Blog

Ransomware

RESPOND

9 Stufen von Ransomware: Wie KI in jeder Stufe reagiert

Standard-BlogbildStandard-BlogbildStandard-BlogbildStandard-BlogbildStandard-BlogbildStandard-Blogbild
22
Dezember 2021
22
Dezember 2021
This blog breaks down every stage of ransomware, highlighting attackers’ aims at each step, the techniques they adopt to avoid conventional defenses, and the anomalous activity that causes Darktrace AI to initiate a targeted response.

Ransomware gets its name by commandeering and holding assets ransom, extorting their owner for money in exchange for discretion and full cooperation in returning exfiltrated data and providing decryption keys to allow business to resume.

Die Lösegeldforderungen werden immer dreister und betrugen 2021 im Durchschnitt ganze 5,3 Mio. US-Dollar – ein Anstieg um 518% gegenüber dem Vorjahr. Aber die Folgekosten eines Ransomware-Angriffs liegen in der Regel weit über den Lösegeldzahlungen: Nach einem erfolgreichen Angriff beträgt die durchschnittliche Ausfallzeit 21 Tage und 66% der Ransomware-Opfer melden erhebliche Umsatzeinbußen.

In dieser Serie wollen wir dieses große Thema Schritt für Schritt aufschlüsseln. Ein Ransomware-Angriff vollzieht sich in mehreren Phasen, demnach ist auch eine mehrphasige Lösung notwendig, die die Bedrohung in jedem Stadium eigenständig und effektiv in Schach hält. Lesen Sie weiter, um zu erfahren, wie selbstlernende KI und Autonomous Response Ransomware an jedem Punkt stoppen.

1. Eindringen (E-Mail)

Das Eindringen – die erste Phase eines Ransomware-Angriffs – kann durch RDP Brute-Forcing (über ungeschützte Webanwendungen), schädliche Websites und Drive-by-Downloads, einen Insider mit autorisiertem Zugriff, Sicherheitslücken in Systemen und Software oder andere Angriffsvektoren erfolgen.

Der häufigste Angriffsvektor für das Eindringen sind jedoch E-Mails. Meistens stellen die Mitarbeiter die größte Schwachstelle eines Unternehmens dar – und Angreifer wissen das geschickt auszunutzen. Sorgfältig verfasste, gezielte, legitim aussehende E-Mails werden an Mitarbeiter geschickt, um sie zu einer Handlung zu veranlassen, sei es das Anklicken eines Links, das Öffnen eines Anhangs oder die Eingabe von Zugangsdaten oder anderen sensiblen Informationen.

Gateways: Stoppen nur das, was sie kennen

Die meisten herkömmlichen E-Mail-Tools erkennen Bedrohungen nur, wenn diese schon einmal in Erscheinung getreten sind. Stammt eine E-Mail von einer IP-Adresse oder E-Mail-Domain, die auf einer Blocklist steht, und wird für den Angriff bekannte Malware genutzt, die vorher schon in normalen Benutzerumgebungen aufgetaucht ist, wird die Attacke vielleicht gestoppt.

Natürlich wissen die Angreifer ganz genau, dass die meisten Sicherheitstools auf diesem traditionellen Ansatz beruhen. Daher erneuern sie ständig ihre Angriffsinfrastruktur, um diese Tools zu umgehen. Indem sie für ein paar Cent neue Domains kaufen oder mit nur wenigen Code-Anpassungen maßgeschneiderte Malware entwickeln, sind sie dem herkömmlichen Ansatz, auf dem ein typisches E-Mail-Gateway basiert, immer einen Schritt voraus.

Beispiel aus der Praxis: Phishing-Angriff auf eine Lieferkette

By contrast, Darktrace’s evolving understanding of ‘normal’ for every email user in the organization enables it to detect subtle deviations that point to a threat – even if the sender or any malicious contents of the email are unknown to threat intelligence. This is what enabled the technology to stop an attack that recently targeted McLaren Racing, with emails sent to a dozen employees in the organization each containing a malicious link. This possible precursor to ransomware bypassed conventional email tools – largely because it was sent from a known supplier – however Darktrace recognized the account hijack and held the email back.

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche des Darktrace Threat Visualizer nach Entdeckung der E-Mail

Lesen Sie den ganzen Bericht über den Angriff

2. Eindringen (serverseitig)

Unternehmen haben in rasantem Tempo ihre extern zugängliche Infrastruktur erweitert. Mit dieser Vergrößerung der Angriffsfläche geht eine Zunahme von Brute-Force-Attacken und serverseitigen Angriffen einher.

In diesem Jahr wurden diverse Sicherheitslücken bei extern zugänglichen Servern und Systemen offengelegt. Für Angreifer ist es einfacher denn je, solche Infrastruktur gezielt für ihre Zwecke zu nutzen – sie brauchen einfach nur das Internet nach gefährdeten Systemen zu scannen, z.B. mit Tools wie Shodan oder MassScan.

Angreifer können sich auch durch RDP Brute-Forcing oder gestohlene Zugangsdaten Zutritt verschaffen, zudem verwenden sie häufig legitime Zugangsdaten aus vorhandenen Datenbeständen. Diese Methode ist präziser und weniger auffällig als ein klassischer Brute-Force-Angriff.

