R4IoT: Neuer Ansatz für Ransomware-Angriffe

Wer denkt, er hätte schon alles an Ransomware gesehen, liegt falsch. Die Vedere Labs von Forescout haben kürzlich einen Bericht veröffentlicht, der beschreibt, wie ein neuer Ransomware-Angriff Geräte im Internet der Dinge (IoT) als Vektor für Eindringlinge ausnutzt. Das Labor sieht darin den nächsten Schritt in der Entwicklung von Ransomware und hat für diesen neuen Ansatz den Namen „Ransomware for IoT“, kurz R4IoT, geprägt. Die Studie beschreibt, wie sich Angreifer mithilfe von IoT-Geräten Zugang zu IT- und OT-Netzwerken verschaffen und sich seitlich durch diese bewegen, um den Betrieb zu stören.

Der vom Labor durchgeführte Proof of Concept zeigt, dass dieses neue Ransomware-Schema zwei Trends ausnutzt: die Verbreitung von IoT-Geräten in Unternehmen und die Konvergenz von IT- und OT-Netzwerken. Zunächst dienen anfällige Geräte wie IP-Kameras oder NAS(Network-Attached Storage)-Instrumente als Zugangspunkt. Anschließend nutzen die Hacker die Konvergenz zwischen IT- und OT-Netzwerken aus, um OT-Geräte quasi als Geiseln zu nehmen. Die Angriffskampagne erweitert sich dadurch um eine weitere Ebene – die Erpressung.

Laut Forescout dies das erste Projekt, in dem ein kompletter Konzeptnachweis für Ransomware-Angriffe mit einer Kombination aus IT, OT und IoT erbracht wird – vom anfänglichen Zugriff mithilfe von IoT-Geräten über laterale Bewegungen in IT-Netzwerken bis hin zu den Auswirkungen auf OT-Systeme. Neben der Verschlüsselung umfasst der Proof of Concept für IT-Geräte auch den Einsatz von Encryption-Mining-Software sowie die Datenexfiltration. Das folgende Video simuliert einen R4IoT-Angriff auf ein Krankenhaus über eine Schwachstelle in der IP-Videokamera.

R4IoT: When Ransomware meets the Internet of Things – Forescout

Der Bericht erklärt nicht nur, wie ein R4IoT-Angriff funktioniert, sondern erläutert auch, wie sich die Wahrscheinlichkeit eines erfolgreichen Angriffs verringern lässt. Außerdem zeigt er drei Aktionslinien auf, um die negativen Auswirkungen eines solchen Vorfalls abzumildern: (1) Identifizieren und sichern durch die Abfrage von Informationen über anfällige IoT- und OT-Ressourcen sowie die Priorisierung ihres Schutzes; (2) Erkennen und Verstehen der kritischen Ransomware-Taktiken, -Techniken und -Verfahren (TTP); und (3) Reagieren und Wiederherstellen durch die Umsetzung aktueller Richtlinien, Kontrollen und Reaktionspläne.

Die Cyberangriffe auf IoT und OT sind Teil einer Entwicklung, die ihren Anfang in kriminellen Handlungen nahm: Hacker verschlüsseln ungefragt fremde Daten und drohen anschließend mit deren Veröffentlichung. In der Regel handelt es sich dabei um vertrauliche Informationen oder Kundendaten. Mittlerweile haben sich daraus nicht nur groß angelegte, schrittweise Erpressungskampagnen, sondern auch ausgeklügelte Tools entwickelt, die als Service (RaaS) verkauft werden. Und die Entwicklung der Ransomware-Landschaft ist noch lange nicht abgeschlossen – denn den Aggressoren bleiben immer noch große ungenutzte Angriffsflächen.

