Bedrohungsanalyse

    Von innen gekapert: Die Ransomware-Insider-Bedrohung

    Während die automatisierte Sicherheit immer besser wird, gehen Cyberkriminelle zur alten Schule über und rekrutieren Ihre Mitarbeiter, um Ransomware über Ihre Firewall zu starten.

    by Dr. Matthew Canham
    18BLOG_1.jpg

    Wichtige Punkte

    • Cyberkriminelle Gruppen versuchen, Insider für die Verbreitung von Ransomware in den Netzwerken ihrer Arbeitgeber zu gewinnen. 
    • Ein kürzlich erfolgter Versuch, einen Tesla-Mitarbeiter einzustellen, verdeutlicht diesen Trend. 
    • Die Sicherheitsabteilungen können diesem Risiko entgegenwirken, indem sie einen proaktiveren Sicherheitsansatz verfolgen und die Mitarbeiter darüber aufklären, wie sie diese Bedrohungen vermeiden können.     

    Im vergangenen Juni brachte ein großer Ransomware Betreiber eine neue Version seines Ransomware-as-a-Service Angebots auf den Markt, das eine alarmierende Wendung nahm. Sie hatte das Windows-Hintergrundbild auf verschlüsselten Geräten aktualisiert, um ein Angebot anzuzeigen, "Millionen von Dollar zu verdienen", wenn man der Cybercrime-Bande Netzwerkzugang oder andere Insider-Informationen verschafft, die ihr helfen würden, "die wertvollsten Daten eines jeden Unternehmens zu stehlen".[1] Die neuartige "Suchanzeige" forderte die potenziellen Teilnehmer auf, sich über einen verschlüsselten Nachrichtendienst zu melden, um weitere Einzelheiten zu erfahren.

    Dies ist eines der jüngsten öffentlichen Beispiele für einen breiteren Trend in der Entwicklung von Ransomware-Angriffsvektoren in den letzten Jahren. Da sich die automatisierte Sicherheit am Rande von Unternehmensnetzwerken verbessert hat, suchen Cyberkriminelle nach einfacheren Einstiegsmöglichkeiten, z. B. indem sie Mitarbeiter mit privilegiertem Zugang zu den Systemen eines Zielunternehmens zur Teilnahme an ihren Ransomware-Aktionen zwingen. Anfang letzten Jahres bekannte sich Egor Igorevich Kriuchkov eines ähnlichen Plans schuldig: Er bot einem Tesla-Mitarbeiter 1 Million Dollar an, damit er ihm hilft, Ransomware im Computernetzwerk der Batteriefabrik des Unternehmens in Nevada zu installieren.[2]

    Im Fall Tesla stellten die Staatsanwälte fest, dass die rasche Reaktion des betroffenen Unternehmens und die Einschaltung der Strafverfolgungsbehörden den Erpressungsversuch bereits in der Anfangsphase gestoppt und eine umfangreiche Datenexfiltration des Unternehmens verhindert haben.  Der vereitelte Versuch, den Tesla-Insider für eine Ransomware-Verschwörung zu gewinnen, kann für andere Unternehmen lehrreich sein, wie solche Lockangebote in der Regel ablaufen und wie wertvoll aktuelle Cybersecurity-Schulungen ( ) sind, in denen die Mitarbeiter lernen, solche Machenschaften zu erkennen und sich dagegen zu schützen.

    Rekrutierung für den Feind: Eine Geschichte so alt wie die Zeit

    Wenn Ransomware-Betreiber Mitarbeiter dazu auffordern, ihnen Netzwerkzugang zu gewähren, greifen sie auf ähnliche Taktiken zurück, wie sie Geheimdienste seit Jahrhunderten anwenden, um Spione und Doppelagenten anzuwerben. Dieser Prozess, der auch als Rekrutierungszyklus bezeichnet wird, umfasst in der Regel vier Phasen:[3]

    • Identifizierung eines potenziellen Vermögenswerts.
    • Bewertung ihrer Eignung als kooptierter Agent (z. B. Zugang, Motivationen).
    • Entwicklung der Anlage zur Einsatzfähigkeit.
    • Umgang mit der Anlage für die Dauer des Einsatzes.