Ein Großteil der Ransomware-Angriffe nutzt RDP als Einfallstor. Dies steht im Zusammenhang mit dem breiteren „Living off the Land“-Trend, d.h. der Verwendung legitimer Standardtools (RDP, SMB1-Protokoll oder verschiedene Befehlszeilentools wie WMI oder PowerShell), um nicht aufzufallen und sich unter die typische Administratoraktivität zu mischen. Es reicht nicht aus, Backups zu isolieren, Konfigurationen zu härten und Systeme zu patchen – vielmehr muss eine Echtzeiterkennung von anormalem Verhalten sichergestellt werden.

Antivirus-Programme, Firewalls und SIEMs

Bei einem Download von Malware wird diese von Endpoint-Antivirus-Programmen erkannt – allerdings nur, wenn die Malware schon einmal in Erscheinung getreten ist und entsprechende Bedrohungsdaten vorliegen. Firewalls müssen in der Regel individuell für das jeweilige Unternehmen konfiguriert und häufig an dessen Erfordernisse angepasst werden. Gibt es für einen Angriff keine Regel oder Signatur, kann er die Firewall ungehindert passieren.

SIEM- und SOAR-Tools halten ebenfalls Ausschau nach Downloads bekannter Malware. Dazu nutzen sie vorprogrammierte Regeln und Maßnahmen. Diese Tools suchen nach Mustern, die vorab definiert wurden. Damit ein neuer Angriff erkannt werden kann, müssen bei diesem Ansatz ausreichend Ähnlichkeiten zu früheren Angriffen vorliegen.

Beispiel aus der Praxis: Dharma-Ransomware

Darktrace erkannte einen gezielten Angriff mit Dharma-Ransomware auf ein britisches Unternehmen, der eine offene RDP-Verbindung mit extern zugänglichen Servern nutzte. Auf dem RDP-Server wurde eine Vielzahl eingehender Verbindungen von ungewöhnlichen IP-Adressen über das Internet beobachtet. Die für diesen Angriff verwendeten RDP-Zugangsdaten wurden sehr wahrscheinlich in einem früheren Stadium abgegriffen – entweder über gängige Brute-Force-Methoden, Credential Stuffing oder Phishing. Eine zunehmend beliebte Angriffsmethode ist der Ankauf von RDP-Zugangsdaten, damit Angreifer gleich dazu übergehen können, sich Zugang zu verschaffen.

Abbildung 2: Die Modellabweichungen, die während dieses Angriffs festgestellt wurden, einschließlich der anormalen RDP-Aktivität

Da in diesem Fall die Autonomous Response nicht aktiviert war, konnte der Angriff mit der Dharma-Ransomware ungehindert fortschreiten. Am Ende musste das Sicherheitsteam drakonische Maßnahmen ergreifen und den RDP-Server mitten in der Verschlüsselung vom Netz nehmen.

Lesen Sie den ganzen Bericht über den Angriff

3. Einnisten und Einrichten der C2-Kommunikation

Egal ob durch erfolgreiches Phishing, einen Brute-Force-Angriff oder mit einer anderen Methode, der Angreifer ist eingedrungen. Jetzt kann er mit den kompromittierten Geräten kommunizieren und sich einnisten.

In dieser Phase bereitet der Angreifer alles vor, um die nachfolgenden Phasen remote kontrollieren zu können. Im Rahmen dieser Command & Control (C2)-Kommunikation kann der Angreifer auch weitere Malware auf die Geräte bringen. So gelingt es ihm, sich noch stärker im Unternehmen festzusetzen und lateral auszubreiten.

Angreifer können die Malware-Funktionalität mit einer ganzen Reihe vorgefertigter Plugins modifizieren, um unerkannt zu bleiben. Es gibt sogar Ransomware, die sich selbst an ihre Umgebung anpasst und eigenständig agiert. So mischt sie sich unbemerkt unter das reguläre Geschehen, auch ohne Verbindung zu ihrem Command & Control-Server. Diese „autonomen“ Ransomware-Stämme stellen ein großes Problem für traditionelle Sicherheitstools dar, die Bedrohungen nur stoppen können, wenn schädliche externe Verbindungen entdeckt werden.

Ganzheitliches Verständnis des Unternehmens statt einer isolierten Betrachtung der Verbindungen

Herkömmliche Sicherheitstools wie IDS und Firewalls betrachten Verbindungen meist isoliert und nicht im Zusammenhang mit früheren und möglicherweise relevanten Verbindungen, sodass C2-Kommunikation nur schwer aufzuspüren ist.

IDS und Firewalls können vielleicht Domains blockieren, die als schädlich bekannt sind, oder Geoblocking anwenden, aber dann suchen sich Angreifer einfach neue Infrastruktur, die sie für ihre Zwecke nutzen können.

Diese Tools analysieren in aller Regel auch keine Indikatoren wie die Frequenz, d.h. ob eine Verbindung in regelmäßigen oder unregelmäßigen Abständen Beacons aussendet, wie lange es die Domain schon gibt oder wie ungewöhnlich sie im Unternehmenskontext erscheint.

