Bei CryptoLocker handelt es sich um eine inzwischen gut bekannte Malware, die für datenorientierte Unternehmen besonders schädigend sein kann. Sobald ihr Code ausgeführt wurde, verschlüsselt sie Dateien auf Desktops und in Netzwerkspeichern und hält sie sozusagen „als Geisel“. Dabei wird jeder Benutzer, der versucht eine Datei zu öffnen, zur Zahlung eines Lösegelds für die Entschlüsselung aufgefordert. Aus diesem Grund werden CryptoLocker und seine Varianten inzwischen als „Ransomware“ bezeichnet.
Malware wie CryptoLocker kann über zahlreiche Vektoren in ein Netzwerk eindringen, z. B. über E-Mails, Filesharing-Sites und Downloads. NeuereVarianten sind bereits erfolgreich durch die Maschen von Virenschutzprogrammen und Firewalls geschlüpft und es ist anzunehmen, dass auch weiterhin Spielarten auftauchen, die vorbeugende Maßnahmen umgehen können. Zusätzlich zur Einschränkung eines Ansteckungsrisikos, das vom infizierten Host ausgeht, etwa durch Firewalls, werden Zugriffskontrollen, Erkennungs- und Korrekturkontrollen als nächste Verteidigungslinie empfohlen.
FYI – die Informationen in diesem Artikel gelten speziell für CryptoLocker. Wenn Sie etwas über Ransomware im Allgemeinen lesen möchten, haben wir für Sie den weiter in die Tiefe gehenden „Komplettleitfaden Ransomware“ geschrieben.
Aktualisierung September 2018: Die Anzahl der Ransomware-Angriffe ist seit ihrem Höhepunkt im Jahre 2017 signifikant zurückgegangen. CryptoLocker und seine Varianten sind nicht mehr besonders weit verbreitet und neue Ransomware ist an ihre Stelle getreten. Ransomware hat sich zu einem gezielteren Angriff im Gegensatz zur früheren eher breiter gestreuten Angriffen entwickelt und stellt weiterhin eine Gefahr für Unternehmen und Behörden dar.
Bei Ausführung beginnt ein CryptoLocker, gemappte Netzwerklaufwerke, mit denen der Host verbunden ist, nach Ordnern und Dokumenten (siehe betroffene Dateitypen) zu scannen und diejenigen umzubenennen, bei denen er durch dieAnmeldeinformationen des Benutzers, welcher den Code unwissentlich ausführt, über die entsprechenden Berechtigungen verfügt.
CryptoLocker verschlüsseln Dateien mit einem 2048-Bit RSA-Schlüssel und benennen sie, je nach Variante, durch Hinzufügen einer Erweiterung wie .encrypted
oder .cryptolocker
oder [7 zufallsgenerierte Zeichen]
um. Abschließend generiert die Malware eine Datei in jedem Verzeichnis, die auf eine Webseite mit Anweisungen zur Leistung einer Zahlung (z. B. in Bitcoin) verlinkt. Die Namen dieser Anweisungsdateien sind üblicherweise DECRYPT_INSTRUCTION.txt
oder DECRYPT_INSTRUCTIONS.html
.
Immer wenn neue Varianten entdeckt werden, wird die Ransomware-Diskussion auf Varonis Connect entsprechend ergänzt. Zum Beispiel legt eine als „CTB-Locker“ bekannte Variante eine einzige Datei in dem Verzeichnis an, indem sie mit dem Verschlüsseln von Dateien beginnt, die den Namen !Decrypt-All-Files-[7 Zufallszeichen].TXT
oder !Decrypt-All-Files-[7 Zufallszeichen].BMP
trägt.
Je mehr Dateien im Zugriffsbereich eines Benutzerkontos liegen, desto größer ist der Schaden, den Malware anrichten kann. Deshalb ist eine Zugriffsbeschränkung ratsam, weil sie damit den Umfang vonDaten eingrenzen, die verschlüsselt werden können. Dieses Vorgehen bietet nicht nur Schutz vor Malware, sondern mindert auch die potentielle Gefährdung durch andere Angriffe von internen oder externen Akteuren.
Ein Modell nach dem Prinzip der notwendigsten Berechtigung einzurichten ist zwar keine kurzfristige Maßnahme, Risiken lassen sich dann aber schnell durch die Löschung nicht benötigter globaler Zugriffsgruppen aus den Zugriffs-Kontrolllisten reduzieren. Gruppen wie „Jeder“, „Authentifizierte Benutzer“ und „Domänen-Benutzer“ können bei der Anwendung auf Daten-Container (etwa Ordner oder SharePoint-Sites) ganze Verzeichnishierarchien für alle Benutzer in einem Unternehmen öffnen. Die betroffenen Datensätze sind nicht nur leichte Ziele für Diebstahl oder Missbrauch, sondern werden mit großer Wahrscheinlichkeit auch bei einem Malware-Angriff beschädigt. Auf Dateiservern werden diese Ordner als „offene Shares“ bezeichnet, wenn sowohl auf das Dateisystem als auch auf die Freigabeberechtigungen über eine globale Zugriffsgruppe zugegriffen werden kann.
