Mit <kes>+ lesen

Armee der Finsternis : Fatale Mischung: Bot-Netze und Ransomware

Über Ransomware-Schadprogramme selbst wird viel geschrieben und gesprochen, doch leider wird darüber häufig die Bedeutung von Bot-Netzen stark unterschätzt – sowohl bei der Verbreitung von Ransomware als auch generell. Das ist gefährlich, mahnt unsere Autorin –besonders nach den Erfahrungen mit Emotet in Deutschland.

Lesezeit 7 Min.

Von Christine Schönig, Hallbergmoos

Lösegelder zu erpressen ist bei Angreifern groß in Mode – heutezutage haben sie nicht nur die doppelte, sondern gleich die dreifache Erpressung als Masche für sich entdeckt: Sie stehlen Daten und drohen mit deren Veröffentlichung sowie dem Verschlüsseln der Systeme, um Lösegeld zu fordern – und erpressen überdies Dritte, die in den Cyber-Angriff involviert oder davon betroffen sind, wie Partner, Kunden oder Patienten. Die durchschnittliche wöchentliche Anzahl von Ransomware-Angriffen stieg in den letzten 12 Monaten weltweit um 93 % – mittlerweile werden jede Woche über 1200 Organisationen das Opfer eines Angriffs.

Doch während alle Welt über Ransomware spricht, wird die Gefahr von Bot-Netzen und ihre Rolle bei Ransomware-Attacken meist unterschätzt, obwohl die weltweit gemachten Erfahrungen mit Emotet lehrreich gewesen sein sollten – zumal mit Dridex bereits ein Anwärter auf dessen große Fußstapfen bereitsteht. Es ist also höchste Zeit, einen genauen Blick auf die Lieferanten in der Infrastruktur krimineller Angreifer zu werfen.

Kriminelles Kollektiv

Einerseits liefern Bot-Netze Ransomware und andere Schadprogramme aus, andererseits richten sie über ihre weiteren Fähigkeiten auch direkt gehörigen Schaden an. Die größte Gefahr eines Bot-Netzes – also eines Verbunds übernommener Computer – liegt in der Modularität seiner Aktivitäten und der damit verbundenen Größe und Flexibilität jedes Angriffs hierüber. Bot-Netze umfassen in der Regel schnell hunderte von Servern und Computern weltweit, deren Leistung zusammengelegt wird, um Angriffe von enormen Ausmaßen starten zu können. So ergeben sich unterschiedliche Möglichkeiten der Ausführung von Malware oder deren großflächiger Verbreitung. Außerdem erweitern sich Bot-Netze selbstständig, weil Bots genutzt werden, um neue Rechner zu infizieren und so weitere Bots zu erstellen.

Bot-Netz-Betreiber verwalten die infizierten Geräte, entwickeln neue Techniken zur Verbreitung, können Malware oder Verfügbarkeitsangriffe (DoS) als Service anbieten oder weitere Dienste für Cyberkriminelle bereitstellen. Aus diesem Grund spielen sie in der Regel eine entscheidende Rolle in der globalen Bedrohungslandschaft, sowohl bei groß angelegten Angriffen, die oft automatisch ablaufen, als auch bei gezielten, manuell gesteuerten Angriffen gegen bestimmte Behörden, Einrichtungen oder Unternehmen. Bot-Netze ähneln somit einem Kollektiv, in dem die befallenen Computer zu ferngesteuerten Handlangern werden – wer Star Trek kennt, darf sich an das Kollektiv der Borg erinnert fühlen.

Malware-Lieferant

Das Bot-Netz fungiert mit seinem hochwertigen, weil lukrativen Geschäftsmodell während der ersten Phase eines Angriffs als Türöffner und verschafft Schadprogrammen einen Zugang – in vielen Fällen über eine PhishingE-Mail-Kampagne oder, wie jüngst vermehrt festgestellt, über sogenannte Supply-Chain-Angriffe. Hinter Letzterem verbirgt sich eine Attacke gegen die Liefer- und Wertschöpfungskette, wobei die legitime Kommunikation mit einer externen Plattform, einem externen Service oder einer Anwendung missbraucht wird.