Darktrace aktualisiert laufend sein Verständnis der digitalen Infrastrukturen im Unternehmen und erkennt dadurch verdächtige C2-Verbindungen und anschließende Downloads, auch wenn dafür reguläre und legitime Programme oder Methoden genutzt werden. Die KI-Technologie erkennt das Gesamtbild aus zahlreichen subtilen Anzeichen einer Bedrohung, darunter auffällige Verbindungen zu relativ neuen und/oder ungewöhnlichen Endgeräten, anormale Dateidownloads, eingehende Remote-Desktop-Verbindungen sowie ungewöhnliche Datenuploads und -downloads.

Once they are detected as a threat, Darktrace RESPOND halts these connections and downloads, while allowing normal business activity to continue.

Beispiel aus der Praxis: WastedLocker-Angriff

Als eine US-Landwirtschaftsorganisation mit der WastedLocker-Ransomware angegriffen wurde, erkannte Darktrace sofort die ungewöhnliche SSL-C2-Aktivität, die den Vorfall einleitete (basierend auf der Kombination von ungewöhnlichem Ziel und ungewöhnlichem JA3 sowie der Analyse der Frequenz). Antigena (in diesem Fall im passiven Modus konfiguriert, sodass die Technologie keine eigenständigen Maßnahmen ergreifen konnte) empfahl, den C2-Traffic an Port 443 sofort zu blockieren und parallel dazu internes Scanning an Port 135 durchzuführen.

Abbildung 3: Der Threat Visualizer zeigt die Maßnahmen, die Antigena ergriffen hätte.

Als später Beaconing zu bywce.payment.refinedwebs[.]com beobachtet wurde, diesmal über HTTP an /updateSoftwareVersion, weitete Antigena seine Maßnahmen auf weitere C2-Kanäle aus.

Abbildung 4: Antigena weitet Maßnahmen aus

Lesen Sie den ganzen Bericht über den Angriff

4. Laterale Bewegung

Sobald sich ein Angreifer in einem Unternehmen eingenistet hat, fängt er an, Informationen über die weitere digitale Umgebung zu sammeln und seine Präsenz in der Infrastruktur zu stärken. Dann ist es für ihn kein Problem mehr, sich Zugriff auf die Dateien zu verschaffen, die er ausschleusen und verschlüsseln möchte. Zunächst beginnt er mit der Auskundschaftung: Er scannt das Netzwerk, macht sich ein Bild von den angeschlossenen Geräten und verortet besonders wertvolle Unternehmensdaten.

Dann beginnt der Angreifer mit der lateralen Ausbreitung. Er infiziert weitere Geräte und versucht, seine Berechtigungen auszuweiten, z.B. indem er Admin-Zugangsdaten entwendet, um noch mehr Kontrolle über die Umgebung zu erlangen. Sobald er sich ausreichende Berechtigungen gesichert und fest in den digitalen Infrastrukturen eingenistet hat, kann er die letzten Stufen seines Angriffs zünden.

Moderne Ransomware verfügt über integrierte Funktionen für die automatische Suche nach gespeicherten Passwörtern und die Ausbreitung im Netzwerk. Besonders raffinierte Stämme sind so konzipiert, dass sie sich in jeder Umgebung anders verhalten. Somit verändert sich ihre Signatur laufend und sie sind viel schwerer zu entdecken.

Herkömmliche Tools: Rigorose Reaktion auf bekannte Bedrohungen

Herkömmliche Lösungen basieren auf statischen Regeln und Signaturen, daher können sie eine laterale Bewegung und Rechteausweitung kaum verhindern, ohne den Geschäftsbetrieb stark zu beeinträchtigen. In der Theorie könnte ein Unternehmen, das Firewalls und NAC (Netzwerkzugriffskontrolle) mit passender Netzwerksegmentierung und perfekter Konfiguration nutzt, eine netzwerkübergreifende laterale Bewegung verhindern. Allerdings ist es kaum möglich, maximalen Schutz und minimale Eingriffe immer optimal auszubalancieren.

Einige Unternehmen setzen auf Intrusion-Prevention-Systeme (IPS), um Netzwerk-Traffic abzuweisen, wenn bekannte Bedrohungen in Paketen erkannt werden. Wie in den vorherigen Phasen können sie jedoch nichts gegen neuartige Malware ausrichten, außerdem brauchen sie eine laufend aktualisierte Datenbank. Darüber hinaus sind diese Lösungen an den Eingangs-/Ausgangspunkten angesiedelt, was ihre Einblicke in das Netzwerk stark einschränkt. Ein Intrusion-Detection-System (IDS) erlaubt eine Out-of-Band-Installation, bietet aber keine Response-Funktionalität.