    Identifizierungsphase

    Der Fall Kriuchkov ist ein gutes Beispiel dafür, wie jede dieser Phasen im Zusammenhang mit der Verbreitung von Ransomware abläuft. Um bei Tesla einzudringen, musste Kriuchkov zunächst einen Mitarbeiter mit Zugang zum Netzwerk der Batteriefabrik finden. Cyberkriminelle verlassen sich in der Regel stark auf Open-Source-Intelligence (OSINT) und durchforsten professionelle Social-Media-Plattformen wie LinkedIn, um Insider mit potenziellem Zugang, Motivation und der Fähigkeit, die von der Ransomware-Bande geforderten Aktionen auszuführen, zu ermitteln. Bei Tesla hatte es Kriuchkov auf einen Mitarbeiter abgesehen, den er über einen gemeinsamen Bekannten kennengelernt hatte.[4]

    Bewertungsphase

    Nachdem er den potenziellen Rekruten identifiziert hatte, ging Kriuchkov zur Bewertungsphase über und reiste nach Reno, um seine Insider-Bekanntschaft persönlich zu treffen. In dieser Phase geht es in der Regel darum, den Zugang, die Fähigkeit und die Bereitschaft der Person zu überprüfen, die für die Bereitstellung der Ransomware erforderlichen Informationen bereitzustellen.

    Diese Phase stützt sich in der Regel stark auf OSINT, um potenzielle Motivatoren für die Begehung der Straftat ausfindig zu machen. Das Akronym MICE (Geld, Ideologie, Ego und Kompromiss) beschreibt ein allgemeines Spektrum von Motivationen für Menschen, die zu Insider-Bedrohungen werden. Für den Straftäter ist es auch wichtig zu wissen, ob die Person technisch in der Lage ist, die Straftat zu begehen. Bei Ransomware kann dies so einfach sein wie das Einstecken eines USB-Laufwerks. Bei einer so niedrigen Schwelle muss der Täter die Fähigkeit des potenziellen Bewerbers, Anweisungen zu befolgen, bewerten.

    In diesem Fall führte Kriuchkov diese Bewertung persönlich durch, aber Bewertungen werden häufig online durchgeführt. Kriuchkov ging im Laufe einiger Wochen mehrmals mit dem Tesla-Mitarbeiter etwas trinken und bewertete insgeheim dessen Eignung als Mitverschwörer. Wenn der Interessent ein guter Kandidat zu sein scheint, gipfelt diese Phase in der Regel im "Pitch": Der Cyberkriminelle enthüllt seine wahren Ziele. Nachdem sich Kriuchkov davon überzeugt hatte, dass der Tesla-Mitarbeiter für seine Zwecke geeignet war, lud er ihn ein, an einem "Sonderprojekt" teilzunehmen, für das er 500.000 Dollar erhalten sollte. 

    Entwicklungsphase

    Wenn der Bewerber das Angebot annimmt, geht die Beziehung in die Entwicklungsphase über. Ziel ist es, den Rekruten zu einer Person zu entwickeln, die in der Lage ist, Malware auf internen Systemen zu installieren.

    In dieser Phase kommt es auch stark auf die Entwicklung handwerklicher Fähigkeiten an, wie z. B. die Verwendung eines Prepaid-Handys und die Erstellung eines Kommunikationsplans. In diesem Fall gab Kriuchkov dem Angestellten ein Prepaid-Handy, wies ihn an, den verschlüsselten Tor-Browser zu verwenden, richtete eine Bitcoin-Brieftasche ein und wies ihn an, das Telefon in den Flugzeugmodus zu versetzen, bis er ein vorher vereinbartes Signal empfängt. Die alte Schule der Spionageabwehr stützte sich oft auf im Voraus festgelegte Signale, wie z. B. ein Kreidezeichen an einem bestimmten Ort. Im Fall von Kriuchkov gab er an, dass er ein scheinbar harmloses Signal über WhatsApp verschickte, um den Mitarbeiter darauf hinzuweisen, dass er sein Prepaid-Handy überprüfen sollte.

    Kriuchkov informierte den Mitarbeiter auch über den operativen Plan der Cyberkriminellen: Er wollte Malware auf die Systeme des Tesla-Werks laden und gleichzeitig einen DDoS-Angriff (Distributed Denial of Service) starten, um die Aufmerksamkeit abzulenken.