Bot-Netze existieren häufig als ein modulares Ökosystem, das mehrere Module mit einer breiten Palette von Fähigkeiten verbindet, etwa zum Herunterladen von Schadsoftware, dem Abfangen von E-Mails oder einer selbsttätigen Verbreitung zwischen Rechnern in demselben Netzwerk – alles unter einem (virtuellen) Dach und gespeist durch die Rechenleistung der übernommenen Computer.

Sobald dieses kriminelle Kollektiv also einen Rechner infiziert und in einen Bot verwandelt hat, um ein Einfallstor zu öffnen, wird eine Malware eingeschleust, weshalb Bot-Netze als Lieferanten verstanden werden können. Zu diesem Zweck wird beispielsweise eine PhishingE-Mail an einen Mitarbeiter geschickt, die einen schädlichen Anhang enthält, etwa eine Word-Datei mit verseuchten Makros (Payload). Wird das Dokument heruntergeladen, geöffnet und sind Makros zugelassen, aktivieren diese die Über Ransomware-Schadprogramme selbst wird viel geschrieben und gesprochen, doch leider wird darüber häufig die Bedeutung von Bot-Netzen stark unterschätzt – sowohl bei der Verbreitung von Ransomware als auch generell. Das ist gefährlich, mahnt unsere Autorin – besonders nach den Erfahrungen mit Emotet in Deutschland.
Befehlszeilen der Payload, die unverzüglich ausgeführt werden – dann läuft automatisch ein Programm ab, das die eigentliche Schadsoftware installiert und startet.

Warum vor allem Ransomware verbreitet wird, liegt auf der Hand: Es ist die derzeit einfachste, weil zuverlässigste Methode für Cyberkriminelle, um an Geld zu gelangen. Viele Unternehmen bezahlen das Lösegeld, um schnell wieder auf ihre Dateien zugreifen zu können – obwohl nicht garantiert ist, dass der angebotene Schlüssel wirklich funktioniert.

Man könnte durchaus sagen, dass Ransomware zwar in aller Munde ist, die eigentliche Gefahr jedoch von den Bot-Netzen als Malware-Lieferant ausgeht – eine Gefahr, die äußerst modular aufgestellt einen umfangreichen Schaden entfalten kann. Bot-Netze liefern verteilte Rechenleistung und (zunächst) unverdächtige IT-Infrastruktur, um große Angriffe starten und konsolidieren zu können. Sie sind sozusagen die Ursache, die ausgeführte Schadsoftware nur das Symptom. Darum muss das Problem an der Wurzel gepackt und jeder infizierte Rechner im Netzwerk sofort identifiziert werden!
Noch bevor Bots ihre eigentliche Mission erhalten, sollte man sie isolieren, um die Gefahr einer breiten Infektion im Keim zu ersticken.

Da Ransomware derart stark in Bot-Netze eingebunden wird, blüht auch das Geschäft mit „Ransomware as a Service“ (RaaS): Jeder kann diese Art von Bedrohung in entsprechenden Foren und Läden im Darknet mieten, einschließlich der Infrastruktur, zugesicherter Kompetenz zur Verhandlung mit den Opfern und passenden Erpresser-Websites, auf denen sich gestohlene Informationen veröffentlichen lassen, um im Rahmen einer doppelten oder dreifachen Erpressung den Druck zu erhöhen – das Lösegeld wird danach zwischen den Vertragspartnern aufgeteilt.

Ohne Bot-Netze wäre diese Arbeitsteilung unmöglich, wie berühmte Fälle zeigen: Während der RyukRansomware-Angriffe wurde Emotet als Türöffner und Lieferant verwendet – es infizierte das Netzwerk, schleuste danach Trickbot als multifunktionalen Trojaner ein und dieser wiederrum öffnete das Tor für die Ryuk-Malware, die schließlich Daten verschlüsselte.

Spion und Stromdieb

Neben der Rolle als Lieferant wird oft vergessen, wie Bot-Netze außerdem schaden können: durch das Sammeln von Systeminformationen und sensiblen Daten, die Ausweitung von Privilegien für Angreifer und Seitwärtsbewegungen innerhalb befallener Netzwerke, um möglichst viele weitere Rechner zu infizieren und Dateien zu entdecken.

