Wie die Bande weltweit Unternehmen und Infrastrukturen angreift
Die chinesische Ransomware-Bande Ghost treibt aktuell weltweit ihr Unwesen. Mit ausgefeilten Taktiken, Techniken und Prozeduren (TTP) attackiert die Gruppe staatliche Einrichtungen und Organisationen, die kritische nationale Infrastrukturen bereitstellen. Besonders im Fokus stehen Bildungs-, Gesundheits-, Technologie- und Fertigungsunternehmen. In mehr als 70 Ländern war die Bande bereits aktiv und nutzte dabei bekannte Sicherheitslücken aus.
Ghost: Globales Netzwerk von Cyberkriminalität
Aktuell haben die US-Agentur für Cyber- und Infrastruktursicherheit (CISA), das FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) ein gemeinsames Cybersecurity Advisory veröffentlicht. Darin werden die Techniken der Ransomware-Bande beschrieben und Schutzmaßnahmen aufgeführt.
Die Cyberkriminellen setzen dabei vor allem auf Schwachstellen in internetfähigen Geräten. Oft handelt es sich um Exploits, für die bereits seit mehr als zehn Jahren Patches verfügbar sind. Dies zeigt, wie wichtig ein konsequentes Patch-Management ist, um die Angriffsfläche zu reduzieren.
Hauptziele von Ghost:
- Technologie- und Fertigungsunternehmen
- Staatliche Einrichtungen
- Kritische nationale Infrastruktur
- Bildungs- und Gesundheitssektor
Ghosts Vorgehensweise: Taktiken und Techniken
Die Ransomware-Bande Ghost nutzt 11 verschiedene Taktiken, die im Rahmen der Cyberangriffe dokumentiert wurden:
- Erster Zugriff (TA0001):
- Nutzung bekannter Schwachstellen (z.B. Fortinet-Geräte, Microsoft SharePoint-Server)
- Installation von Web-Shells und Download von Cobalt Strike Beacons
2. Ausführung (TA0002):
- Nutzung von Web-Shells zur Befehlsausführung
- Herunterladen und Ausführen von Cobalt Strike Beacon
3. Persistenz (TA0003):
- Erstellung neuer Benutzerkonten
- Änderung von Passwörtern bestehender Konten
4. Rechterweiterung (TA0004):
- Nutzung von Tools wie BadPotato und SharpZeroLogon zur Rechteeskalation
5. Umgehung von Abwehrmaßnahmen (TA0005):
- Deaktivierung von Endpoint-Sicherheitslösungen
6. Anmeldeinformationen auslesen (TA0006):
- Einsatz von Mimikatz zur Erfassung von Passwörtern und Hashes
7. Erkundung (TA0007):
- Durchsuchen des Netzwerks nach Anmeldeinformationen und sensiblen Daten
8. Seitliche Bewegung (TA0008):
- Verwendung von PowerShell-Befehlen zur Installation weiterer Cobalt Strike Beacons
9. Exfiltration (TA0010):
- Nutzung von Cobalt Strike Team Server oder Mega.nz zur Datenexfiltration
10. Command and Control (TA0011):
- Nutzung von HTTP/HTTPS zur Kommunikation mit kontrollierten Servern
11. Auswirkungen (TA0040):
- Verschlüsselung von Daten mit Ransomware (z.B. CRING.EXE, GHOST.EXE)
So schützen Sie Ihr Unternehmen vor Ghost
Ghost nutzt eine Vielzahl an Techniken, um sich Zugang zu Netzwerken zu verschaffen und Daten zu verschlüsseln. Um sich vor diesen Angriffen zu schützen, sind folgende Maßnahmen unerlässlich:
- Regelmäßige Backups:
- Automatische und sichere Speicherung wichtiger Daten, um schnelle Wiederherstellung zu gewährleisten.
- Erkennung von Anomalien:
- Ungewöhnliches Benutzerverhalten kann auf eine Kompromittierung hinweisen.
- Schnelles Patchen:
- Aktualisieren von Betriebssystemen und Software, um bekannte Schwachstellen zu schließen.
- Zugriffsrechte begrenzen:
- Implementierung von Phishing-resistenter Multifaktor-Authentifizierung (MFA)
- Netzwerksegmentierung:
- Einschränkung der Beweglichkeit von Angreifern innerhalb des Netzwerks.
Fazit: Ransomware-Banden wie Ghost rechtzeitig stoppen
Die chinesische Ransomware-Bande Ghost nutzt Schwachstellen aus, die bereits seit Jahren bekannt sind. Unternehmen sollten daher nicht nur auf moderne Sicherheitslösungen setzen, sondern auch grundlegende Maßnahmen wie regelmäßiges Patchen und Netzwerksegmentierung umsetzen. Durch eine umfassende Sicherheitsstrategie lassen sich die Risiken erheblich minimieren und Angriffe frühzeitig erkennen.
