für die Cyberabwehr in Betracht, z. B. ein Sicherheitsnetz oder cloudbasierte Lösungen wie SSE und SASE.
6. Begrenzen Sie den Schaden, den Benutzer anrichten können, durch das Prinzip der geringsten Berechtigung (und dessen natürliche Schlussfolgerung Zero Trust), und erlauben Sie nicht die Aktivierung von Makros aus E-Mail-Anhängen.
7. Bereiten Sie sich auf das Schlimmste vor, indem Sie regelmäßig Offline-Backups erstellen und einen umfassenden Plan zur Reaktion auf Zwischenfälle erstellen. 
    

Schutz Ihrer Daten vor plattformübergreifender Ransomware  

Plattformübergreifende Malware ist immer häufiger anzutreffen, insbesondere als Teil eines Ransomware-as-a-Service-Modells (RaaS). Und da die Zusammenarbeit der Regierungen bei der Bekämpfung von Ransomware die großen Banden unter Druck setzt, könnte diese anpassungsfähige Angriffsmethode sogar noch beliebter werden. 
 
Selbst die besten Schutzmaßnahmen werden manchmal durchbrochen, aber wenn Sie die aktuellen Bedrohungen kennen, Ihre Sicherheit optimieren und die grundlegenden Dinge richtig machen, können Sie Ihr Risiko kontrollieren. Ein Ransomware-Angriff ist der schlimmste Albtraum eines jeden CISOs, aber Vorsicht ist besser als Nachsicht, egal welche Plattform Sie verteidigen.