Ransomware-Angriffe: was können wir aus dem Kaseya-Vorfall lernen?

Die Quantität und Qualität der Angriffe ist in den letzten Jahren sehr gestiegen. Die Angriffsfläche ist ebenso gestiegen durch die verstärkte Verbreitung von Homeoffice, die Vielzahl an Geräten (Devices) und die steigende Vielfalt an Applikationen zur Collaboration. Diese Komplexität erleichtert es Angreifern immer wieder neue Lücken zu finden.

Wiederum macht es die Arbeit der Sicherheitsverantwortlichen in Unternehmen schwerer – die Themen- und Funktionsvielfalt verlangt eine größere Expertise der Security-Experten und mehr personelle und finanzielle Ressourcen in den IT-Abteilungen.

Die Angreifer nutzten ein manipuliertes Update für Kaseya VSA On-Prem-Server, um die Opfer mit Ransomware zu attackieren. Die angreifende Gruppe REvil ist auch für Advanced Persistent Threats (APT) bekannt, was fortgeschrittene Angriffstechniken beinhaltet, bei denen auch eine teilweise Löschung des angewandten Tool-Sets (sofern sie zeitnah erkannt werden) nichts mehr gegen den Angriff ausrichten kann.

Bereits mit dem manipulierten Update löschte das Tool lokale Antivirenprogramme und verschlüsselte lokale Dateien über nachgeahmte Windows Defender-Apps. Der Angriff verlief automatisiert und extrem schnell auf fast 2.000 Unternehmen. Der Angriff kam kurz vor dem Juli-Wochenende des amerikanischen Nationalfeiertags. Weitreichende Teile des Netzwerkes wurden verschlüsselt und dienten der Erpressung. Es wurde ein unbewachter Ordner erstellt, in dem der Verschlüsselungscode ausgeführt werden konnte.

Ein Ignorieren der Zeitspanne führt zu einer Verdopplung der geforderten Summe. Die Verschlüsselung erfolgt in der Qualität eines „Military Grade“, d.h. eine Entschlüsselung ohne Key ist nicht möglich. Mit einer entsprechenden Sicherheitssoftware lassen sich Memory-Allokationen als ungewöhnlich erkennen, selbst wenn es nach einem vermeintlich bekannten Defender-Prozess ausschaut.

Es wird seitens Sophos eine Prüfung durchgeführt, ob der Kunde betroffen ist. Für Neukunden bietet Sophos ein Rapid Response Team (keine proaktive Verteidigung), während ein MTR-Kunde proaktiv konfiguriert wird, um den Angriff zu stoppen (Rapid Incident Response). Kunden werden über Patches informiert und es gibt Risikoeinstufungen für die Kunden, die eine Priorisierung ermöglichen.

Verdächtige Aktivitäten werden untersucht (Einloggen mit falschem PW, neue Prozesse lassen sich starten, neue Scheduled Tasks, Reg Keys lassen sich ändern, Browser Extensions werden geändert usw.).

Erfahrene Analysten führen Threat Hunting and Response durch, führen gezielte Aktionen zur Neutralisierung von Bedrohungen durch und sorgen für vollständige Transparenz und Kontrolle.

Es gibt drei Stufen der Interaktionsmöglichkeiten mit dem Sophos MTR-Team:

• Notify: Sophos benachrichtigt den Kunden über die Detection und liefert die Details, um bei der Priorisierung und Reaktion zu unterstützen
• Collaborate: Zusammenarbeit mit dem internen Team oder externen Ansprechpartnern, um auf die Detection zu reagieren
• Authorize: Sophos kümmert sich um die Eindämmungs- und Neutralisierungsmaßnahmen und informiert den Kunden über die ergriffenen Maßnahmen

Sophos Syncronized Security

Sophos Central fasst die Schutzwälle Sophos XG Firewall und den Geräteschutz Sophos Endpoint Intercept X auf einer Plattform zusammen. Dabei wird mit Rückgriffen auf Data Lake und unter Nutzung von AI von den Security-Analysten der Sophos Labs mit Analysen der Schutz vor Angriffen immer weiter ausgebaut und an neue Bedrohungen angepasst. Sicherheitshersteller entwickeln sich sukzessive zu Security-Plattform-Anbietern.

Weiteres Vorgehen:

1. Patch & Deploy

• Exchange IIS/Server-Protokolle sichern und patchen
• Das Patchen verhindert künftige Angriffe. Es stellt NICHT sicher, dass der Angreifer die Schwachstellen nicht bereits ausgenutzt hat.
•   Es ist notwendig, dass Endpoint Protection auf allen Endpoints und Servern installiert ist.

2. Gefahr ermitteln

• Intercept X mit EDR-Abfragen zur ersten Einschätzung der Gefahr starten.
• Nach dem Angriff Analyse, Zeitrahmen und die Auswirkungen zur Einschätzung des erforderlichen Threat Huntings.

3. Unterstützung

• Schnelle Reaktion: 45 Tage lang Incident Response Engagement
• MTR Advanced: Langfristige Überwachung, Bedrohungsabwehr und Reaktion

Es werden fortgeschrittene Taktiken für Angriffe genutzt – welche nicht mehr nur staatlichen Institutionen vorbehalten sind. Die Opfer werden nicht mehr gezielt ausgesucht, es werden Standard-Konfigurationen genutzt, die eine vorher unbekannte Zahl an Opfern haben könnten (Nation State APT). Den Angreifern sind Lücken in den Sicherheitstools und Konfigurationen bekannt. Selbst wenn keine Ransomware gesichtet wird, gibt es einen potenziellen Zugriff auf die Daten. Eine schnelle Reaktion ist essenziell.

Fast jeden zweiten Monat gibt es globale Attacken. Die neue Welle Proxyshell ist bereits im Anmarsch. Dabei werden Schwachstellen im Exchange Server genutzt. Ein unautorisierter Zugriff führt zu Post-Exploit-Aktivitäten und Ransomware-Angriffen.