34: Ransomware à la Emotet: Gefahren, Schutz und Krisenmanagement

Geschrieben von Frank Stiegler am .

LB34: Ransomware à la Emotet: Gefahren, Schutz, Krisenmanagement (mit Manuel “HonkHase” Atug)

Frank und Manuel "HonkHase" Atug (HiSolutions AG) beleuchten in dieser Folge Ransomware am Beispiel Emotet: Was ist und wie funktioniert Ransomware, was sind die Gefahren von Ransomware-Angriffen, wie schützt man sich davor und wie kann man sich auf den Krisenfall vorbereiten?

Diese Folge ist ein Beitrag zum European Cyber Security Month des BSI.

Bisherige Legal Bits-Folgen mit HonkHase:

Letztjährige Legal Bits-Folge zum ECSM:

00:38  Einleitung ins Thema, Vorstellung HonkHase

Themen dieser Folge:

  • Was ist Ransomware?
  • Wie funktioniert ein Angriff der Ransomware "Emotet" normalerweise?
  • Welche Gefahren birgt ein Ransomware-Angriff?
  • Wie kann man sich auf solche Angriffe vorbereiten?
  • Wie kann man sich vor solchen Angriffen schützen?

06:00 Was ist Ransomware?

Die Bedeutung des englischen Wortes "ransom" bildet recht klar ab, worum es bei Ransomware-Angriffen geht: um die Erpressung von Lösegeld als Gegenleistung zur Rückgabe der bzw. von Daten des erpressten Unternehmens.

08:42 Wie läuft ein Emotet-Angriff normalerweise ab?

Besonders wichtig für das Verständnis von Emotet ist, dass es sich dabei nicht nur um ein Stück Software handelt, sondern Emotet mittlerweile modular aufgebaut ist.

  1. 09:05: (Spear) Phishing, Sicherheitslücken
    HonkHase beschreibt u. a. die Entwicklung der Verbreitung von Emotet von Massenversand bis zu gezielten Angriffen und die üblichen Verbreitungswege, von Dateianhängen in E-Mails über Office-Makroviren bis zur seit Dezember 2019 bekannten Citrix-Sicherheitslücke. Außerdem sprechen wir über die Verwendung von Backdoors als Alternative und darüber, warum Emotet sich trotz Antiviren-Software installieren kann.
  2. 16:00: Emotet als Dropper: modularer Aufbau
    Die Software "Emotet" lädt nach der initialen Installation Software nach und nutzt außerdem u. a. ein Modul "Outlook Harvesting", mit dem kürzliche E-Mail-Inhalte an die Erpresser geschickt werden, mit denen Angriffe zielgerichteter möglich sind.
  3. 19:45 Malware nachladen, z. B. Trickbot
    Bei Trickbot handelt es sich um eine weitere Schadsoftware, die von Emotet nachgeladen werden kann. Mit Trickbot lassen sich allerlei Sicherheitsmechanismen aushebeln und auch/sogar Logindaten von Linux-Systemen abgreifen. Die hier oft angetroffene Privilegieneskalation und sonstigen Mechanismen ebnen der Ransomware den Weg zum eigentlichen Angriff und schicken dem Server der Erpressergruppe Informationen für den folgenden Schritt.
    HonkHase beschreibt hier auch den EternalBlue-Exploit, den die CIA (Anm.: Hier stand ursprünglich "NSA", und Honkhase hat das auch im Podcast gesagt; das war nicht korrekt) im Vault7-Abgriff  im Jahr 2017 "verloren" hat, der in diesem Rahmen veröffentlicht wurde und der seitdem auch von Ransomware-Herstellern aktiv genutzt wird.
  4. 29:55 Netzwerk auskundschaften (manuell)
    In diesem Schritt kundschaftet die Erpresserorganisation das infiltrierte Netzwerk aus und taxiert den Wert der zugänglichen Daten um abzuwägen, ob sich ein Angriff lohnt und wie viel Lösegeld realistisch erpressbar ist.
  5. 30:52 Daten werden abgezogen.
    Die Erpressorganisation kopiert wichtige Daten des zu erpressenden Unternehmens, um nach erfolgreicher Attacke ein weiteres Druckmittel zu haben. Hiervon können praktisch alle Datenkategorien betroffen sein, die im infiltrierten System zugänglich sind, von beliebigen personenbezogenen Daten über Geschäftsgeheimnisse bis zu kompletten Systembackups.
  6. 33:10 Existente Backups unbrauchbar machen
    Hiermit sorgt die Ransomware dafür, dass das zu erpressende Unternehmen nach der Verschlüsselung keine Kopien der Daten mehr hat. Auch hierdurch wird die Zahlungsbereitschaft des Unternehmens regelmäßig erhöht.
  7. 34:42 Daten werden verschlüsselt.
    Dieser Schritt ist der erste offensichtliche Schritt des Angriffes. Hierbei werden tatsächlich "die Daten" (oft sämtlich Daten in einem System/Netzwerk) komplett verschlüsselt und so dem Zugriff des zu erpressenden Unternehmens entzogen. Die hierfür im Emotet-Kontext regelmäßig eingesetzte Software ist "Ryuk".
  8. 36:00 Erpressungsschreiben
    In diesem finalen Schritt wird das erpresste Unternehmen darüber hinformiert, dass seine Daten verschlüsselt wurden, und es wird Lösegeld im Gegenzug zur "Rückgabe" (Entschlüsselung) gefordert, in aller Regel in Form von Bitcoin.