Für Forescout stellt sich R4IoT als innovativ dar, weil es die Ausnutzung von Schwachstellen in IoT- und OT-Umgebungen mit den herkömmlichen Ransomware-Angriffskampagnen kombiniert. Darüber hinaus birgt der neue Angriffstyp ein allumfassendes Potenzial in seiner Auswirkung auf OT-Netzwerke – denn er ist nicht auf eine bestimmte Vorgehensweise oder ein einzelnes Betriebssystem beschränkt, geschweige denn auf besondere Geräte (z. B. in der Industrieautomation). Zudem erfordert die Variante weder Persistenz noch Änderungen der Firmware von Zielgeräten und funktioniert großflächig auf Geräten mit Sicherheitslücken im TCP/IP-Stack.

Laut dem Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2021 sind mehr als 80 Prozent der Hackerangriffe finanziell motiviert. Dabei sind Ransomware-Attacken derzeit die wichtigste Geldquelle für Cyberkriminelle.

Modus operandi

Der Begriff Ransomware ist heute weit verbreitet – mehr als 1.000 Varianten wurden bisher identifiziert. Die Aufgabe, der sich das FBI in diesem Zusammenhang stellen muss, lässt sich mit der, Herausforderung während der Terroranschläge vom 11. September 2001 vergleichen: Um die aktuelle Welle von Cyberangriffen aufzuklären, müssen etwa 100 verschiedene Arten von Ransomware untersucht und Hacker in mehreren Ländern aufgespürt werden.

Jede Ransomware-Gruppe verhält sich dabei etwas anders und verwendet unterschiedliche Tools, Infrastrukturen und Erpressungsmethoden. Die Taktiken und Techniken, die bei den Angriffen eingesetzt werden, sind jedoch sehr ähnlich, erklärt Forescout.

Im Allgemeinen gliedert sich ein Ransomware-Angriff in drei Phasen: Erstzugang, laterale Bewegung und Produktion von Impact. Den unberechtigten Zugang verschaffen sich die Angreifer in der Regel durch die Nutzung lokaler Softwareschwachstellen oder Angriffe auf Basis von Anmeldeinformationen (z. B. Brute Force). Laut Forescout bieten dabei vor allem Sicherheitslücken in Perimeter-Geräten und -Diensten beliebte Zugangspunkte für die Aggressoren, beispielsweise VPNs und Cloud-Anwendungen. Phishing-Methoden mit bösartigem Code sind ebenfalls gängige Invasions-Methoden.

Nach einem erfolgreichen Eindringen stehen Ransomware-Akteuren drei Arten von Tools zur Verfügung: solche, die Schwachstellen identifizieren und ausnutzen (Exploit-/Pen-Testing-Frameworks wie CobaltStrike und Mimikatz), benutzerdefinierte Hacking-Tools (zunehmend weniger beliebt) und Windows-interne Tools, wie RDP, WMIC, net, ping und PowerShell. Diese kommen derzeit am häufigsten zum Einsatz, weil sie bereits verfügbar und schwerer als bösartige Elemente zu identifizieren sind. RDP wurde zum Beispiel bei 90 % der Angriffe im Jahr 2021 verwendet.

Sobald sie die Rechner infiziert haben, können die Angreifer die Dateien verschlüsseln und Informationen abgreifen. In der Regel hinterlassen sie danach eine Textdatei, mit der sie die Opfer auf den Angriff hinweisen und Instruktionen zur Zahlung des Lösegelds geben.

Diese drei Schritte werden normalerweise nicht von ein und derselben Gruppe durchgeführt. Heutzutage ist es üblich, dass ganze Gruppen von Hackern Ransomware-as-a-Service (RaaS) anbieten. Diese entwickeln gemeinsam das Verschlüsselungssystem, geben es an ihre Partner weiter und erhalten schließlich einen Teil des Lösegelds. Auf der anderen Seite verkaufen sogenannte Initial Access Brokers (IABs) gezielt den Zugang zu Netzwerken – meist in Form von gültigen Login-Daten oder Rechnern, die mithilfe von Malware kompromittiert wurden. Andere klandestine Gruppen bieten Hosting-Dienste für die Verbreitung von Schadsoftware sowie Befehls- und Kontrollserver an.