Ein selbstlernender Ansatz

Die Darktrace KI macht sich ein genaues Bild von den Abläufen im Unternehmen und erkennt verdächtige Aktivität, die auf eine laterale Bewegung hindeutet, unabhängig davon, ob der Angreifer neue Infrastruktur oder die „Living off the Land“-Methode nutzt. Zu den potenziell ungewöhnlichen Aktivitäten, die Darktrace erkennt, gehören z.B. abweichendes Scan-, SMB-, RDP- und SSH-Verhalten. In dieser Phase werden weitere Modelle aktiviert:

  • Verdächtige Aktivität auf Hochrisikogerät
  • Numerische EXE in SMB Write
  • Neue oder ungewöhnliche Dienstesteuerung

Autonomous Response ergreift dann gezielte Maßnahmen, um die Bedrohung in dieser Phase zu stoppen. Die Technologie blockiert anormale Verbindungen und setzt die normalen Verhaltensmuster („Patterns of Life“) des infizierten Geräts oder der Gruppe durch. Hierbei werden Geräte automatisch in Vergleichsgruppen zusammengefasst und von der Vergleichsgruppe abweichendes Verhalten wird unterbunden.

Falls das schädliche Verhalten dennoch andauert und dies erforderlich macht, isoliert Darktrace das infizierte Gerät.

Beispiel aus der Praxis: Ungewöhnliche Abfolge von RDP-Verbindungen

Bei einem Unternehmen in Singapur führte die Kompromittierung eines Servers zum Aufbau eines Botnets. Dieses begann eine laterale Ausbreitung, hauptsächlich mittels ungewöhnlicher RDP-Verbindungen. Der Server baute anschließend externe SMB- und RPC-Verbindungen zu ungewöhnlichen Endgeräten im Internet auf, um weitere anfällige Hosts zu finden.

Darktrace erkannte weitere laterale Aktivitäten, z.B. wiederholte fehlgeschlagene Versuche, mit verschiedenen Benutzernamen über das SMB-Dateifreigabeprotokoll auf mehrere interne Geräte zuzugreifen, was auf einen Brute-Forcing-Angriff auf das Netzwerk hindeutete.

Abbildung 5: Cyber AI Analyst von Darktrace erkennt verdächtige TCP-Scans, gefolgt von einer verdächtigen Abfolge von RDP-Administrationsverbindungen.

Lesen Sie den ganzen Bericht über den Angriff

5. Datenexfiltration

In der Vergangenheit wurden bei Ransomware-Angriffen einfach nur ein Betriebssystem und Netzwerkdateien verschlüsselt.

Da sich die Unternehmen heute mit Daten-Backups gegen eine bösartige Verschlüsselung absichern, gehen Bedrohungsakteure immer mehr zu einer „Double Extortion“ über, d.h. sie exfiltrieren vor der Verschlüsselung wichtige Daten und vernichten Backups. Mit diesen exfiltrierten Daten werden die Unternehmen dann erpresst: Die Angreifer drohen, sensible Informationen online zu stellen oder an einen Mitbewerber zu verkaufen, falls das Lösegeld nicht gezahlt wird.

Moderne Ransomware-Varianten suchen auch nach Cloud-Speicher-Repositorys wie Box, Dropbox usw.

Viele dieser Vorfälle gelangen nicht an die Öffentlichkeit, denn wenn geistiges Eigentum gestohlen wird, sind die Unternehmen nicht immer gesetzlich verpflichtet, dies zu melden. Im Falle von Kundendaten besteht jedoch sehr wohl eine Meldepflicht, außerdem müssen die betroffenen Unternehmen empfindliche Geldstrafen zahlen. Diese sind in den letzten Jahren deutlich gestiegen (Marriot 23,8 Mio. USD, British Airways 26 Mio. USD, Equifax 575 Mio. USD). Hinzu kommt der Reputationsschaden, wenn ein Unternehmen seine Kunden über ein Datenleck informieren muss.

Herkömmliche Tools: Immer dieselben Probleme

Wenn Sie aufgepasst haben, wissen Sie genau, wie die Geschichte weitergeht: Um einen Ransomware-Angriff in dieser Phase zu stoppen, nutzen die meisten Sicherheitstools entweder vorprogrammierte Definitionen von „schädlich“ oder statische Regeln, die für verschiedene Abwehrszenarien entwickelt wurden. Dadurch sind die Unternehmen einem riskanten, nie endenden Katz-und-Maus-Spiel ausgesetzt.

Firewalls und Proxys können Verbindungen vielleicht auf Basis vorprogrammierter Richtlinien für spezifische Endgeräte oder Datenvolumen blockieren, aber es ist sehr wahrscheinlich, dass ein Angreifer die „Living off the Land“-Taktik anwendet und auf einen Dienst zurückgreift, der im Unternehmen regelmäßig genutzt wird.

Die Wirksamkeit dieser Tools hängt vom Datenvolumen ab: Gegen „Smash & Grab“-Angriffe mit bekannter Malware, bei denen keine Methode zur Umgehung von Sicherheitstools angewendet wird, mögen sie etwas ausrichten können, aber sie werden kaum in der Lage sein, eine „Low & Slow“-Exfiltration und neuartige oder hochkomplexe Stämme zu erkennen.

On the other hand, because by nature it involves a break from expected behavior, even less conspicuous, low and slow data exfiltration is detected by Darktrace and stopped with Darktrace RESPOND. No confidential files are lost, and attackers are unable to extort a ransom payment through blackmail.

