Ransomware

Microsoft übersieht Ransomware-Angriffe

Microsoft – ein Spielplatz für Bedrohungsakteure. Eine Blogartikel-Reihe.

Dieser Artikel gehört zu einer laufenden Reihe an Blogartikeln über verschiedene Arten personenzentrierter E-Mail-Angriffe, die Microsoft übersieht. Jedes Jahr sind diese Angriffe für Verluste in Millionenhöhe bei Unternehmen verantwortlich. Wegen der leicht umgehbaren Erkennungstechnologien und den Beschränkungen von Microsofts E-Mail-Sicherheitssystem sorgen sie bei Sicherheitsteams und Anwendern für Unzufriedenheit.

In dieser Reihe erfahren Sie mehr über die verschiedenen Angriffsarten, die Microsoft übersieht. Auf die folgenden Bedrohungen gehen wir näher ein und nennen Beispiele dazu:

Am Ende dieses Artikels können Sie unseren Blog abonnieren, sodass Sie über diese übersehenen Angriffe, die Folgen für Ihr Unternehmen haben können, stets bestens informiert sind. Mit unserer Bedrohungsbewertung erhalten Sie zudem ein besseres Verständnis über das Risiko für Ihr Unternehmen.

Von Microsoft übersehene Ransomware-Angriffe

Die Zahl der Ransomware-Angriffe ist im letzten Jahr dramatisch gestiegen. Dem Proofpoint-Bericht zum Faktor Mensch 2021 und Zahlen der US-Regierung zufolge stieg die Zahl der Ransomware-Angriffe im Jahr 2020 um 300 %. Eine Untersuchung des Ponemon Institute hat gezeigt, dass diese Angriffe immer kostspieliger werden: Die Kosten durch Ransomware für ein durchschnittliches Unternehmen mit 10.000 Angestellten belaufen sich im Jahr auf beinahe 6 Millionen US-Dollar.

Ransomware-Angreifer setzen bereits seit Jahren verstärkt auf E-Mails, um Erstzugriff auf Systeme zu erlangen. Vor Kurzem sind die Akteure zur „Big Game Hunting“-Strategie gewechselt, bei der sie so viele Systeme und Daten wie möglich verschlüsseln bzw. stehlen, um bei den Lösegeldverhandlungen mehr Druck ausüben zu können. Die Ransomware selbst wird üblicherweise nach der Installation von Malware mit Downloader-Funktion oder einem Diebstahl von Anmeldedaten (über mehrere Wege) als zweite oder dritte Payload übertragen. Mehrere besonders aktive Bedrohungsakteure sind zu Erstzugriffsvermittlern geworden. Sie selbst sind aus der Verbreitung von Bank-Trojanern ausgestiegen. In der Regel eskalieren diese Gruppen die Rechte bis zur Administratorebene und sorgen für eine umfassende Kompromittierung der Umgebung, bevor sie einen koordinierten Angriff mit ihrer eigenen Ransomware oder einem von zahlreichen RaaS-Tools (Ransomware-as-a-Service) starten.

Laut einer Untersuchung der Unit 42 von Palo Alto Networks ist E-Mail weiterhin der wichtigste Angriffsvektor für Ransomware und in 75 % der Fälle Auslöser für Angriffe. Viele Angriffe bestehen heute aus mehrstufigen Kampagnen, bei denen Malware zunächst eingesetzt wird, um Systeme mit Ransomware zu infizieren.

Grafik von Palo Alto Networks, die Auslöser von Ransomware-Angriffen zeigt – E-Mail für 75 % verantwortlich

Abb. 1: Eine Untersuchung der Unit 42 von Palo Alto Networks zeigt, dass E-Mails Auslöser für mehr als 75 % der Ransomware-Angriffe sind

In Analysen der Daten aus unseren E-Mail-Sicherheitslösungen erkannte Proofpoint im letzten Jahr über 48 Millionen Malware-Varianten, mit denen Ransomware-Angriffe hätten ausgelöst werden können. (Die entsprechenden Daten präsentieren wir im Bericht zum Faktor Mensch 2021.) In einer kleinen Reihe von Bedrohungsbewertungen im letzten Monat übersah Microsoft über 850 Nachrichten mit bestätigter Ransomware der ersten Stufe und beinahe 8.000 Nachrichten mit potenziellen Ransomware-Bedrohungen.

Diese übersehenen Angriffe sind für Sicherheitsverantwortliche äußerst gefährlich, aber sehr wertvoll für die Akteure – ein einziger Downloader kann schnell zur Kompromittierung eines ganzen Unternehmens führen. Mit einer durchschnittlichen Mitarbeiter-Klickrate von 11 % ermöglicht Microsoft den Angreifern, Code auf mehreren Systemen in einer typischen Unternehmensumgebung auszuführen. Da die Bedrohungsakteure sehr geschickt darin sind, schädliche Makros und dateilose Malware für ihre Zwecke zu nutzen, entsteht dadurch ein erheblicher Druck auf die Endpunkterkennung, die den durch E-Mails entstandenen Zutritt der Angreifer nicht nur aufspüren, sondern auch darauf reagieren muss.

Bei einem Gesundheitsdienstleister mit 4.000 Angestellten übersah Microsoft über 1.800 Nachrichten mit potenziellen Ransomware-Bedrohungen, die bei einer üblichen Klickrate zu mehreren Dutzend Kompromittierungen führen würde. In einer Hochschuleinrichtung mit 10.000 Angestellten gab es über 850 Nachrichten mit bestätigter Ransomware der ersten Stufe und beinahe 1.800 Nachrichten mit potenziellen Ransomware-Bedrohungen, die von Microsoft übersehen wurden. Außerdem entgingen Microsoft bei einem Hersteller mit 24.000 Angestellten 750 Nachrichten mit potenziellen Ransomware-Bedrohungen.

Im Folgenden sehen Sie ein Beispiel der Ransomware-Angriffstypen, die Microsoft übersehen hat und die in kürzlich durchgeführten Proofpoint-Bedrohungsbewertungen entdeckt wurden.

Angriff mit der Malware Qbot über Excel-Dokument:

  • Umgebung: Microsoft 365
  • Bedrohungskategorie: Anhang-basierte Bedrohung
  • Angriffstyp: Keylogger als Erstzugriffsvermittler für Ransomware
  • Ziel: Gemeinsam genutztes Postfach

Angriff mit Qbot über Excel-Dokument

Abb. 2: Angriff mit QBot über Excel-Dokument

Der Ablauf des Angriffs:

Zur Umgehung der Schutzmaßnahmen wurden bei diesem Angriff einige Verschleierungstechniken wie Nachahmung, Dateiverschleierung und Sandbox-Umgehungstechniken verwendet.

  • Die E-Mail erweckt den Eindruck, als käme sie von einem Geschäftspartner, zu dem das Opfer regelmäßigen Kontakt hat. Trotz der offensichtlichen Diskrepanz zwischen dem Anzeigenamen und der Absenderadresse hat Microsoft Spoofintelligenz diese Bedrohung nicht erkannt.
  • Die Dateiverschleierungstaktik beinhaltete ein Excel-Dokument in einer angehängten ZIP-Datei, das mit Hilfe von Makros die Malware Qbot herunterlädt und ausführt – dies wurde von Microsoft übersehen.
  • Auch die von den Schaddaten eingesetzten Sandbox-Umgehungstaktiken übersah Microsoft.

Es gibt weitere Beispiele für von Microsoft übersehene Ransomware-Angriffe, bei denen Social-Engineering-Taktiken die Anwender zum Klicken verleiten sollten.

Angriff mit Remote-Zugriffs-Trojaner Bandook über PDF-Dokument:

  • Umgebung: Microsoft 365
  • Bedrohungskategorie: Anhang-basierte Bedrohung
  • Angriffstyp: Malware als Erstzugriffsvermittler für Ransomware
  • Ziel: Kundendienst-Techniker

Angriff mit Remote-Zugriffs-Trojaner Bandook über PDF-Dokument

Abb. 3: Angriff mit Remote-Zugriffs-Trojaner Bandook über PDF-Dokument

Der Ablauf des Angriffs:

Zur Umgehung der Schutzmaßnahmen wurden bei diesem Angriff Verschleierungstechniken wie Nachahmung, Social Engineering, URL-Verschleierung sowie Sandbox-Umgehungstechniken eingesetzt.

  • Die E-Mail erweckt den Eindruck, als käme sie von einem Geschäftspartner, zu dem das Opfer regelmäßigen Kontakt hat. Zudem wurde die Betreffzeile an die Region angepasst. Microsoft Spoofintelligenz bietet keinen Schutz vor diesen Bedrohungstypen, da die E-Mail von einem kompromittierten Konto des Geschäftspartners des Opfers stammt.
  • Der Anhang selbst ist harmlos, enthielt jedoch eine eingebettete URL.
  • Die von Microsoft übersehene URL-Verschleierungstaktik führte zu einer URL mit einer kennwortgeschützten und komprimierten ausführbaren Datei, die den Remote-Zugriffs-Trojaner Bandook überträgt.
  • Auch die von den Schaddaten eingesetzten Sandbox-Umgehungstaktiken übersah Microsoft.

