In einem am 9. Mai 2024 veröffentlichten Bericht decken Cybersicherheitsforscher Details über eine neue Ransomware-Variante namens ‚CACTUS‘ auf. Diese Schadsoftware nutzt bekannte Schwachstellen in VPN-Geräten, um sich zunächst Zugang zu den Netzwerken ihrer Opfer zu verschaffen.
Taktiken zur Infiltration und Verbreitung
Sobald die Angreifer Zugang zum Netzwerk erhalten haben, versuchen sie, lokale und Netzwerkbenutzerkonten sowie erreichbare Endpunkte aufzulisten. Anschließend erstellen sie neue Benutzerkonten und setzen benutzerdefinierte Skripte ein, um die Bereitstellung und Zündung des Ransomware-Verschlüsselers über geplante Aufgaben zu automatisieren.
Die Angriffe nutzen doppelte Erpressungstaktiken, bei denen sensible Daten gestohlen und vor der Verschlüsselung abgezogen werden. Bislang wurde noch keine Daten-Leak-Site identifiziert.
Nach erfolgreicher Ausnutzung von VPN-Schwachstellen installieren die Angreifer eine SSH-Hintertür, um dauerhaften Zugriff zu erhalten. Sie führen dann eine Reihe von PowerShell-Befehlen aus, um das Netzwerk zu scannen und eine Liste von Maschinen für die Verschlüsselung zu erstellen.
Für die Steuerung und Kontrolle werden Cobalt Strike und ein Tunneling-Tool namens Chisel eingesetzt. Darüber hinaus werden Remote-Monitoring- und Management-Software wie AnyDesk verwendet, um Dateien auf die infizierten Hosts zu übertragen.
Weitere Schritte beinhalten das Deaktivieren und Deinstallieren von Sicherheitslösungen sowie die Extraktion von Anmeldeinformationen aus Webbrowsern und dem Local Security Authority Subsystem Service (LSASS) zur Eskalation von Berechtigungen.
Nach der Privilegienerweiterung folgen laterale Bewegung, Datenexfiltration und schließlich die Bereitstellung der Ransomware. Letzteres wird durch ein PowerShell-Skript erreicht, das auch von Black Basta verwendet wurde.
Ein neuartiger Aspekt von CACTUS ist der Einsatz eines Batch-Skripts, um die Ransomware-Binärdatei mit 7-Zip zu extrahieren. Anschließend wird das 7z-Archiv entfernt, bevor die Schadsoftware ausgeführt wird.
Gezielte Opfer und Empfehlungen zum Schutz
CACTUS hat seit März 2024 große kommerzielle Unternehmen ins Visier genommen. Die Angriffe richten sich vorwiegend gegen große Unternehmen.
Sicherheitsexperten empfehlen, dass Unternehmen Schritte unternehmen, um Systeme auf dem neuesten Stand zu halten und das Prinzip der geringsten Berechtigung (Principle of Least Privilege) durchzusetzen.
Laurie Iacono, Associate Managing Director für Cyber-Risiken bei Kroll, erklärte gegenüber The Hacker News: „Diese neue Ransomware-Variante namens CACTUS nutzt eine Schwachstelle in einem beliebten VPN-Gerät und zeigt, dass Bedrohungsakteure weiterhin auf Remote-Zugriffsdienste und ungepatchte Schwachstellen für den ersten Zugriff abzielen.“
Vor kurzem trat auch eine weitere Ransomware namens Rapture in Erscheinung, die Ähnlichkeiten mit anderen Familien wie Paradise aufweist. Trend Micro gab an, dass die gesamte Infektionskette in den meisten Fällen nur drei bis fünf Tage dauert, beginnend mit der ersten Aufklärung, gefolgt von der Bereitstellung von Cobalt Strike, das dann zur Verteilung der .NET-basierten Ransomware verwendet wird.
Die Eindringung wird vermutlich durch anfällige öffentlich zugängliche Websites und Server ermöglicht, was es für Unternehmen unerlässlich macht, Sicherheitsupdates zeitnah durchzuführen und das Prinzip der geringsten Berechtigung zu befolgen.
CACTUS und Rapture sind die jüngsten Ergänzungen zu einer langen Liste neuer Ransomware-Familien, die in den letzten Wochen aufgetaucht sind, darunter Gazprom, BlackBit, UNIZA, Akira und eine NoCry-Ransomware-Variante namens Kadavro Vector.
