Ransomware ist nach wie vor ein äußerst lukratives kriminelles Unternehmen.
Ransomware-Hackergruppen haben zwischen Januar 2013 und Juli 2019 mindestens 144,35 Millionen Dollar von US-Unternehmen erpresst. Das ist die genaue Zahl, die das FBI kürzlich bekannt gegeben hat. Der wahre Schaden ist mit ziemlicher Sicherheit viel höher, da nur ein Teil der Cyberkriminalität jemals den Strafverfolgungsbehörden gemeldet wird.
Um einen Fuß in die Tür zu bekommen, richten die Ransomware-Anbieter waffenfähige E-Mails an einen bestimmten Mitarbeiter. Sobald sie in ein Netzwerk eingedrungen sind, bewegen sie sich seitlich, um unternehmenskritische Systeme ausfindig zu machen und zu verschlüsseln; anschließend wird ein Lösegeld für einen Entschlüsselungsschlüssel gefordert. In vielen Fällen wird die Phase der seitlichen Bewegung durch die Entführung eines allgegenwärtigen Tools für Netzwerkadministratoren erleichtert: Windows Active Directory, oder AD.
Ich hatte wieder einmal die Gelegenheit, mit Mickey Bresman, Mitbegründer und CEO von Semperis, einem Unternehmen für identitätsgesteuerte Cyber-Resilienz mit Sitz im neuen World Trade Center in Lower Manhattan, über das Yin und Yang in Bezug auf die zentrale Stellung von Active Directory im Herzen von Unternehmensnetzwerken zu sprechen. Wir haben uns auf der RSA 2020 getroffen. Um unser Gespräch zu vertiefen, hören Sie sich den zugehörigen Podcast an. Hier sind die wichtigsten Auszüge.
Anstieg der Ransomware
AD ermöglicht es IT-Mitarbeitern, den Zugriff auf Server und Anwendungen in jedem Windows-basierten Netzwerk zu verwalten. Es wird in 90 Prozent der US-Organisationen verwendet, was Zehntausenden von Unternehmen und Behörden entspricht. Im Frühjahr 2017 verbreiteten sich die Ransomware-Würmer WannaCry und NotPetya rund um den Globus und legten die Active Directory-Systeme von Tausenden von Unternehmen lahm.
Vor allem nach NotPetya haben sich große Unternehmen beeilt, ihre interne Netzwerkverteidigung abzuriegeln. NotPetya verursachte einen Schaden von 10 Milliarden Dollar, so Tom Bossert, ein hochrangiger Beamter des Heimatschutzministeriums zu dieser Zeit.
Also begannen Bedrohungsakteure, sich auf weichere Ziele zu konzentrieren. Sie begannen, Methoden zur Manipulation von AD zu verfeinern, um Ransomware-Kampagnen zu unterstützen und zu fördern. In den Jahren 2018 und 2019 kam es durch Ransomware ausgelöste Geschäftsunterbrechungen nicht in Form von weltweit verbreiteten Würmern wie WannaCry und NotPetya, sondern in Form von unerbittlichen einmaligen Angriffen.
"Im 3. und 4. Quartal 2019 gab es einen großen Aufschwung, nicht nur in den USA, sondern auf der ganzen Welt", sagte Bresman mir. "Ransomware ist immer noch sehr schnell und hart und wird sogar zu einem noch größeren Problem."
Zu den Unternehmen, die jetzt in der Schusslinie stehen, gehören Produktionsbetriebe, Telemarketingunternehmen, Anwaltskanzleien, Krankenhäuser, Städte und Gemeinden, lokale Regierungsbehörden und Schulbezirke - das Fundament der amerikanischen Wirtschaft.
Identitäten manipulieren
Bedrohungsakteure haben es aus dem gleichen Grund auf AD abgesehen, aus dem sich Unternehmen darauf verlassen: AD ist der Dreh- und Angelpunkt für die Authentifizierung und bietet Single Sign-On (SSO) Zugriff auf das gesamte Unternehmensnetzwerk. Ein Angestellter - oder ein Bedrohungsakteur - kann sich einmalig bei Active Directory anmelden und, wenn er über genügend Privilegien verfügt, vollen Zugriff auf alle Unternehmensressourcen erhalten.
Angreifer haben inzwischen zahlreiche Möglichkeiten perfektioniert, AD zu manipulieren und SSO-Anmeldedaten mit privilegiertem Zugriffsstatus in die Hände zu bekommen. Eine beliebte Art von Angriffen dreht sich um das Hacken bekannter Schwachstellen im Authentifizierungsprotokoll Kerboros, das in AD integriert ist. Das Hacken von Kerberos - das oft als "goldenes Ticket" bezeichnet wird - kann es viel einfacher machen, sich seitlich zu bewegen, ohne entdeckt zu werden.
