ÐндÑей ЯланÑкий -
IT Security 2024: Auf Zero Day folgt nicht immer Ransomware
Ransomware-Angriffe stehen längst nicht mehr nur für die Verschlüsselung von Daten, sondern für sehr gezielte Attacken. Welche Rolle spielen dabei Zero-Day-Schwachstellen?
Mehrere größere Ransomware-Angriffe im Jahr 2023 nutzten Zero-Day-Schwachstellen aus, darunter die bei MOVEit (CVE-2023-34362), Cisco IOS XE (CVE-2023-20198) und bei Microsoft (CVE-2023-36884). Im Gegensatz zu anderen Ransomware-Trends hängt es allein von wirtschaftlichen Erwägungen ab, ob andere Cyberkriminelle diese Strategie übernehmen. Sie stehen vor der Frage, ob der Ertrag eines Ransomware-Angriffs mit mehreren Opfern den Preis eines für viel Geld im Darknet gekauften Zero Day-Exploits rechtfertigt.
In seiner heutigen Form bezieht sich der Begriff Ransomware nicht nur auf die Verschlüsselung von Daten, sondern wird zur Charakterisierung von Cyberangriffen verwendet. Ein finanziell motivierter Akteur hat erhebliche Kontrolle über wichtige Assets des Opfers erlangt und übt Druck aus, um Geld zu erpressen. Dieses kriminelle Ökosystem besteht aus sich ständig verändernden Gruppen und Einzelpersonen. Gleichzeitig versuchen sie, öffentliche Aufmerksamkeit und in gewissen Kreisen Ruhm zu erlangen, um potenzielle Partner anzulocken. Gleichzeitig vermeiden sie eine zu große Aufmerksamkeit seitens der Strafverfolgungsbehörden. Die Akteure geben sich häufig einen neuen Namen und sind anonym mit Verschleierungstechniken unterwegs, was eine Zuordnung schwierig macht.
Bei der Analyse der Angriffstrends innerhalb des Ransomware-Ökosystems lassen sich häufig neue Funktionen feststellen, die von RaaS-Anbietern (Ransomware as a Service) eingeführt wurden, um ihre operativen Fähigkeiten zu verbessern. Diese können von Umgehungstechniken wie zwischengeschalteten Verschlüsselungsmechanismen oder dem Neustart im abgesicherten Modus bis hin zu verbesserten Verschlüsselungsgeschwindigkeiten reichen. Zu den weiteren Verbesserungen gehören erweiterte Erpressungstaktiken wie Datendiebstahl und die Androhung der Offenlegung von Daten sowie die Implementierung der Indizierung gestohlener Daten und die Kompatibilität mit weiteren Betriebssystemen. Ransomware-Versionen zielen nun mehr und mehr auch auf Linux-Systeme ab.
Auswirkungen von Ransomware
Die Auswirkungen von Ransomware haben im Jahr 2023 einen Höhepunkt erreicht, wie mehrere öffentlichkeitswirksame Angriffe zeigen, darunter der ALPHV-Angriff auf den Spielcasino-Betreiber MGM Resorts International. Dieser Angriff führte zu einem umfangreichen Datendiebstahl und einer erheblichen Unterbrechung des Geschäftsbetriebs. Im Nachhinein wurde bekannt, dass MGM den entstandenen Schaden auf 100 Millionen US-Dollar schätzt. Darüber hinaus wurde der australische Hafenbetreiber DP World von einem schweren Cyberangriff heimgesucht, der 40 Prozent des Containerhandels für mehrere Tage zum Erliegen brachte. Dieser Angriff dient als Beispiel für die Weiterentwicklung der Cyberbedrohungslandschaft, denn es wurden keine Daten verschlüsselt. Die Auswirkungen waren dennoch spürbar.
Im vergangenen Jahr kam es laut dem Cyber Security Report 2024 zu einer bemerkenswerten Zunahme groß angelegter Ransomware-Cyberattacken, die gleich mehrere Opfer betrafen. Bei einigen Vorfällen wurden Hunderte oder sogar Tausende von Unternehmen in Mitleidenschaft zogen. Die CL0P RaaS-Gruppe nutzte eine Zero-Day-Schwachstelle im GoAnywhere-Tool für die sichere Dateiübertragung aus, was zu Vorfällen führte, von denen über 130 Organisationen betroffen waren. Anfang Juni nutzte CL0P eine Zero-Day-Schwachstelle aus, die es ihm ermöglichte, auf die Dateiübertragungssoftware MOVEit zuzugreifen, was zur Kompromittierung von mehr als 2.600 Organisationen führte. Einen ähnlichen Angriff führte CL0P auch im Jahr 2021 durch, als es eine Zero-Day-Schwachstelle in der File Transfer Appliance von Accellion ausnutzte, um in die Datenbanken mehrerer Firmen einzudringen. In all diesen Fällen wurden die Ziele sorgfältig ausgewählt, da sie ein hohes Kundenaufkommen, eine hohe Datenqualität und die Möglichkeit zur Ausbreitung des Angriffs auf weitere Opfer aufwiesen.