37:40 Welche Auswirkungen hat eine Ransomware-Attacke und warum ist sie gefährlich?

Im besten Fall sind "nur" wichtige Daten "weg", im schlimmsten Fall ist das betroffene Unternehmen komplett lahmgelegt, von stillgelegter Produktion bis zu exponierten Geheimnissen bis zu Verstößen gegen Vertragspflichten und/oder Gesetze beliebiger Art.

Beispiele möglicher rechtlicher Konsequenzen von Ransomware-Angriffen:

  • Verzug des Unternehmens bei Liefer-/Leistungspflichten, ggf. verbunden mit Pflicht zur Zahlung von Vertragsstrafe
  • Verzögerte Rechnungsstellung, oft drohendes Liquiditätsproblem
  • potenziell Offenbarung fremder Privatgeheimnisse (§ 203 StGB)
  • Verlust von Geschäftsgeheimnissen
  • Bruch der Vertraulichkeit gegenüber Vertragspartnern (Verletzung von NDAs, auch ggf. Vertragsstrafe)
  • Meldepflicht Datenschutzverletzung gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO und Pflicht zur Benachrichtigung der Betroffenen nach Art. 34 DSGVO
  • Analog zur DSGVO: §§ 109, 109a TKG für personenbezogene Daten bei bei Telekommunikationsdienstleistern
  • Meldung von Sicherheitsvorfällen bei Kritischen Infrastrukturen ans BSI nach §§ 8b, 8c BSIG
  • Meldung schwerwiegender Betriebs- oder Sicherheitsausfälle an die BaFin nach § 54 ZAG
  • unverzügliche Unterrichtung des Betriebsrates nach § 80 BetrVG
  • Je nach Einzelfall eine Vielzahl weiterer Behörden/Stellen, mit dem man sich abstimmen muss, z. B. Landes- oder Bundeskriminalamt, ZAC (Zentral- und Ansprechstelle Cybercrime), Staatsanwaltschaft und/oder BSI MIRT.

BSI für Bürger: "Aktuelle Information zur Schadsoftware Emotet"

Stiftung Neue Verantwortung: Übersicht "Akteure und Zuständigkeiten in der deutschen Cybersicherheitspolitik"

Wir sprechen außerdem über die aktuellen Vorhaben der USA, im Rahmen von Ransomware erpressten Unternehmen gesetzlich zu verbieten, Lösegeld zu zahlen (Quelle hier: heise-Artikel vom 02.10.2020: "Ransomware: Wer in den USA Lösegeld zahlt, könnte selbst im Knast landen").

53:45 Wie hat sich Emotet bzw. der Umgang/Einsatz von Emotet in den letzten Jahren verändert?