Vorbeugende Maßnahmen und Bewusstsein bei Unternehmen und Einzelpersonen sind entscheidend, um die Ausbreitung dieser Bedrohungen einzudämmen und ihre Auswirkungen zu minimieren.
Ransomware-Angriffe: Eine wachsende Bedrohung für Unternehmen
In den letzten Jahren haben Ransomware-Angriffe stark zugenommen und stellen eine ernsthafte Gefahr für Unternehmen aller Größen dar. Angreifer nutzen bei diesen Angriffen Schwachstellen in Softwareprodukten und IT-Systemen, um sich Zugang zu Netzwerken zu verschaffen, sensible Daten zu stehlen und Systeme zu verschlüsseln. Im Anschluss erpressen die Angreifer ihre Opfer, indem sie für die Entschlüsselung der Daten ein Lösegeld fordern.
Problematisch ist nicht nur der direkte finanzielle Schaden durch Lösegeldzahlungen, sondern auch die Kosten für Wiederherstellung und Ausfallzeiten von IT-Systemen. Darüber hinaus kann der Verlust sensibler Daten und Imageschäden die Existenz von Unternehmen gefährden.
Moderne Ransomware wie CACTUS setzt auf ausgefeilte Taktiken wie die Ausnutzung von Schwachstellen in VPN-Lösungen für den ersten Zugriff. Anschließend deployen die Angreifer weitere Schadsoftware wie Cobalt Strike für die Steuerung und Kontrolle infizierter Systeme. Zugleich werden Schritte unternommen, um Sicherheitslösungen zu umgehen und sogar über gestohlene Anmeldedaten Berechtigungen zu eskalieren.
Unternehmen müssen dieser Bedrohung mit einer umfassenden Sicherheitsstrategie begegnen, die auf mehreren Ebenen ansetzt:
- Regelmäßige Sicherheitsupdates und Schwachstellenbehebung
- Umsetzung des Prinzips der geringsten Berechtigung
- Überwachung von Netzwerken und Systemen auf Anomalien
- Robuste Backup- und Wiederherstellungsstrategien
- Mitarbeiterschulungen zur Sensibilisierung
Cyberkriminelle sind ständig auf der Suche nach neuen Wegen, um in Unternehmensnetzwerke einzudringen und ihre Ransomware zu verbreiten. Unternehmen müssen dieser anhaltenden Bedrohung mit gezielten Sicherheitsmaßnahmen begegnen und ein hohes Maß an Wachsamkeit wahren.
Ransomware: Eine Bedrohung mit existenziellem Risiko
Ransomware-Angriffe stellen eine der größten Bedrohungen für Unternehmen im digitalen Zeitalter dar. Allein im Jahr 2024 verursachten Ransomware-Angriffe einen geschätzten Schaden von über 20 Milliarden Dollar. Doch die Auswirkungen gehen weit über den finanziellen Aspekt hinaus.
Für viele Unternehmen kann ein erfolgreicher Ransomware-Angriff existenzbedrohend sein. Neben den unmittelbaren Kosten für die Entschlüsselung von Daten und die Wiederherstellung von Systemen können auch der Verlust sensibler Informationen und schwerwiegende Reputationsschäden erhebliche Konsequenzen haben.
Ransomware-Gruppen wie CACTUS, Rapture oder Black Basta agieren mit hoher krimineller Energie und setzen ausgefeilte Taktiken ein. Dazu gehören das Ausnutzen von Schwachstellen, das Umgehen von Sicherheitsvorkehrungen und die laterale Bewegung innerhalb von Netzwerken. Oftmals werden auch Daten gestohlen, um zusätzlichen Druck auf Opfer auszuüben.
Erschwerend kommt hinzu, dass Ransomware-Angriffe im Verborgenen stattfinden und häufig erst bemerkt werden, wenn Systeme bereits verschlüsselt und sensible Daten gestohlen sind. Eine proaktive Verteidigung ist daher unerlässlich.
Unternehmen müssen Sicherheitsmaßnahmen auf mehreren Ebenen umsetzen, um die Risiken zu minimieren. Dazu gehören regelmäßige Sicherheitsupdates, die Umsetzung des Prinzips der geringsten Berechtigung, robuste Backup- und Wiederherstellungsstrategien sowie eine kontinuierliche Überwachung von Netzwerken und Systemen auf verdächtige Aktivitäten.
Zudem ist eine umfassende Sensibilisierung und Schulung der Mitarbeiter unerlässlich. Sie müssen für die Gefahren von Ransomware und Social Engineering sensibilisiert werden, um potenzielle Angriffsvektoren frühzeitig erkennen zu können.
Ransomware-Angriffe bleiben eine ernstzunehmende Bedrohung, der sich Unternehmen mit Wachsamkeit und gezielten Sicherheitsmaßnahmen entgegenstellen müssen. Eine proaktive Verteidigung ist der Schlüssel, um die Risiken zu minimieren und die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen.
Proaktive Sicherheitsmaßnahmen zur Prävention von Ransomware-Angriffen
Angesichts der wachsenden Bedrohung durch Ransomware wie CACTUS, Rapture und andere Varianten ist es für Unternehmen unerlässlich, proaktive Sicherheitsmaßnahmen zu ergreifen, um einen Angriff zu verhindern und sich bestmöglich zu schützen.
Dazu gehören die folgenden Schritte:
- Regelmäßige Sicherheitsupdates und Schwachstellenbehebung: Unternehmen müssen sicherstellen, dass alle Systeme, Software und Geräte regelmäßig auf dem neuesten Stand gehalten werden und vorhandene Sicherheitslücken umgehend geschlossen werden. Dies schließt auch VPN-Lösungen und andere Remote-Zugriffsdienste ein, die oft von Ransomware-Gruppen als Einstiegspunkt genutzt werden.
- Umsetzung des Prinzips der geringsten Berechtigung: Benutzerkonten und Zugriffsrechte sollten strikt auf das erforderliche Minimum beschränkt werden. Dadurch wird es für Angreifer erschwert, im Falle einer Kompromittierung Berechtigungen zu eskalieren und sich lateral im Netzwerk auszubreiten.
- Überwachung von Netzwerken und Systemen auf Anomalien: Unternehmen müssen ihre Netzwerke und Systeme kontinuierlich auf verdächtige Aktivitäten überwachen. Dazu gehören das Monitoring von Netzwerkverkehr, Benutzeraktivitäten und Systemänderungen, um Anomalien frühzeitig zu erkennen und entsprechend zu reagieren.
- Robuste Backup- und Wiederherstellungsstrategien: Regelmäßige Backups von Daten und Systemen sind unerlässlich, um im Falle eines Ransomware-Angriffs eine schnelle Wiederherstellung zu ermöglichen. Dabei sollten Backups sowohl lokal als auch extern gesichert und auf ihre Integrität überprüft werden.
- Mitarbeiterschulungen zur Sensibilisierung: Mitarbeiter sind oft der erste Kontaktpunkt für Ransomware-Angriffe, sei es durch infizierte E-Mail-Anhänge oder Social Engineering. Unternehmen müssen daher kontinuierliche Schulungen und Sensibilisierungskampagnen durchführen, um ihre Mitarbeiter für die Gefahren von Ransomware und Phishing zu sensibilisieren.
- Durchführung von Penetrationstests und Schwachstellenanalysen: Regelmäßige Penetrationstests und Schwachstellenanalysen helfen Unternehmen, potenzielle Schwachstellen in ihren Systemen und Netzwerken zu identifizieren, bevor sie von Angreifern ausgenutzt werden.
- Implementierung von Sicherheitslösungen: Moderne Sicherheitslösungen wie Endpoint-Schutz, Netzwerküberwachung und Threat Intelligence können Unternehmen dabei unterstützen, potenzielle Bedrohungen frühzeitig zu erkennen und abzuwehren.
Ransomware-Angriffe stellen eine kontinuierliche Bedrohung dar, der sich Unternehmen nur durch eine ganzheitliche Sicherheitsstrategie und proaktive Maßnahmen effektiv entgegenstellen können. Nur so können die Risiken minimiert und die Widerstandsfähigkeit gegenüber Cyberangriffen erhöht werden.
Anforderungen an Backup-Strategien zur Abwehr von Ransomware
Eine robuste Backup-Strategie ist ein entscheidender Bestandteil der Verteidigungslinie gegen Ransomware-Angriffe. Sollten Unternehmenssysteme trotz aller Vorsichtsmaßnahmen kompromittiert und Daten verschlüsselt werden, bieten regelmäßige Backups die Möglichkeit, Daten und Systeme schnell wiederherzustellen und den Betrieb fortzusetzen.