Ghost Ransomware: Diese Sofortmaßnahmen sind nötig

Sicherheitsbehörden warnen derzeit vor der Ransomware-Bande Ghost, die schon Organisationen in über 70 Ländern angegriffen hat. Da sie nur bekannte Schwachstellen ausnutzt, reichen relativ einfache Schutzmaßnahmen meist aus.

Ob Betreiber kritischer Infrastrukturen, Schulen und Universitäten, Gesundheitseinrichtungen, Behörden, religiöse Institutionen, Technologie- und Fertigungsunternehmen oder zahlreiche kleine und mittelständische Firmen: Sie waren alle schon Opfer der Ransomware Ghost. Obwohl die Gang-Mitglieder aus China stammen, greifen sie weltweit Organisationen an.

Die Ransomware wurde erstmals im Jahr 2021 entdeckt. Sie attackiert bis heute vorwiegend Unternehmen, deren internetseitige Dienste und Geräte veraltete Versionen von Software oder Firmware einsetzen. Die wahllosen Angriffe auf Netzwerke mit Schwachstellen hat zur Kompromittierung von Organisationen in mehr als 70 Ländern geführt.

So arbeitet Ghost

Die Ransomware-Bande Ghost ändert ihre Ransomware-Nutzdaten, wechselt die Dateierweiterungen für verschlüsselte Dateien, verändert den Text der Lösegeldforderung und verwendet zahlreiche E-Mail-Adressen für ihre Erpressungsversuche. Das hat im Laufe der Zeit zu unterschiedlichen Zuordnungen dieser Gruppe geführt, etwa unter den Namen Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada und Rapture.

Die Bande verwendet öffentlich zugängliche Exploits, um häufige Schwachstellen auszunutzen und sich Zugang zu Internet-Servern zu verschaffen. Dabei greifen sie Netzwerke an, in denen die bereits verfügbaren Patches noch nicht aufgespielt wurden. Die Entdeckung und Ausnutzung solcher Sicherheitslücken lässt sich stark automatisieren, so dass mit wenig Aufwand breitgefächerte Angriffe möglich sind.

Die Angriffsschritte

Die von Ghost genutzten Schwachstellen befinden sich zum Beispiel in FortiOS-Appliances, Servern mit Adobe ColdFusion, Microsoft SharePoint Server und Microsoft Exchange Server. Nach dem Eindringen in das Netzwerk setzt die Malware eine Web-Shell ein, über die sie einen Cobalt Strike Beacon herunterlädt. Zum Teil bewegen sich die Angriffe seitlich zu Webservern und installieren dort weitere Web-Shells. In anderen Fällen richtet Ghost neue lokale oder Domänenkonten ein und ändert die Kennwörter für bestehende Konten.

Im nächsten Schritt wird versucht, die Zugriffsrechte zu erweitern. Dies erfolgt über Open-Source-Tools für Penetrationstests oder den installierten Cobalt Strike Beacon, um Prozess-Token unter dem SYSTEM Benutzerkontext zu erfassen. Der Cobalt Strike Beacon dient auch zur Auflistung der Prozesse und auf dem Host laufender Endpunkt-Sicherheitslösungen, die mit Hilfe der erweiterten Rechte deaktiviert werden. Zusätzlich kommt der Cobalt Strike Beacon oder Mimikatz zum Einsatz, um Kennwörter und zugehörige Hashes für den Zugang auf weitere Konten auszulesen.

Ghost erforscht die angegriffenen Netzwerke mit verschiedenen Tools zur Entdeckung von Domänenkonten, Netzwerkfreigaben oder anderer Systeme, auf denen häufig weitere Instanzen von Cobalt Strike Beacon installiert werden. Diese dienen zum Diebstahl von Daten, die auf Ghost-eigene Cobalt Strike Team Server oder den Filesharing-Dienst Mega.nz übertragen werden. Zudem werden einzelne Ordner oder ganze Datenträger verschlüsselt, die Windows-Ereignisprotokolle gelöscht, der Volume Shadow Copy Service deaktiviert und alle Schattenkopien entfernt. Für die E-Mail-Kommunikation mit Erpressungsopfern nutzt Ghost dann Anbieter, die Verschlüsselung unterstützen.

So können sich Unternehmen schützen

Zum Schutz vor Ghost und anderen Gefahren sollten Unternehmen regelmäßige Systemsicherungen durchführen, wobei die Datenkopien offline gespeichert werden oder zumindest von den Quellsystemen getrennt sind. Zusätzlich sind die gesicherten Daten durch unveränderliche Backups vor möglichen Manipulationen zu schützen. Opfer von Ghost-Ransomware, deren Backups nicht vom Angriff betroffen waren, konnten den Betrieb oft wiederherstellen, ohne die Ghost-Akteure zu kontaktieren oder Lösegeld zu zahlen.

Bekannte Schwachstellen in Betriebssystemen, Anwendungen und Firmware sind innerhalb eines angemessenen Zeitraums über Patches zu schließen. Eine Segmentierung von Netzwerken verhindert seitliche Bewegungen der Angriffe von infizierten Geräten auf andere Systeme innerhalb einer Organisation. Phishing-resistente Multifaktor-Authentifizierung für den Zugriff auf alle privilegierten und E-Mail-Konten sowie Schulungen der Mitarbeiter zur Erkennung von Phishing können ebenfalls Infektionen vermeiden. Die E-Mail-Sicherheit lässt sich weiter erhöhen, indem fortgeschrittene Filter implementiert, bösartige Anhänge blockiert sowie DMARC, DKIM und SPF aktiviert werden, um Spoofing zu verhindern.

Ghost-Akteure nutzen PowerShell für bösartige Zwecke. Dabei handelt es sich um ein eigentlich nützliches Tool, das Administratoren und Sicherheitsteams zur Verwaltung von Systemressourcen einsetzen. Entsprechend müssen Unternehmen mit Hilfe geeigneter Lösungen eine nicht autorisierte Verwendung von PowerShell erkennen. Gleichzeitig ist bei der Vergabe von Berechtigungen beim Zugriff auf PowerShell das Prinzip der geringsten Privilegien anzuwenden.

Weitere wichtige Maßnahmen

Auch für andere Anwendungen, Skripte und Netzwerkverkehr ist eine Erlaubnisliste zu implementieren, um nicht autorisierte Ausführungen und Zugriffe zu verhindern. Zudem müssen die Verantwortlichen jede Art von Verhaltensanomalien identifizieren und untersuchen. Ransomware-Aktivitäten erzeugen ungewöhnlichen Netzwerkverkehr in allen Phasen der Angriffskette. Dazu gehören Scans zur Erkennung anderer mit dem Netzwerk verbundener Geräte, Befehle zum Auflisten, Hinzufügen oder Ändern von Administratorkonten, das Verwenden von PowerShell zum Herunterladen und Ausführen von Remote-Programmen sowie das Ausführen von Skripten, die normalerweise nicht in einem Netzwerk zu sehen sind. Anschließend können Unternehmen bösartige Aktivitäten stoppen, bevor Schaden entsteht.

Ghost-Akteure führen eine beträchtliche Anzahl von Befehlen, Skripten und Programmen aus, für die IT-Administratoren keinen legitimen Grund besitzen. Wer dieses ungewöhnliche Verhalten erkennt und schnell darauf reagiert, kann Angriffe erfolgreich abwehren. Außerdem sind ungenutzte Ports wie RDP 3398, FTP 21 und SMB 445 zu deaktivieren und der Zugriff auf wichtige Dienste durch sicher konfigurierte VPNs oder Firewalls zu beschränken.

Alle eingerichteten Abwehrmaßnahmen sollten auf Basis des MITRE ATT&CK for Enterprise-Framework regelmäßig trainiert, getestet und validiert werden. Denn die theoretisch besten Sicherheitsvorkehrungen helfen wenig, wenn sie in der Praxis nicht funktionieren. Zudem verändern sich Angriffsmuster und -techniken ständig, so dass Unternehmen immer auf dem neuesten Stand bleiben müssen.

Für alle Fälle können sich Unternehmen mit einem Clean Room auch vor unbekannten und neuartigen Angriffen schützen. Dieser enthält die zur Reaktion auf einen Vorfall nötigen Tools, Software, Konfigurationsdateien und Dokumentationen in einem unveränderlichen Tresor außerhalb der Reichweite von Angreifern. So lässt sich sicherstellen, dass Security-Teams sofort die erforderlichen Maßnahmen einleiten können, um jede Art von Bedrohung zu untersuchen und einzudämmen.

Detaillierte Informationen

Weitere Informationen zu Ghost und detaillierte Beschreibungen der Angriffstechniken befinden sich im Cybersecurity Advisory, das die US-Agentur für Cyber- und Infrastruktursicherheit (CISA), das FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) gemeinsam herausgegeben haben. Es erklärt auch die geeigneten Sicherheitsmaßahmen für Unternehmen. Dabei zeigt sich erneut, dass bekannte und bewährte Praktiken für einen guten Grundschutz reichen. Sie müssen nur umgesetzt und für den Fall erfolgreicher Angriffe mit einem Clean Room ergänzt werden.

Autor: James Blake, Global Head of Cyber Resiliency Strategy bei Cohesity

---

Bild/Quelle: https://depositphotos.com/de/home.html