Technische Entwicklungsstufen von Emotet von Juni 2014 bis  April 2020

Beispiele erfolgreicher Ransomware-Angriffe nur aus Deutschland (!) zwischen 2018 und 2020

HonkHase führt zum Schluss aus, wie sich die Tätergruppen entwickelt haben. Seine Quintessenz: Die Tätergruppen, die der Organisierten Kriminalität (OK) zuzuordnen sind, sichert nun Service Levels und betreut erpresste Unternehmen so weit, dass sie nicht nur den aktuellen Vorfall vollständig mit den Unternehmen durchlaufen, sondern sie beraten die von ihnen selbst erpressten Unternehmen sogar proaktiv, dass weitere Schwachstellen bei den Unternehmen nicht von anderen Tätern ausgenutzt werden können.

66:45 Wie können sich Unternehmen auf Ransomware-Angriffe vorbereiten und sich davor schützen?

"Wenn man sich nicht vor Angriffen schützt, ist die Frage nicht, ob man angegriffen wird, sondern wann man es erkennt und wie man damit umgehen kann."
Manuel "Honkhase" Atug

Es geht in Bezug auf die Vorbereitung auf einschlägige Fälle darum, "vor die Lage" zu kommen und sich nicht von ihr treiben zu lassen.

Sieben Schritte zur Vorbereitung

  1. 67:55 Person definieren, die durch die Krise führt
    Es muss den einen Krisenmanager geben, der den Hut aufhat, der intrinsisch motiviert ist und der mit einem “Blaulicht-Gen” ausgestattet wurde. Dieser Manager stellt auch den Krisenstab zusammen, der in jedem Unternehmen sehr unterschiedlich aussehen kann. Das Krisenmanagement-Team sollte/kann dann je nach Größe, Tätigkeit und Aufbau des Unternehmens aus weiteren Personen bestehen, z. B. CISO (Chief Information Security Officer), IT-Leiter, DSB (Datenschutzbeauftrage(r)), Rechtsabteilung, Personalabteilung, Compliance-Beauftragte(r) und Presseabteilung.
  2. 69:35 Wo trifft sich das Team?
  3. 71:30 Wie kommuniziert das Team?
    Die Frage ist einerseits, wie das Team miteinander kommuniziert, vor allem dann, wenn auch die Kommunikationsgeräte wegen des Vorfalls nicht mehr funktionieren, andererseits, wie man die Krise sowohl nach innen (in Richtung Mitarbeiter) wie nach außen (gegenüber der Öffentlichkeit) kommuniziert. Wir besprechen hier die "3-R-Regel":
    regret, react, reinform
  4. 73:28 Was mache ich im Krisenfall?
    Ein Verhaltenscodex ist essenziell für offenen und ehrlichen Umgang im Team. Wir sprechen auch über den Zyklus von Abwechslung zwischen Besprechung im Krisenstab und tatsächlicher Umsetzung von Maßnahmen zur Behandlung des Vorfalls.
  5. 76:15 Dokumentierung der Maßnahmen der Krisenbehandlung
  6. 77:53 Köpfe kennen in der Krise
  7. 79:38 Cyber-Versicherung (optional zusätzlich, niemals als Ersatz)
    Wir sprechen auch über Zusatzleistungen mancher Cyber-Versicherungen in Bezug auf Incident Response Teams, die betroffenen Unternehmen ebenfalls bei der Krisenbewältigung helfen können.

83:34 Tatsächlichen Schutz vor Ransomware-Angriffen gibt "Schritt 0", die Basisabsicherung

  • 84:34 Asset Management
  • 85:10 Sicherheits-Updates einspielen
  • 85:45 Netzwerke segmentieren 
  • 86:26 Firewall-Regeln aufräumen
  • 89:00 Zugriffsrechte aufräumen
    Hinweis zu komplexen Active Directory-Infrastrukturen von HonkHase: 3-Tier-Modell von Microsoft
  • 91:15 Absicherung von Nutzerkonten über Multi-Factor Authentication
  • 93:07 Backups, auch offline und mit Restore-Tests
  • 95:35 Ernstfall üben

Zum Schluss besprechen wir, welchen Schutz bzw. welche Rolle Schulungen von Mitarbeiter:innen spielen (können). Hierzu auch folgender Link:

Vortrag "Hirne hacken" von Linus Neumann vom 29.12.2019 auf dem 36C3

99:05 Fazit

Feedback und Wünsche gern per E-Mail an podcast@stiegler-legal.com oder twittern an @legal_bits, @HonkHase oder @ra_stiegler!

Die Einsprecher kommen wie immer von Sarah Nakic aus Brühl bei Köln.

© Stiegler Legal