CL0P verschlüsselte die Daten der Opfer nicht, sondern drohte damit, sie zu veröffentlichen oder zu verkaufen. Diese Erpressungsstrategie kann sich selbst auf Opfer negativ auswirken, die regelmäßig Backups erstellen und Verfahren zur Datenwiederherstellung anwenden. Sie verringert auch die Chance, während der Verschlüsselungsphase eines Angriffs entdeckt zu werden und entlastet die Cyberkriminellen von der Last des Managements der Entschlüsselungsschlüssel. Darüber hinaus befreit es sie auch mit der verbundenen „Kundendienst-Verantwortung“ im Zusammenhang mit der Entschlüsselung der Dateien.
Vor- und Nachteile bei Zero-Day-Attacken
Zero-Day-Exploits sind sehr begehrt und werden auf einem florierenden Markt im Darknet gehandelt. Der Preis hängt vom Zielsystem und der Art der Schwachstellen ab und kann von einigen Tausend US-Dollar bis zu 2,5 Millionen US-Dollar bei mobilen Plattformen reichen. Die Preise, die von seriösen Plattformen wie Zerodium veröffentlicht werden, spiegeln das wider, was auf parallelen cyberkriminellen Untergrundmärkten vor sich geht. Die Glaubwürdigkeit der Verkäufer auf diesen Märkten hängt von der Reputation ab, die sie durch frühere Transaktionen und die als Sicherheiten verwendeten Einlagen erworben haben. Auf Zerodium können Windows-LPE-Schwachstellen für 80.000 US-Dollar gekauft werden.
Zero-Day-Schwachstellen sind allerdings nur begrenzt haltbar. Je häufiger sie ausgenutzt werden, desto höher ist die Wahrscheinlichkeit, dass sie entdeckt und anschließend gepatcht werden. Im Gegensatz zum Hinzufügen von Funktionen zu Malware stellt die Investition in eine Zero-Day-Schwachstelle, sei es durch Kauf oder Entwicklung, einen wiederkehrenden Kostenfaktor dar. Diese Kosten fallen bei jeder Kampagne erneut an und müssen daher durch die Einnahmen aus einem relativ kurzlebigen Angriff gedeckt werden.
Ob die Ausnutzung von Zero-Day-Angriffen zu einer gängigen Praxis wird, hängt von den direkten Erträgen der einzelnen Angriffe ab. Experten schätzen, dass CL0P allein mit dem MOVEit-Angriff 75 bis 100 Mio. US-Dollar verdienen könnte. Schätzungen der tatsächlichen Lösegeldzahlungen sind schwierig, aber es lässt sich davon ausgehen, dass sie zumindest in einigen Fällen die Zero-Day-Kosten mehr als decken.
„Zero-Day-Schwachstellen sind nur begrenzt haltbar. Je häufiger sie ausgenutzt werden, desto höher ist die Wahrscheinlichkeit, dass sie entdeckt und anschließend gepatcht werden.“
Thomas Boele, Check Point Software Technologies
Nach dem MOVEit-Angriff wurde die Ausnutzung von Zero-Day-Schwachstellen für Ransomware-Angriffe fortgesetzt. Bedrohungsakteure, die mit CL0P in Verbindung stehen, wurden dabei beobachtet, wie sie eine Zero-Day-Schwachstelle in der IT-Support-Software SysAid ausnutzten, von der über 5.000 Kunden betroffen sein könnten. Das Unternehmen gab in einer Mitteilung bekannt, dass es am 2. November auf diese neue Schwachstelle (CVE-2023-47246) aufmerksam wurde, doch die ersten Berichte über die Ausnutzung dieser Schwachstelle stammen aus dem Oktober. Neben CL0p nutzen Akira und Lockbit, zwei der im letzten Jahr produktivsten Ransomware-Akteure, eine Zero-Day-Schwachstelle (CVE-2023-20269) in Cisco-Appliances aus. In diesem Fall ermöglichte sie Angreifern, Brute-Force-Angriffe auf bestehende Konten durchzuführen.
Andere finanziell motivierte Gruppen wie DarkCasino haben die WinRAR-Schwachstelle (CVE-2023-38831) ausgenutzt, um Online-Händler zu bestehlen. Der empfohlene Preis für einen WinRAR RCE-Exploit von Zerodium beträgt 80.000 US-Dollar. In einem anderen Fall wurde die Nokoyawa-Ransomware von einem finanziell motivierten Akteur eingesetzt, der eine Zero-Day-Schwachstelle im Windows Common Log File System (CLFS) ausnutzte, um seine Rechte zu erweitern.
Fazit
Der beschriebene Trend zur Ausnutzung kostspieliger Zero-Day-Exploits hängt in erster Linie von wirtschaftlichen Erwägungen ab. Wenn die Bedrohungsakteure davon überzeugt sind, dass die potenziellen Gewinne die Investitionen überwiegen, ist mit einer Zunahme dieser Art von Angriffen zu rechnen. Aus Unternehmenssicht den Erpressungsversuchen nachzugeben, bietet eine kurzfristige Lösung für eine unmittelbare Krise, aber langfristig finanziert dies die Angreifer nur noch mehr. Ein wirksamer Schutz vor Zero-Day-Angriffen stellt eine komplexe Herausforderung dar. Ein Lösungsansatz ist die Implementierung robuster Maßnahmen wie Endpunkt-Anti-Ransomware-Lösungen, DLP-Mechanismen (Data Loss Prevention) und XDR-Produkte (Extended Detection and Response).
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.