Weltweite Ransomware-Welle nur der Anfang
Die weltweite Ransomware-Welle zeigt, dass Cyberkriminelle immer professioneller vorgehen. Die breite Streuung des Angriffs deutet aber auf das Motto „Masse statt Klasse“ hin. Auf eine zweite Welle sollten Unternehmen gut – mit XDR -- vorbereitet sein.
Derzeit hält wieder eine breitgestreute globale Ransomware-Welle die IT-Welt in Atem. Nach Aussagen des deutschen BSI ist auch eine mittlere dreistellige Zahl deutscher Systeme betroffen. Medienberichten zufolge zielen die Angreifer auf Server-Farmen (mit ESXi) und nutzen eine bereits im Februar 2021 gepatchte Schwachstelle aus. Server sind das Herzstück einer jeden IT-Landschaft, und das macht die betroffenen Unternehmen extrem verwundbar. Auch zeigt sich wieder einmal, dass Unternehmen sich mit dem Patchen kritischer Third Party-Systeme schwer tun. Denn anders als bei vielen Microsoft-Lösungen haben die Organisationen das benötigte Expertenwissen oft nicht vor Ort zur Verfügung, sondern kaufen dies als Leistung ein. Viele Dritthersteller stehen, anders als die Redmonter, auch nicht so im Fokus von Angreifern und Öffentlichkeit, so dass es deutlich seltener zu kritischen Sicherheitslücken kommt. Dies birgt die Gefahr, solche Lücken zu unterschätzen.
Was macht diese Lücke so gefährlich?
Mit ESXi trifft es eine Lösung, die als Basis für ganze Rechenzentren dient. Darauf laufen viele hochkritische Systeme, die man nicht einfach mal abstellen kann. Darüber hinaus gibt es möglicherweise Herausforderungen im Zusammenspiel mit den durch den Patch-Prozess implementierten Änderungen. Diese müssen in kritischen Umgebungen engmaschig überwacht und Rollback-Szenarien geplant und bereitgehalten werden -- in vielen Bereichen ein nicht zu unterschätzender Aufwand. Dies alles bedeutet, dass Unternehmen trotz bester Absicht tatsächlich oft gar nicht die Möglichkeit haben, zeitnah zu agieren.
Angreifer wissen um diese Schwierigkeit ihrer potenziellen Opfer und nutzen deshalb häufig Schwachstellen, die nicht auf Microsoft-Technologie beruhen. Tatsächlich sind nur ca. 30% der missbrauchten Lücken auf Software des Technologieriesen angewiesen. Trotzdem steht Microsoft nach wie vor unangefochten auf Platz 1 der angegriffenen Hersteller. Das Vorhandensein nicht gepatchter Softwareschwachstellen, die von Hackern aktiv ausgenutzt werden, ist auch keine Seltenheit. Etwa 86% aller Unternehmen (weltweit) haben laut Untersuchungen von Trend Micro solche Lücken.
Das Problem der „ersten Welle“
Aber noch eine andere Tatsache sorgt für die Fehleinschätzung der Angriffe. Wie im aktuellen Fall greifen Kriminelle opportunistisch nach den aus ihrer Sicht „niedrig hängenden Früchten“. Systeme die einfach erreichbar sind. Es geht um Masse nicht Klasse. Damit sind sie schnell für diverse CERTs sichtbar, und es erfolgt der Medienaufschrei mit entsprechender Warnung. Verwundbare Systeme können für Angreifer und Verteidiger relativ einfach (beispielsweise über die Crawler-Plattform Shodan.io) identifiziert werden. Oder Betroffene kriegen es mit, wenn sie infiziert sind. Diese erste Welle der Angriffe verebbt mit der Minimierung der offenen Angriffsfläche. Es bleibt die „zweite Welle“, nur dass man über diese nicht mehr viel liest. Denn am eigentlichen Problem ändert sich nicht viel. Nur dass es jetzt nicht mehr offen im Internet stehende Systeme trifft und der Fokus der Angreifer nicht mehr auf Masse liegt.
Die zweite Welle
Die meisten Rechenzentren stehen nicht offen zugänglich im Internet, sondern sind durch Firewalls, ID/PS Systeme und ähnliches geschützt. Dadurch wird zwar das potenzielle Infektionsrisiko minimiert, doch man unterschätzt die Schadenshöhe. In der zweiten Welle der Ausnutzung von Sicherheitslücken haben wir es mit ernsthaften Kriminellen zu tun, die Unternehmen direkt und teilweise sogar gezielt angreifen. Die betrachtete Schwachstelle wird dabei nicht als Erstinfektion, sondern als Möglichkeit der „lateralen Bewegung" - der interne Ausbreitung verwendet.