Beispiel aus der Praxis: Ungewöhnliche Abfolge von RDP-Verbindungen

It becomes more difficult to find examples of Darktrace RESPOND stopping ransomware at these later stages, as the threat is usually contained before it gets this far. This is the double-edged sword of effective security – early containment makes for bad storytelling! However, we can see the effects of a double extortion ransomware attack on an energy company in Canada. The organization had the Enterprise Immune System but no Antigena, and without anyone actively monitoring Darktrace’s AI detections, the attack was allowed to unfold.

Der Angreifer stellte eine Verbindung zu einem internen Dateiserver her und lud 1,95 TB an Daten herunter. Zudem wurde über das Gerät offenbar die Rclone-Software heruntergeladen – ein Open-Source-Tool, das möglicherweise dazu diente, Daten automatisch mit dem legitimen Dateispeicherdienst pCloud zu synchronisieren. Nach Abschluss der Datenexfiltration begann das Gerät „serverps“ schließlich, Dateien auf 12 Geräten mit der Erweiterung *.06d79000 zu verschlüsseln. Wie bei Ransomware-Vorfällen meist üblich, erfolgte die Verschlüsselung außerhalb der Bürozeiten – über Nacht in Ortszeit –, um die Wahrscheinlichkeit eines schnellen Eingreifens des Sicherheitsteams zu minimieren.

Lesen Sie den ganzen Bericht über den Angriff

Beachten Sie, dass die Reihenfolge der oben beschriebenen Phasen 3–5 nicht in Stein gemeißelt ist, sondern bei jedem Angriff anders sein kann. Manchmal werden Daten ausgeschleust, woran sich eine weitere laterale Bewegung und zusätzliches C2-Beaconing anschließen. Diese gesamte Zeitspanne wird als „Verweildauer“ bezeichnet. Mitunter geht es nur um ein paar Tage, es können aber auch mehrere Monate sein, in denen die Angreifer in aller Ruhe und unter dem Radar regelbasierter Tools, die nur isolierte Dateiübertragungen über einem bestimmten Schwellenwert melden, Daten ausschleusen. Nur mit einem ganzheitlichen Verständnis der sich entfaltenden schädlichen Aktivität kann eine Technologie diese Bedrohung erkennen und das Sicherheitsteam in die Lage versetzen, sie zu bekämpfen, bevor der Ransomware-Angriff in seine letzten verheerenden Phasen übergeht.

6. Datenverschlüsselung

Mit symmetrischer oder asymmetrischer Verschlüsselung oder einer Kombination aus beiden versuchen die Angreifer, möglichst viele Daten im Netzwerk des Unternehmens unbrauchbar zu machen, bevor der Angriff entdeckt wird.

Da allein die Angreifer über die Entschlüsselungs-Keys verfügen, haben sie jetzt die volle Kontrolle darüber, was mit den Daten des Unternehmens geschieht.

Vorprogrammierte Gegenmaßnahmen und Störung des Geschäftsbetriebs

Es gibt vielerlei Tools, die für sich in Anspruch nehmen, eine solche Verschlüsselung unterbinden zu können. Allerdings haben sie alle ihre Schwachstellen, die ein gewiefter Angreifer in dieser entscheidenden Phase ausnutzen kann. Und wenn diese Tools dann Gegenmaßnahmen ergreifen, führen diese meist zu erheblichen Störungen und Einschränkungen des Geschäftsbetriebs.

Interne Firewalls verhindern, dass Clients auf Server zugreifen. Sobald sich also ein Angreifer mit einer der oben beschriebenen Methoden Zugang zu Servern verschafft hat, kann er nach Belieben schalten und walten.

In ähnlicher Weise suchen auch Antivirus-Tools nur nach bekannter Malware. Wurde die Malware bis dahin noch nicht entdeckt, ist es sehr unwahrscheinlich, dass sie überhaupt noch erkannt und gestoppt wird.

Verschlüsselung wird eigenständig gestoppt

Selbst wenn hierzu reguläre Tools und Methoden genutzt werden, kann die Autonomous Response die „Patterns of Life“ bei Geräten durchsetzen, die eine Verschlüsselung versuchen. Hierfür sind keine statischen Regeln oder Signaturen nötig. Diese Maßnahme kann eigenständig oder über Integrationen in native Sicherheitstools ergriffen werden. Dadurch wird auch der Nutzen vorhandener Sicherheitsinfrastruktur maximiert. Mit einer gezielten Autonomous Response kann der Geschäftsbetrieb ganz normal weiterlaufen, während gleichzeitig die Verschlüsselung verhindert wird.

7. Lösegeldforderung

Im Grunde wird ein Ransomware-Angriff erst mit der Verschlüsselung zu einem solchen. Ab dieser Phase macht die Malware ihrem Namen jedoch leider alle Ehre.