Da Bots stets auch versuchen, weitere Rechner in das Bot-Netz zu integrieren, um die Rechenleistung für das Kollektiv zu nutzen, führt das „nebenbei“ zu einem selten beachteten Faktor: eine mitunter deutlich erhöhte Stromrechnung, bei der niemand im Unternehmen weiß, worauf der erhöhte Verbrauch zurückzuführen ist. Jeder in einen Bot verwandelte Computer arbeitet zu einem großen Teil für die Angreifer, doch den Strom zahlt der Unternehmer! Das mag erstmal banal klingen, kann sich aber schnell zu einem echten Problem ausweiten, wenn große Server-Anlagen betroffen sind.

Das Ergebnis aus Sicht der Cyberkriminellen ist wiederum ein enormes Potenzial für umfangreiche und kraftvolle Distributed-Denial-of-Service-Attacken (DDoS, s. a. S. 50) und weitreichende Spam-Kampagnen – man kann sich leicht vorstellen, wie viele Spam-E-Mails sich mithilfe eines weitverzweigten Bot-Netzes gleichzeitig verschicken lassen. DDoS-Attacken bestehen auf der anderen Seite meist aus sehr vielen Anfragen unterschiedlicher Rechner an einen Server in sehr kurzer Zeit, was diesen überlasten soll, um am Ende einen Ausfall zu provozieren – ebenfalls ein gern eingeschlagener Weg, um Unternehmen zu erpressen, denn die Attacke lässt sich beliebig oft wiederholen.

Es bleibt festzuhalten, dass Bot-Netze die Durchführung von verschiedenen Cyber-Angriffen enorm erleichtern. So erfordern komplexe Bankentrojaner-Operationen ohne ähnliche Infrastruktur oft zusätzliche Schritte für verdeckte Geldtransfers. Bezüglich der internen Kommunikationsstruktur können die Mitglieder von Bot-Netzen von ihrem Command-and-Control-(C&C)-Server nicht nur in ihrer Aktivität überwacht werden, sondern jederzeit neue Befehle empfangen. Darunter fällt das Nachladen neuer Schadsoftware, deren Ausführung sowie die allgemeine Aktualisierung eines Bots. Außerdem eignet sich ein Bot-Netz natürlich hervorragend zur Spionage, weil sich über die infizierten Rechner je nach Auftrag sehr viele Informationen aus unterschiedlichen Firmen stehlen lassen.

Fazit

Bot-Netze liefern eine hervorragende IT-Infrastruktur für die Cyberkriminelle, um Angriffe einfacher oder in hoher Skalierung überhaupt erst durchführen zu können. Dies begründet ihr rasantes Wachstum und ihre große Beliebtheit in kriminellen Kreisen.

Es reicht daher nicht, sich nur gegen Ransomware und andere Schadprogramme zu schützen, denn das sind letztlich nur Symptome. Die Wurzel vielen Übels sind Bot-Netze, die erst die Hintertür für Schadprogramme öffnen oder die Infrastruktur für weitere Angriffe bereitstellen. Vielmehr sind daher in der Breite folgende Schutzmechanismen zu ergreifen:

  • Fachkräfte müssen in der Lage sein, die Kommunikation zwischen einem infizierten Rechner und dem Command-and-Control-Server eines Bot-Netzes zu erkennen, um sie umgehend zu unterbinden.
  • Sämtliche Software im Unternehmen muss stets auf dem aktuellen Stand sein, um so wenig Sicherheitslücken wie möglich aufzuweisen.
  • Sämtliche – besonders mobile – Geräte müssen von einem Endgeräte-Schutz abgeschirmt werden.
  • Und am wichtigsten: Das eigene Netzwerk sollte mithilfe einer Mikro-Segmentierung strategisch in verschiedene Bereiche unterteilt werden, die isoliert sind und an deren Grenzen der Netzwerkverkehr vollständig überwacht wird, sodass Schädlinge jeder Art auf einen Bereich beschränkt bleiben.

Es bedarf letztlich also einer umfassend wirkenden IT-Sicherheits-Architektur, um nicht nur einzelne Angriffsarten, wie Ransomware, zu blockieren oder deren Schäden zu begrenzen, sondern die Verbreitung von Malware und Angriffen aller Art eindämmen zu können.

Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO bei der Check Point Software Technologies GmbH.

Diesen Beitrag teilen: