Suchen

Ransomware Netwalker: Angreifer nutzen auch legitime Software

| Redakteur: Jürgen Schreier

Eine Sophos-Studie offenbart Details zu Technik und Dramaturgie hinter der Netwalker-Ransomware, die bereits zahlreiche Ziele in den USA, Australien und Europa traf. Im "Werkzeugkasten" der Hacker finden sich auch Programme, die legitim und weit verbreitet sind.

Hacker arbeiten immer rationeller und nutzen zunehmend frei verfügbare Drittanbieterprogramme.
Hacker arbeiten immer rationeller und nutzen zunehmend frei verfügbare Drittanbieterprogramme.
(Bild: gemeinfrei / Unsplash)

Dass Hacker in der heutigen Zeit über eine Reihe von ausgefeilten Methoden und kriminellen Werkzeugen verfügen, ist bekannt. Tatsächlich nutzen die Netwalker-Angreifer aber noch weitaus mehr, als nur ihr kriminelles Handwerkszeug – sie bedienen sich auch legitimer Tools, die zunächst einmal nicht mit Cyberkriminalität in Verbindung stehen.

Die neue Studie „Netwalker Ransomware tools give insight into threat actor“ der SophosLabs offenbart unter anderem eine Sammlung von Drittanbieterprogrammen, mit denen Angriffe unbemerkt ausgeführt werden können. So entdeckten die Forscher einige weithin bekannte Programme wie TeamViewer und andere frei verfügbare Windows-Utilities, die direkt von der Github-Plattform kopiert und dazu missbraucht wurden, Lösegeldforderungen in Unternehmensnetzwerke einzuschleusen.

Die Studie beschreibt detailliert, wie die verschiedenen Tools in den einzelnen Phasen des Angriffs eingesetzt werden und gibt einen einzigartigen Einblick in das Verhalten der Angreifer. Netwalker traf bereits diverse Ziele in den USA, Australien und Westeuropa, erst kürzlich wurde die österreichische Stadt Weiz zum Opfer eines Angriffs.

(Bild: Sophos)

„Lösegeld-Attacken sind heutzutage keine Einzelschüsse wie WannaCry im Jahr 2017. Cyberkriminelle verfügen jetzt über gut etablierte Verfahren und Toolsets, die sie routinemäßig verwenden“, sagt Gabor Szappanos, Senior Director, Threat Research bei den SophosLabs. „Die Angriffe sind in der Regel länger und vielschichtiger, d.h. die Angreifer verbringen Tage oder sogar Wochen in den Zielorganisationen, wobei sie interne Netzwerke sorgfältig kartieren und gleichzeitig Zugangsdaten und andere nützliche Informationen sammeln. Sie verwenden hierfür legitime Werkzeuge von Drittanbietern, um die IT-Sicherheitstools im Unternehmen möglichst zu umgehen.“

Tief in den Werkzeugkasten der Cybergangster geblickt

Bei ihrer Analyse stießen die Sophos-Experten auf interessante Details, die Einblicke in die Arbeit der Netwalker-Schöpfer auch jenseits der reinen Ransomware-Attacke zulassen. So enthüllen sowohl der Fundort der Schadsoftware als auch die von den Angreifern zurückgelassenen, verwendeten Dateien interessante Details über die Methoden, mit denen die Angreifer Netzwerke kompromittieren und die Malware an Arbeitsplatzrechner verteilen.

Auch die Ziele, die die Hacker im Visier haben, offenbaren sich: ihnen geht es nicht um private Opfer, sondern um Unternehmen und größere Organisationen. Programme zur Erfassung von Domänen-Anmeldeinformationen aus einem Unternehmensnetzwerk kombiniert mit Orchestrierungswerkzeugen, die Softwareverteilung über einen Domänencontroller einsetzen, wie sie in Unternehmensnetzwerken üblich, aber bei Privatanwendern selten sind, weisen darauf hin.

„Um so wichtiger ist es“, so Gabor Szappanos, „dass die Verteidigungstools im Unternehmen sowohl die Prozesse als auch die verwendeten Werkzeuge der Angreifer kennen und verstehen, um sich besser auf diese Angriffe vorbereiten und sie bereits erkennen zu können, bevor die eigentliche Lösegeld-Forderung eingeht.“

Cyber-Attacken im Mittelstand nehmen zu

Die Zahl der Cyber-Angriffe ist stark gestiegen. Das bekommen auch immer mehr mittelständische und Familienunternehmen zu spüren. In der aktuellen Studie „Cyber Security im Mittelstand“ geht die Unternehmensberatung Deloitte der Bedrohung auf den Grund. Wissenschaftlich begleitet wurde sie dabei durch die Hochschule Aalen sowie das Aalener Institut für Unternehmensführung (AAUF). Die Untersuchung zeigt, dass die Mehrheit des deutschen Mittelstandes bislang noch nicht ausreichend auf IT-Attacken vorbereit ist.

Attacken werden nicht schnell genug erkannt und es gibt nur in wenigen Unternehmen Notfall-Reaktionspläne. „Einige aktuelle Beispiele von erfolgreichen Cyber-Angriffen auf Unternehmen und andere Organisationen haben gezeigt, dass Unternehmen im Notfall in der Lage sein müssen, alternative IT-Systeme einzusetzen, um den Betrieb aufrechtzuerhalten und Kunden weiter zu bedienen“, so Prof. Dr. Patrick Ulrich vom Aalener Institut für Unternehmensführung (AAUF). Täten sie dies nicht, entstünde ein irreparabler Schaden – sowohl im direkten wirtschaftlichen Sinne als auch für die Reputation des Unternehmens.

In der Studie wurden auch Verteidigungsmöglichkeiten wie z.B. organisatorische Sicherungsmaßnahmen und automatisierte Routinen untersucht. Die befragten Unternehmen sehen jedoch den größten Nachholbedarf im Bereich Aus- und Weiterbildung der eigenen Mitarbeiter. „Verbreitete Cyber-Angriffsvarianten wie CEO-Fraud, Ransomware und Trojaner kommen häufig durch kompromittierte E-Mails ins System. Ein falscher Klick kann genügen, um den Angreifern die Tür zu öffnen“, so Ulrich.

Vollständige Studie

(ID:46669050)