Auf die Verschlüsselung folgt nämlich eine Lösegeldforderung. Die Angreifer verlangen Geld für den Entschlüsselungs-Key und drohen, die exfiltrierten sensiblen Daten öffentlich preiszugeben. Das Unternehmen muss entscheiden, ob es das Lösegeld zahlt oder einen Verlust seiner Daten in Kauf nimmt, die möglicherweise an Mitbewerber weitergegeben werden oder an die Öffentlichkeit gelangen. Die durchschnittliche Höhe der Lösegeldforderungen lag 2021 bei 5,3 Mio. USD. So zahlte etwas das Fleischverarbeitungsunternehmen JBS 11 Mio. USD und DarkSide konnte mit dem Angriff auf Colonial Pipeline über 90 Mio. USD in Bitcoins erpressen.

Alle Phasen bis zu diesem Punkt sind typisch für einen traditionellen Ransomware-Angriff. Aber Ransomware hat sich verändert. Statt einer wahllosen Verschlüsselung von Geräten gehen die Angreifer inzwischen sehr gezielt vor und wollen den Geschäftsbetrieb in großem Stil stören oder lahmlegen. Dabei wenden sie unterschiedliche Methoden an, um ihre Angriffsopfer zur Zahlung des Lösegeldes zu bewegen. Zu weiteren Erpressungsmethoden gehört nicht nur die Datenexfiltration, sondern auch die Kaperung von Unternehmensdomains, die Löschung oder Verschlüsselung von Backups, Angriffe auf industrielle Steuerungssysteme (ICS), gezielte Täuschung von Führungskräften im Unternehmen und so weiter.

Mitunter gehen Angreifer auch direkt von Phase 2 zu Phase 6 – der Erpressung – über. Darktrace stoppte vor kurzem einen E-Mail-Angriff, bei dem sich der Angreifer nicht viel Arbeit machen wollte und direkt per E-Mail einen Erpressungsversuch startete. Der Angreifer behauptete, sensible Unternehmensdaten kompromittiert zu haben, und forderte eine Bitcoin-Zahlung für die Wiederherstellung. Egal, ob diese Behauptung stimmte oder nicht, dieser Angriff machte deutlich, dass einer Erpressung nicht immer eine Verschlüsselung vorausgehen muss und dass diese Art der Bedrohung unterschiedliche Formen annehmen kann.

Abbildung 6: Darktrace hält die schädliche E-Mail zurück und schützt dadurch den Empfänger und das Unternehmen.

As with the email example we explored in the first post of this series, Darktrace/Email was able to step in and stop this email where other email tools would have let it through, stopping this potentially costly extortion attempt.

Egal ob durch Verschlüsselung oder eine andere Form von Erpressung, die Botschaft ist immer gleich: Entweder Sie zahlen oder Sie sehen Ihre Daten nie wieder. In dieser Phase ist es zu spät, sich über die oben beschriebenen Optionen Gedanken zu machen, mit denen der Angriff in den ersten Phasen hätte gestoppt werden können. Es stellt sich nur noch eine einzige Frage: Zahlen oder nicht zahlen?

Häufig glauben Betroffene, mit der Zahlung des Lösegeldes sei es getan. Doch leider ist sie nur die Spitze des Eisbergs …

8. Schadensbehebung

Es wird alles unternommen, um die Sicherheitslücken zu schließen, die der Angreifer ausgenutzt, um in das Unternehmen einzudringen. Dem Unternehmen sollte allerdings bewusst sein, dass rund 80% der Ransomware-Opfer später erneut angegriffen werden.

Kaum ein herkömmliches Tool ist in der Lage, die Schwachstellen aufzuspüren, über die der Angreifer eindringen konnte. Es ist praktisch die Suche nach der Stecknadel in einem unvollständigen Heuhaufen: Sicherheitsteams haben so gut wie keine Chance, relevante Informationen in den wenigen Protokollen der Firewalls und IDS zu finden. Antivirus-Lösungen spüren allenfalls bekannte Malware auf, aber neuartige Angriffsvektoren entgehen ihnen.

With Darktrace’s Cyber AI Analyst, organizations are given full visibility over every stage of the attack, across all coverage areas of their digital estate, taking the mystery out of ransomware attacks. They are also able to see the actions that would have been taken to halt the attack by Darktrace RESPOND.

9. Wiederherstellung

Das Unternehmen beginnt, seine digitale Umgebung wieder in Ordnung zu bringen. Auch wenn es für einen Entschlüsselungs-Key gezahlt hat, werden viele Dateien verschlüsselt bleiben oder beschädigt sein. Abgesehen von der Lösegeldzahlung entstehen dem Unternehmen durch Netzwerkausfälle, Störungen des Geschäftsbetriebs, Maßnahmen zur Wiederherstellung der Sicherheit und negative PR hohe finanzielle Verluste.

Dem betroffenen Unternehmen entstehen darüber hinaus auch Reputationskosten: 66% melden einen erheblichen Umsatzausfall nach einem Ransomware-Angriff und 32% geben an, als direkte Folge der Attacke hohe Führungskräfte verloren zu haben.

Schlussfolgerung

Die oben beschriebenen Phasen sind den meisten Ransomware-Angriffen gemeinsam. Steigt man jedoch tiefer ein, wird deutlich, dass jede Attacke anders ist.