Es ist zwar am einfachsten, Technologien zur Erkennung und Eliminierung globaler Zugriffsgruppen zu verwenden, offene Shares lassen sich aber auch durch Anlegen eines Benutzers ohne Gruppenmitgliedschaft und „Scannen“ der gemeinsamen Dateispeicher mit den Anmeldeinformationen dieses Kontos entdecken. Zum Beispiel können sogar grundlegende Net-Befehle aus der CMD-Shell von Windows zur Auflistung und Prüfung von Shares auf Zugreifbarkeit nutzen:
Diese Befehle lassen sich einfach in einem Batch-Skript miteinander kombinieren, um weithin zugängliche Ordner und Dateien zu identifizieren. Diese ohne Automatisierung zu reparieren kann leider sehr zeitaufwändig und riskant sein, weil sich die Tätigkeit leicht auf die normale Geschäftstätigkeit auswirken kann, wenn Sie nicht vorsichtig sind. Wenn Sie eine große Anzahl offener Ordner entdecken, sollten Sie eine automatisierte Lösung in Betracht ziehen. Automatisierte Lösungen können Ihnen auch die Möglichkeit erschließen, über die Eliminierung globaler Zugriffsberechtigungen hinauszugehen. Dabei können Sie ein Modell, in dem das Prinzip der notwendigsten Berechtigungen tatsächlich eingehalten wird, einrichten und gleichzeitig eine ineffiziente manuelle Zugriffsverwaltung loswerden.
Wenn die Dateizugriffsaktivität auf betroffenen Dateiservern überwacht wird, erzeugen diese Verhaltensweisen sehr schnell eine große Anzahl von Öffnen-, Ändern- und Erstellen-Ereignissen und sind mit Automatisierung relativ einfach zu erkennen, was eine wertvolle Erkennungskontrolle liefert. Wenn beispielsweise ein einzelner Benutzer innerhalb einer Minute 100 Dateien ändert, lässt sich mit hoher Sicherheit vermuten, dass dort ein automatisierter Prozess abläuft. Konfigurieren Sie Ihre Überwachungslösung so, dass sie eine Benachrichtigung auslöst, wenn sie ein derartiges Verhalten erkennt. Varonis DatAlert überwacht bereits direkt nach der Installation das Verhalten in Dateisystemen im Hinblick auf Ransomware-Angriffe. Wenn Varonis Ihre Daten überwacht, müssen Sie keine speziellen Konfigurationen vornehmen.
Wenn Sie keine automatisierte Lösung zur Überwachung der Dateizugriffsaktivität haben, müssen Sie möglicherweise ein natives Auditing aktivieren. Natives Auditing belastet aber leider die überwachten Systeme und die Ergebnisse sind oft schwer zu entziffern. Anstatt zu versuchen, die nativen Auditprotokolle aller Systeme zu aktivieren und zu sammeln, sollten Sie besonders sensible Bereiche priorisieren und in Erwägung ziehen, dem Angriefer mit einem Honeypot im Speichersystem eine Falle zu stellen.
Ein Honeypot-Share ist ein offener Share mit Dateien, die normal und wichtig aussehen, aber tatsächlich gefälscht sind. Da keine rechtmäßige Benutzeraktivität mit einem Honeypot-Share verbunden sein sollte, sollte hier jede beobachtete Aktivität sorgfältig untersucht werden. Wenn Sie keine andere Möglichkeit als manuelle Methoden haben, müssen Sie natives Auditing für die Aufzeichnung der Zugriffsaktivitäten aktivieren und ein Skript erstellen, das Sie benachrichtigt, sobald Ereignisse in das Sicherheitsereignisprotokoll geschrieben werden (z. B. unter Verwendung von dumpel.exe).
Wenn Sie gerne mit PowerShell arbeiten, finden Sie hier unseren kurzen Artikel über die Bekämpfung von CryptoLocker mit PowerShell.
Wenn Ihr Erkennungskontrollmechanismus eine automatische Reaktion auslösen kann, z. B. durch Deaktivieren des Benutzerkontos, wird der Angriff effektiv gestoppt bevor er weiteren Schaden anrichtet. Zum Beispiel kann eine Reaktion auf einen Benutzer, der über 100 „Ändern“-Ereignisse innerhalb einer Periode generiert, folgendes umfassen:
Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames()
Wenn protokollierbare Aktivitäten gespeichert und angemessen durchsuchbar sind, werden sie für die Wiederherstellung unbezahlbar, weil sie eine vollständige Aufzeichnung aller betroffenen Dateien, Benutzerkonten und (möglicherweise) Hosts enthalten. Kunden von Varonis können die Ergebnisse von Bericht 1a (der hier beschrieben wird) verwenden, um Dateien aus einer Sicherungskopie oder Hintergrundkopie wiederherzustellen.
In Abhängigkeit der Variante von CryptoLocker kann die Verschlüsselung möglicherweise mit einem Realtime-Disassembler rückgängig gemacht werden.
Neue Ransomware-Varianten treten ununterbrochen auf – aber glücklicherweise übernimmt unser Team für Sicherheitsforensik die Fleißarbeit für Sie und aktualisiert sorgfältig die Ransomware-Signaturen, damit Varonis sie erkennen kann. Lassen Sie sich die Funktion in einer kostenlosen 1:1-Demo vorführen und erfahren Sie mehr darüber, wie unsere Abwehrarchitektur gegen Ransomware darauf ausgelegt ist, Unternehmensdaten gegen Zero-Day-Angriffe auch jenseits der Endgeräte zu schützen – also gegen Ransomware, die von herkömmlichen Perimetersicherheitsvorkehrungen übersehen wird.