Darüber hinaus werden ständig neue Sicherheitslücken im Zusammenhang mit AD entdeckt. Das gilt natürlich für jede Software. Aber bei AD-Schwachstellen steht meist sehr viel auf dem Spiel. So hat Microsoft am 10. März einen Patch für eine kritische Schwachstelle veröffentlicht, die in LDAP entdeckt wurde, einem anderen Kommunikationsprotokoll, das mit AD verbunden ist. Solange diese Schwachstelle nicht gepatcht ist, kann eine böswillige Partei ihre Privilegien ausweiten und Man-in-the-Middle-Angriffe innerhalb eines Unternehmensnetzwerks durchführen.
Die überwiegende Mehrheit der Ransomware-Angriffe basiert heute auf der Manipulation von Identitäten, die auf einer bestimmten Ebene von AD verwaltet und kontrolliert werden, sagt Bresman.
Exposition angreifen
Semperis wurde 2014 gegründet, um Wiederherstellungsdienste speziell für AD-Systeme anzubieten. Das Unternehmen begann mit dem Angebot, Unternehmen bei der schnellen und effizienten Wiederherstellung eines AD-Systems zu helfen, das plötzlich beschädigt wurde und ausfiel. Vor sechs Jahren war die wahrscheinlichste Ursache dafür ein abtrünniger Mitarbeiter.
Dann kamen die Wellen von Ransomware-Angriffen, die sich AD zunutze machten, um sich zu verbreiten, wobei Erpressung das Ziel war. In der Zwischenzeit wurde die Herausforderung, ein beschädigtes oder missbrauchtes AD-System wiederherzustellen, sehr viel komplexer. Unternehmen vermischten zunehmend Cloud-Ressourcen mit ihrer lokalen IT-Infrastruktur, und mit dem zunehmenden Einsatz von hybriden Netzwerken wurde auch der Versuch, AD zu sperren, immer komplexer.
"Plötzlich finden sich Unternehmen in einer Situation wieder, in der sie mehrere verschiedene Bereiche zu schützen hatten, von denen sich einige in ihrem eigenen Rechenzentrum befanden, viele aber jetzt außerhalb des Rechenzentrums liegen", sagt Bresman. "Alle Unternehmen werden immer digitaler. Das ist nichts Neues ... aber jetzt achten auch die Bösewichte auf genau diese Entwicklung. Je digitaler ein Unternehmen wird, desto anfälliger wird es für potenzielle Angriffe.
AD-Resilienz
Nach dem Start als spezialisierter Wiederherstellungsdienst hat Semperis sein Geschäftsmodell dahingehend geändert, dass es Unternehmen beim Aufbau von AD-Resilienz hilft. Vor kurzem hat das Unternehmen sein Angebot erweitert, die AD-Systeme eines Kunden zu scannen, um AD-bezogene Schwachstellen zu finden und zu flicken - bevor ein Bedrohungsakteur genau das tut.
"Das Beste ist, bereit zu sein, bevor ein Angriff erfolgt", sagt Bresman. "Wir dringen in Ihre Umgebung ein und bereiten Sie vor, indem wir dafür sorgen, dass Sie alles schließen, was geschlossen werden kann."
Natürlich ist es selten praktisch, alles zu sperren. Ein Scan könnte zum Beispiel eine Konfigurationseinstellung aufdecken, die geändert werden sollte, um die Sicherheit zu erhöhen. Dies würde jedoch bestimmte Funktionen einer älteren Geschäftsanwendung abschneiden - und Proteste auslösen.
Aber schon das Bekanntwerden eines bekannten schweren Fehlers ist ein großer Schritt in die richtige Richtung. "Wir können dem Problem besondere Aufmerksamkeit schenken und mit einem Plan zur Schadensbegrenzung beginnen", sagt Bresman. "Wir können auf alles Ungewöhnliche achten, das in dieser Umgebung passieren könnte, und wenn etwas passiert, das nicht geplant war, können wir sofort eine Benachrichtigung herausgeben.
Angesichts der anhaltenden Ransomware-Plage - und der wachsenden Angriffsfläche von Unternehmensnetzwerken - ist es sinnvoll, AD rund um die Uhr zu überwachen und zu testen, um die Sicherheit zu gewährleisten. Eine weit verbreitete Anwendung dieser Praxis würde einen großen Unterschied machen. Ich werde es im Auge behalten.