Da viele gezielte Ransomware-Angriffe durch Ransomware-Partner („Affiliates“) ausgeführt werden, variieren die verwendeten Tools und Methoden stark, auch wenn die Ransomware an sich gleich ist. Demzufolge sind bei zwei verschiedenen Ransomware-Angriffen, die auf derselben Ransomware-Familie basieren, völlig unterschiedliche Tools und Methoden zu erwarten. Es ist daher kaum vorhersehbar, wie die Ransomware von morgen aussehen wird.

This is the nail in the coffin for traditional tooling which is based on historic attack data. The above examples demonstrate that Self-Learning technology and Autonomous Response is the only solution that stops ransomware at every stage, across email and network.

EINBLICKE IN DAS SOC-Team
Darktrace Cyber-Analysten sind erstklassige Experten für Threat Intelligence, Threat Hunting und Incident Response. Sie bieten Tausenden von Darktrace Kunden auf der ganzen Welt rund um die Uhr SOC-Support. Einblicke in das SOC-Team wird ausschließlich von diesen Experten verfasst und bietet Analysen von Cyber-Vorfällen und Bedrohungstrends, die auf praktischen Erfahrungen in diesem Bereich basieren.
AUTOR
ÜBER DEN AUTOR
Dan Fein
VP, Produkt

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace/Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.

Book a 1-1 meeting with one of our experts
share this article
COre-Abdeckung
Keine Artikel gefunden.

More in this series

Keine Artikel gefunden.

Blog

E-Mail

How to Protect your Organization Against Microsoft Teams Phishing Attacks

Standard-BlogbildStandard-Blogbild
21
May 2024

The problem: Microsoft Teams phishing attacks are on the rise

Around 83% of Fortune 500 companies rely on Microsoft Office products and services1, with Microsoft Teams and Microsoft SharePoint in particular emerging as critical platforms to the business operations of the everyday workplace. Researchers across the threat landscape have begun to observe these legitimate services being leveraged more and more by malicious actors as an initial access method.

As Teams becomes a more prominent feature of the workplace many employees rely on it for daily internal and external communication, even surpassing email usage in some organizations. As Microsoft2 states, "Teams changes your relationship with email. When your whole group is working in Teams, it means you'll all get fewer emails. And you'll spend less time in your inbox, because you'll use Teams for more of your conversations."

However, Teams can be exploited to send targeted phishing messages to individuals either internally or externally, while appearing legitimate and safe. Users might receive an external message request from a Teams account claiming to be an IT support service or otherwise affiliated with the organization. Once a user has accepted, the threat actor can launch a social engineering campaign or deliver a malicious payload. As a primarily internal tool there is naturally less training and security awareness around Teams – due to the nature of the channel it is assumed to be a trusted source, meaning that social engineering is already one step ahead.

Screenshot of a Microsoft Teams message request from a Midnight Blizzard-controlled account (courtesy of Microsoft)
Figure 1: Screenshot of a Microsoft Teams message request from a Midnight Blizzard-controlled account (courtesy of Microsoft)

Microsoft Teams Phishing Examples

Microsoft has identified several major phishing attacks using Teams within the past year.

In July 2023, Microsoft announced that the threat actor known as Midnight Blizzard – identified by the United States as a Russian state-sponsored group – had launched a series of phishing campaigns via Teams with the aim of stealing user credentials. These attacks used previously compromised Microsoft 365 accounts and set up new domain names that impersonated legitimate IT support organizations. The threat actors then used social engineering tactics to trick targeted users into sharing their credentials via Teams, enabling them to access sensitive data.  

At a similar time, threat actor Storm-0324 was observed sending phishing lures via Teams containing links to malicious SharePoint-hosted files. The group targeted organizations that allow Teams users to interact and share files externally. Storm-0324’s goal is to gain initial access to hand over to other threat actors to pursue more dangerous follow-on attacks like ransomware.

For a more in depth look at how Darktrace stops Microsoft Teams phishing read our blog: Don’t Take the Bait: How Darktrace Keeps Microsoft Teams Phishing Attacks at Bay

The market: Existing Microsoft Teams security solutions are insufficient

Microsoft’s native Teams security focuses on payloads, namely links and attachments, as the principal malicious component of any phishing. These payloads are relatively straightforward to detect with their experience in anti-virus, sandboxing, and IOCs. However, this approach is unable to intervene before the stage at which payloads are delivered, before the user even gets the chance to accept or deny an external message request. At the same time, it risks missing more subtle threats that don’t include attachments or links – like early stage phishing, which is pure social engineering – or completely new payloads.

Equally, the market offering for Teams security is limited. Security solutions available on the market are always payload-focused, rather than taking into account the content and context in which a link or attachment is sent. Answering questions like:

  • Does it make sense for these two accounts to speak to each other?
  • Are there any linguistic indicators of inducement?

Furthermore, they do not correlate with email to track threats across multiple communication environments which could signal a wider campaign. Effectively, other market solutions aren’t adding extra value – they are protecting against the same types of threats that Microsoft is already covering by default.

The other aspect of Teams security that native and market solutions fail to address is the account itself. As well as focusing on Teams threats, it’s important to analyze messages to understand the normal mode of communication for a user, and spot when a user’s Teams activity might signal account takeover.