    Handhabungsphase

    Das Ziel der letzten Phase - des Umgangs - besteht darin, Erwartungen zu wecken und zu steuern und mögliche Widerstände zu überwinden. Dies ist oft die schwierigste Phase des Engagements, da die Interessen des Cyberkriminellen und des Anwerbers selten perfekt übereinstimmen. In diesem Fall stellte der Tesla-Mitarbeiter fest, dass er das größere Risiko einging, und verlangte, dass seine Auszahlung auf 1 Million Dollar verdoppelt wird. Die Ransomware-Bande stimmte schließlich zu. 

    Helfen Sie Ihren Mitarbeitern, Ihr Unternehmen sicher zu halten 

    Zum Glück für Tesla - und zum Pech für Kriuchkov - hatte der Mitarbeiter mit dem FBI zusammengearbeitet. In diesem Fall hatte Tesla das Glück, dass der Mitarbeiter sich wohl genug fühlte, um zu seinem Sicherheitsbüro zu gehen und den Kontakt zu melden. Kriuchkov wurde verhaftet, kurz nachdem seine Bande zugestimmt hatte, die Zahlung an den Insider zu erhöhen. Jedes Unternehmen mit einer Online-Präsenz ist jedoch ein potenzielles Ziel für von Insidern unterstützte Ransomware, da die Cyberkriminellen aktiv versuchen, ihre Mitarbeiter als potenzielle Komplizen zu rekrutieren. 

    Das Beispiel Tesla veranschaulicht die einzigartigen Schwachstellen, die in jeder Phase des Rekrutierungszyklus bestehen, und die Möglichkeiten für Systemverteidiger, den Prozess zu stören. Je eher ein betroffenes Unternehmen von diesen Versuchen erfährt, desto besser. Zu diesem Zweck können Unternehmen Maßnahmen ergreifen, um ihre Mitarbeiter über diese Bedrohung aufzuklären und sie zu ermutigen, verdächtige Aktivitäten oder Aufforderungsversuche zu melden.

    Im Gegensatz zu Kriuchkov, der seine Zielperson kannte, wenden sich Cyberkriminelle oft an Angestellte unter dem Vorwand, sie für einen neuen Job zu rekrutieren (und nicht, um sie für ein Verbrechen zu rekrutieren). Sich als Headhunter auszugeben, der den Mitarbeiter abwerben will, hat den zusätzlichen Vorteil, dass der Mitarbeiter davon abgehalten wird, die Kommunikation an die Personalabteilung oder die IT-Abteilung zu melden. Es ist von entscheidender Bedeutung, dass Unternehmen ihre Mitarbeiter für solche Betrügereien sensibilisieren und diese Taktiken in ihre Schulungsprogramme zur Cybersicherheit integrieren. Unternehmen können ihren Mitarbeitern auch einen "sicheren Raum" bieten, in dem sie diese Kontakte ohne Angst vor Repressalien melden können. 

    Die Quintessenz

    Ein proaktiver Ansatz ist unerlässlich, um zu verhindern, dass Mitarbeiter zur Teilnahme an Ransomware-Angriffen angeworben werden. Cybersecurity-Teams können mit ihren Mitarbeitern über die Zunahme von Ransomware-Banden sprechen, die Insider um Hilfe bitten. Verantwortliche für Cybersicherheit können auch in Erwägung ziehen, sich mit ihrer Rechtsabteilung über die Möglichkeit zu beraten, "Honigtöpfe" in den sozialen Medien einzurichten: gefälschte Profile, die den Anschein erwecken, dass es sich um legitime Mitarbeiter ihres Unternehmens handelt, die geschaffen wurden, um cyberkriminelle Banden anzulocken und auf frischer Tat zu ertappen. Lesen Sie, wie Lösungen wie Mimecasts Internal Email Protect und Information Security Awareness Training auch dazu beitragen können, die Verbreitung bösartiger Insider-Aktionen zu verhindern.   

     

     

    [1] "LockBit Ransomware Wants to Hire Your Employees," Cybereason Blog

    [2] "Russian pleads guilty to Tesla ransomware plot," BBC.com

    [3] "Wie kann man spionieren, wenn die Welt abgeschaltet ist," Lawfare Blog

    [4] "United States District Court, District of Nevada, Vereinigte Staaten von Amerika, Kläger, gegen Egor Igorevich Kriuchkov," U.S. Department of Justice

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang