Der Fall VNDirect und was Ransomware gefährlich macht?

Am 24. März 2024 wurde die VNDirect Securities Company in Vietnam zum neuesten Hotspot auf der Landkarte internationaler Ransomware-Angriffe. Dieser Angriff ist kein Einzelfall.

Ransomware, eine Art von Schadsoftware, die darauf ausgelegt ist, Daten auf dem System eines Opfers zu verschlüsseln und für die Entschlüsselung ein Lösegeld zu fordern, ist heute eine der am weitesten verbreiteten und gefährlichsten Bedrohungen für die Cybersicherheit weltweit. Die zunehmende Abhängigkeit von digitalen Daten und Informationstechnologie in allen Bereichen des gesellschaftlichen Lebens macht Organisationen und Einzelpersonen anfällig für diese Angriffe.

Die Gefahr von Ransomware liegt nicht nur in ihrer Fähigkeit, Daten zu verschlüsseln, sondern auch in der Art und Weise, wie sie sich verbreitet und Lösegeld fordert. Dadurch entsteht ein Kanal für Finanztransaktionen, über den Hacker illegale Gewinne erzielen können. Aufgrund ihrer Raffinesse und Unberechenbarkeit stellen Ransomware-Angriffe eine der größten Herausforderungen für die Cybersicherheit dar.

Der Angriff auf VNDirect ist eine deutliche Erinnerung daran, wie wichtig es ist, Ransomware zu verstehen und sich davor zu schützen. Nur wenn wir verstehen, wie Ransomware funktioniert und welche Bedrohung sie darstellt, können wir wirksame Schutzmaßnahmen ergreifen – von der Schulung der Benutzer über den Einsatz technischer Lösungen bis hin zum Aufbau einer umfassenden Präventionsstrategie zum Schutz kritischer Daten und Informationssysteme.

So funktioniert Ransomware

Ransomware, eine furchterregende Bedrohung in der Welt der Cybersicherheit, geht auf raffinierte und vielfältige Weise vor und kann für die Opfer schwerwiegende Folgen haben. Um besser zu verstehen, wie Ransomware funktioniert, müssen wir jeden Schritt des Angriffsprozesses genauer betrachten.

Infektion

Der Angriff beginnt, wenn Ransomware das System infiziert. Es gibt mehrere gängige Methoden, mit denen Ransomware das System eines Opfers infiltriert, darunter:

Phishing-E-Mails: Gefälschte E-Mails mit schädlichen Dateianhängen oder Links zu Websites, die Schadcode enthalten; Ausnutzen von Schwachstellen: Ausnutzen von Schwachstellen in ungepatchter Software, um Ransomware automatisch und ohne Benutzerinteraktion zu installieren; Malvertising: Nutzung von Internetwerbung zur Verbreitung von Schadcode; Downloads von bösartigen Websites: Benutzer laden Software oder Inhalte von nicht vertrauenswürdigen Websites herunter.

Verschlüsselung

Nach der Infektion beginnt die Ransomware mit der Verschlüsselung der Daten auf dem System des Opfers. Bei der Verschlüsselung handelt es sich um den Prozess der Konvertierung von Daten in ein Format, das ohne den Entschlüsselungsschlüssel nicht gelesen werden kann. Ransomware verwendet häufig starke Verschlüsselungsalgorithmen, die sicherstellen, dass verschlüsselte Daten ohne den spezifischen Schlüssel nicht wiederhergestellt werden können.

Lösegeldforderung

Nach der Verschlüsselung der Daten zeigt die Ransomware auf dem Bildschirm des Opfers eine Meldung an, in der sie ein Lösegeld für die Entschlüsselung der Daten fordert. Die Benachrichtigung enthält typischerweise Anweisungen zur Zahlung (normalerweise über Bitcoin oder andere Kryptowährungen, um die Identität des Kriminellen zu verbergen) sowie eine Zahlungsfrist. Einige Versionen von Ransomware drohen zudem damit, Daten zu löschen oder zu veröffentlichen, wenn kein Lösegeld gezahlt wird.

Transaktionen und Entschlüsselung (oder nicht)

Das Opfer steht dann vor einer schwierigen Entscheidung: Entweder das Lösegeld zahlen und hoffen, die Daten zurückzubekommen, oder es ablehnen und die Daten für immer verlieren. Allerdings ist mit der Zahlung keine Garantie für die Entschlüsselung der Daten verbunden. Tatsächlich könnte dies Kriminelle sogar dazu ermutigen, ihre Taten fortzusetzen.

Die Funktionsweise von Ransomware zeugt nicht nur von technischer Raffinesse, sondern spiegelt auch eine traurige Realität wider: die Bereitschaft, die Leichtgläubigkeit und Unwissenheit der Benutzer auszunutzen. Dies unterstreicht, wie wichtig es ist, das Bewusstsein und Wissen zum Thema Cybersicherheit zu schärfen, vom Erkennen von Phishing-E-Mails bis hin zur Aktualisierung der Sicherheitssoftware. Angesichts einer sich ständig weiterentwickelnden Bedrohung wie Ransomware sind Aufklärung und Prävention wichtiger denn je.

Gängige Varianten von Ransomware

In der Welt der Ransomware-Bedrohungen zeichnen sich einige Varianten durch ihre Komplexität, Verbreitungsfähigkeit und schwerwiegenden Auswirkungen auf Unternehmen weltweit aus. Nachfolgend finden Sie eine Beschreibung von sieben gängigen Varianten und ihrer Funktionsweise.

REvil (auch bekannt als Sodinokibi)

Funktionen: REvil ist eine Variante von Ransomware-as-a-Service (RaaS), die es Cyberkriminellen ermöglicht, es zu „mieten“, um ihre eigenen Angriffe durchzuführen. Dadurch erhöht sich die Verbreitung und die Zahl der Opfer dieser Ransomware erheblich.

Verbreitungsmethode: Verbreitung über Sicherheitslücken, Phishing-E-Mails und Remote-Angriffstools. REvil verwendet auch Angriffsmethoden, um Daten automatisch zu verschlüsseln oder zu stehlen.

Ryuk

Merkmale: Ryuk zielt hauptsächlich auf große Organisationen ab, um das Lösegeld zu maximieren. Es verfügt über die Fähigkeit, sich für jeden Angriff anzupassen, was seine Erkennung und Entfernung erschwert.

Verbreitungsmethode: Über Phishing-E-Mails und mit anderer Malware wie Trickbot und Emotet infizierte Netzwerke verbreitet und verschlüsselt Ryuk Netzwerkdaten.

Robinhood

Funktionen: Robinhood ist für seine Fähigkeit bekannt, Regierungssysteme und große Organisationen anzugreifen, indem es eine ausgeklügelte Verschlüsselungstaktik verwendet, um Dateien zu sperren und hohe Lösegeldzahlungen zu fordern.

Verbreitungsmethode: Verbreitung durch Phishing-Kampagnen sowie Ausnutzen von Sicherheitslücken in Software.

DoublePaymer

Funktionen: DoppelPaymer ist eine eigenständige Ransomware-Variante, die durch die Verschlüsselung von Daten und die Drohung, Informationen freizugeben, wenn kein Lösegeld gezahlt wird, schweren Schaden anrichten kann.

Verbreitungsmethode: Verbreitung über Remote-Angriffstools und Phishing-E-Mails, insbesondere mit Fokus auf Schwachstellen in ungepatchter Software.

SNAKE (auch bekannt als EKANS)

Funktionen: SNAKE ist für Angriffe auf industrielle Steuerungssysteme (ICS) konzipiert. Es verschlüsselt nicht nur Daten, sondern kann auch industrielle Prozesse stören.

Verbreitungsmethode: Durch Phishing- und Exploit-Kampagnen, wobei der Schwerpunkt auf der gezielten Bekämpfung bestimmter Industriesysteme liegt.

Phobos

Funktionen: Phobos weist viele Ähnlichkeiten mit Dharma auf, einer anderen Ransomware-Variante, und wird häufig verwendet, um kleine Unternehmen über RDP (Remote Desktop Protocol) anzugreifen.

Verbreitungsmethode: In erster Linie über exponiertes oder anfälliges RDP, wodurch Angreifer Fernzugriff erhalten und Ransomware einsetzen können.

LockBit

LockBit ist eine weitere beliebte Ransomware-Variante, die nach dem Ransomware-as-a-Service-Modell (RaaS) arbeitet und für Angriffe auf Unternehmen und Regierungsorganisationen bekannt ist. LockBit führt seine Angriffe in drei Hauptphasen aus: Ausnutzen von Schwachstellen, tiefes Eindringen in das System und Bereitstellen verschlüsselter Nutzdaten.

Phase 1 – Ausnutzung: LockBit nutzt Schwachstellen im Netzwerk mithilfe von Techniken wie Social Engineering, etwa durch Phishing-E-Mails, oder Brute-Force-Angriffen auf Intranet-Server und Netzwerksysteme aus.

Phase 2 – Infiltration: Nach der Infiltration verwendet LockBit ein „Post-Exploitation“-Tool, um seine Zugriffsebene zu erhöhen und das System auf den Verschlüsselungsangriff vorzubereiten.

Phase 3 – Bereitstellung: LockBit stellt die verschlüsselte Nutzlast auf jedem zugänglichen Gerät im Netzwerk bereit, verschlüsselt alle Systemdateien und hinterlässt eine Lösegeldforderung.

LockBit verwendet während des Eindringvorgangs außerdem eine Reihe kostenloser Open-Source-Tools – von Netzwerkscannern bis hin zu Remote-Management-Software –, um Netzwerkaufklärung, Remote-Zugriff, Diebstahl von Anmeldeinformationen und Datenexfiltration durchzuführen. In einigen Fällen droht LockBit auch mit der Freigabe persönlicher Daten der Opfer, wenn die Lösegeldforderungen nicht erfüllt werden.

Aufgrund seiner Komplexität und großen Reichweite stellt LockBit eine der größten Bedrohungen in der modernen Ransomware-Welt dar. Organisationen müssen umfassende Sicherheitsmaßnahmen ergreifen, um sich vor dieser Ransomware und anderen Varianten zu schützen.

Dao Trung Thanh

Teil 2: Vom VNDirect-Angriff zur Anti-Ransomware-Strategie