Dieser Angriffstyp ist sehr gefährlich, da er auf einen einzelnen Anwender zugeschnitten ist und nur von ihm empfangen wird. Bei Angriffen auf gemeinsam genutzte Postfächer ist dagegen die Wahrscheinlichkeit höher, dass Anwender auf sie hereinfallen.

Angriff mit der Malware The Trick über Excel-Dokument:

  • Umgebung: Microsoft 365
  • Bedrohungskategorie: Anhang-basierte Bedrohung
  • Angriffstyp: Malware als Erstzugriffsvermittler für Ransomware
  • Ziel: Öffentliche Mailingliste

Angriff mit der Malware The Trick über Excel-Dokument

Abb. 4: Angriff mit der Malware The Trick über Excel-Dokument

Der Ablauf des Angriffs:

Zur Umgehung der Schutzmaßnahmen wurden bei diesem Angriff einige Verschleierungstechniken genutzt, die das Bestehen von Reputations- sowie SPF- und DKIM-Prüfungen ermöglichten. Auch Dateiverschleierungs- und Sandbox-Umgehungstaktiken kamen dabei zum Einsatz.

  • Die E-Mail stammte von einem kompromittierten Konto. Sie bestand daher die SPF- und DKIM-Prüfungen, sodass sie von Anwendern eher als legitim wahrgenommen wurde. Die reputationsbasierten Scans von Microsoft erkennen nur bekannte Bedrohungen. Da die E-Mail an eine Mailingliste verschickt wurde, bestand eine höhere Wahrscheinlichkeit, dass Anwender auf sie klicken.
  • Microsoft übersah die Dateiverschleierungstaktik, die im Excel-Dokument versteckt war, das mittels Excel 4.0-Makros (ein dreißig Jahre altes Dokumentenformat, das von Microsoft immer noch unterstützt wird und problemlos als Vehikel für Malware genutzt werden kann) die Malware The Trick herunterlädt.
  • Auch die von den Schaddaten eingesetzten Sandbox-Umgehungstaktiken übersah Microsoft.

Durch den Einsatz einer E-Mail-Sicherheitslösung, die nur „ausreichend“ ist, erhöht sich die Wahrscheinlichkeit, dass Ransomware-Angriffe zu Ihrem Netzwerk durchdringen.

So stoppt Proofpoint Ransomware-Angriffe

Wichtig ist die Tatsache, dass Proofpoint die oben gezeigten Nachrichten als schädlich erkannt und deren Zustellung blockiert hätte.

Proofpoint ist der einzige Anbieter, der eine umfassende integrierte Lösung zur Abwehr von Ransomware bietet. Wir verwenden mehrschichtige Erkennungstechniken zur Abwehr der sich permanent weiterentwickelnden Bedrohungen. Bekannte schädliche Dokumente werden automatisch blockiert, während unbekannte Anhänge Sandbox-Analysen unterzogen werden. Auf diese Weise werden Umgehungsversuche wie kennwortgeschützte Dokumente, Anhänge mit eingebetteten URLs und ZIP-Dateien abgewehrt.

Die Machine Learning-Komponenten für den URL- und Anhangschutz werden mit einer beispiellosen Menge an Daten trainiert, die auf der ganzen Welt und von unseren Bereitstellungen erfasst werden. Unsere Lösungen schützen den Bedrohungsvektor Nr. 1 in mehr Unternehmen der Fortune 100, Fortune 1000 und Global 2000 als jeder andere Anbieter.

Proofpoint Attachment Defense im Vergleich zur Microsoft-Funktion Sichere Anlage

Abb. 5: Proofpoint Attachment Defense im Vergleich zur Microsoft-Funktion Sichere Anlage

Empfehlungen zur Abwehr von Ransomware-Angriffen

Proofpoint stoppt Ransomware-Angriffe mit einem mehrstufigen Ansatz mithilfe der Threat Protection-Plattform, die Unternehmen umfassend schützt. Einige dieser Stufen enthalten unsere führenden Funktionen zur Erkennung, Isolierung, Authentifizierung, Schulung und automatisierten Behebung.

Da es gegen die ständig zunehmenden Phishing-Bedrohungen keine Wunderwaffe gibt, ist eine mehrstufige integrierte Lösung zum Schutz vor Bedrohungen nötig. Um zusätzlich zu Ransomware auch BEC-Angriffe, Phishing und Kontoübernahmen abzuwehren, verwendet Proofpoint auch Machine Learning und eine hochentwickelte Sandbox-Analyse-Technologie.

Wenn Sie mehr darüber erfahren möchten, wie Sie diese Bedrohungen in Ihrer Umgebung mit unserer Proofpoint Threat Protection-Plattform stoppen können, besuchen Sie bitte diese Seite. Darüber hinaus bieten wir Ihnen auch eine kostenlose Bewertung Ihrer E-Mail-Bedrohungen an.