Ein Beispiel ist hier die Schwachstelle „Eternal Blue“ von 2017, die ein Problem im damals schon veralteten SMB V1-Protokoll nutzte und mit der Malware „Wannacry" und deren wurmartigen Verbreitung für Schlagzeilen sorgte. Weil so viele Systeme offenbar betroffen waren, wiegte man sich nach wie vor in Sicherheit, wenn keine eigene Infektion erkennbar war/ist. Das daraus folgende Problem ist, dass diese Uralt-Schwachstelle auch heute noch in Angriffskampagnen effektiv eingesetzt wird. Sicherheitslücken sind meist nicht für sich allein gefährlich, sondern als Teil einer Angriffskampagne. Eine Lücke, über die man ein ganzes Rechenzentrum in kürzester Zeit übernehmen kann, ist dabei natürlich Gold wert. Für Unternehmen, die in der ersten Welle nicht betroffen waren, weil sie durch Firewall und IPS geschützt sind, gibt es dann oft ein böses Erwachen.
Verteidigung - Schutz vor Angriffen auf Lücken
Auch wenn dieser Angriff in seiner Dimension neu ist, das grundlegende Vorgehen ist es nicht. Schwachstellen spielen immer eine Rolle. Die Angreifer sind zu diesem Zeitpunkt bereits an der primären Firewall vorbeigekommen und können nur über die interne Segmentierung gestoppt werden. Hier setzen Unternehmen häufig keine scharfen Defensivmethoden wie IPS ein, sondern abgeschwächte Varianten. Technologisch billig produziertes IPS hat nämlich einen enormen Ressourcenverbrauch und wird damit für die systemkritische interne Kommunikation zur Belastung.
Die hier genutzte Schwachstelle CVE-2021-21974 wurde Ende 2020 von Forschern der Trend Micro Zero Day Initiative (@thezdi) entdeckt und an VMware gemeldet, bevor sie im Februar 2021 in einem gemeinsamen „Responsible Disclosure“ der Öffentlichkeit präsentiert wurde – zusammen mit den Lösungen beider Hersteller.
Sich dagegen zu verteidigen, ist abhängig vom Geldbeutel unterschiedlich komplex. Im Highend-Bereich sind leistungsfähige IPS-Produkte wie z.B. Trend Micro TippingPoint die wichtigste Option. Damit lässt sich ein virtueller Patch anbringen, der die Lücke vollständig abdeckt, ohne den Angriff zu kennen. Der virtuelle Patch arbeitet dabei auf Netzwerkebene um das betroffene System nicht Compliance-relevant zu verändern.
Im Lowend-Bereich erkennen IPS-Systeme Angriffe häufig über so genannte Exploit Filter. Diese werden anhand der Methodik der Angreifer entwickelt und können je nach Varianz der Kriminellen zu mehrfachen Filtern je Schwachstelle führen. Das IPS System wird dadurch ressourcenintensiv und führt, weil die Filter schnell und als direkte Gegenmaßnahme erzeugt werden müssen, zu einer hohen Anzahl von False Positives bei hoher Netzwerkbelastung.
Eine Alternative zu dieser Technik sind hostbasierte Virtual Patching-Lösungen, die weniger ressourcenabhängig sind als ein zentrales Netzwerksystem und dadurch ebenfalls kostengünstiger.. Lösungen von Trend Micro umfassen beispielsweise die SaaS Produktlinie Cloud One Workload, sowie die On Premise Lösungen Deep Security. Bei dieser Schwachstelle muss allerdings fairerweise dazu gesagt werden, dass der Angreifer direkt auf die VMware Architektur abzielt und dort eine Third Party-Installation herstellerseitig nicht zugelassen ist.
Empfehlung
Eine virtuelle Patching-Lösung entbindet Unternehmen nicht von der grundsätzlichen Verpflichtung zur Aktualisierung. Sie ist für den Fall gedacht, dass Patchen „länger dauern“ kann, weil wichtige Ressourcen fehlen oder es aus systemtechnischen Gründen nicht möglich ist.
Auf die meist einfach gebaute „erste Welle" erfolgt die Integration der dabei erarbeiteten Vorgehensweise in das deutlich gefährlichere Lateral Movement als Vorbereitung für eine zweite Welle. Dabei werden zwar seltener viele Unternehmen auf einmal attackiert, dafür aber häufig die Opfer vollumfänglich verschlüsselt.
Deshalb gehört zu einer effektiven Verteidigung heute der Grundbaustein Detection & Response, um die Vorgehensweise und auch Bewegungen der Täter frühzeitig zu erkennen und zu beheben. Deshalb sind unternehmensweites und Sicherheitsebenen-übergreifendes eXtended Detection & Response (XDR) heutzutage eine dringende Empfehlung für alle Arten von Unternehmen.