The solution: How Darktrace protects Microsoft Teams against sophisticated threats

With its biggest update to Darktrace/Email ever, Darktrace now offers support for Microsoft Teams. With that, we are bringing the same AI philosophy that protects your email and accounts to your messaging environment.  

Our Self-Learning AI looks at content and context for every communication, whether that’s sent in an email or Teams message. It looks at actual user behavior, including language patterns, relationship history of sender and recipient, tone and payloads, to understand if a message poses a threat. This approach allows Darktrace to detect threats such as social engineering and payloadless attacks using visibility and forensic capabilities that Microsoft security doesn’t currently offer, as well as early symptoms of account compromise.  

Unlike market solutions, Darktrace doesn’t offer a siloed approach to Teams security. Data and signals from Teams are shared across email to inform detection, and also with the wider Darktrace ActiveAI security platform. By correlating information from email and Teams with network and apps security, Darktrace is able to better identify suspicious Teams activity and vice versa.  

Interested in the other ways Darktrace/Email augments threat detection? Read our latest blog on how improving the quality of end-user reporting can decrease the burden on the SOC. To find our more about Darktrace's enduring partnership with Microsoft, click here.

References

[1] Essential Microsoft Office Statistics in 2024

[2] Microsoft blog, Microsoft Teams and email, living in harmony, 2024

Continue reading
About the author
Carlos Gray
Product Manager

Blog

Einblicke in das SOC-Team

Don’t Take the Bait: How Darktrace Keeps Microsoft Teams Phishing Attacks at Bay

Standard-BlogbildStandard-Blogbild
20
May 2024

Social Engineering in Phishing Attacks

Faced with increasingly cyber-aware endpoint users and vigilant security teams, more and more threat actors are forced to think psychologically about the individuals they are targeting with their phishing attacks. Social engineering methods like taking advantage of the human emotions of their would-be victims, pressuring them to open emails or follow links or face financial or legal repercussions, and impersonating known and trusted brands or services, have become common place in phishing campaigns in recent years.

Phishing with Microsoft Teams

The malicious use of the popular communications platform Microsoft Teams has become widely observed and discussed across the threat landscape, with many organizations adopting it as their primary means of business communication, and many threat actors using it as an attack vector. As Teams allows users to communicate with people outside of their organization by default [1], it becomes an easy entry point for potential attackers to use as a social engineering vector.

In early 2024, Darktrace/Apps™ identified two separate instances of malicious actors using Microsoft Teams to launch a phishing attack against Darktrace customers in the Europe, the Middle East and Africa (EMEA) region. Interestingly, in this case the attackers not only used a well-known legitimate service to carry out their phishing campaign, but they were also attempting to impersonate an international hotel chain.

Despite these attempts to evade endpoint users and traditional security measures, Darktrace’s anomaly detection enabled it to identify the suspicious phishing messages and bring them to the customer’s attention. Additionally, Darktrace’s autonomous response capability, was able to follow-up these detections with targeted actions to contain the suspicious activity in the first instance.

Darktrace Coverage of Microsoft Teams Phishing

Chats Sent by External User and Following Actions by Darktrace

On February 29, 2024, Darktrace detected the presence of a new external user on the Software-as-a-Service (SaaS) environment of an EMEA customer for the first time. The user, “REDACTED@InternationalHotelChain[.]onmicrosoft[.]com” was only observed on this date and no further activities were detected from this user after February 29.

Later the same day, the unusual external user created its first chat on Microsoft Teams named “New Employee Loyalty Program”. Over the course of around 5 minutes, the user sent 63 messages across 21 different chats to unique internal users on the customer’s SaaS platform. All these chats included the ‘foreign tenant user’ and one of the customer’s internal users, likely in an attempt to remain undetected. Foreign tenant user, in this case, refers to users without access to typical internal software and privileges, indicating the presence of an external user.

Darktrace’s detection of unusual messages being sent by a suspicious external user via Microsoft Teams.
Figure 1: Darktrace’s detection of unusual messages being sent by a suspicious external user via Microsoft Teams.
Advanced Search results showing the presence of a foreign tenant user on the customer’s SaaS environment.
Figure 2: Advanced Search results showing the presence of a foreign tenant user on the customer’s SaaS environment.

Darktrace identified that the external user had connected from an unusual IP address located in Poland, 195.242.125[.]186. Darktrace understood that this was unexpected behavior for this user who had only previously been observed connecting from the United Kingdom; it further recognized that no other users within the customer’s environment had connected from this external source, thereby deeming it suspicious. Further investigation by Darktrace’s analyst team revealed that the endpoint had been flagged as malicious by several open-source intelligence (OSINT) vendors.

External Summary highlighting the rarity of the rare external source from which the Teams messages were sent.
Figure 3: External Summary highlighting the rarity of the rare external source from which the Teams messages were sent.

Following Darktrace’s initial detection of these suspicious Microsoft Teams messages, Darktrace's autonomous response was able to further support the customer by providing suggested mitigative actions that could be applied to stop the external user from sending any additional phishing messages.

Unfortunately, at the time of this attack Darktrace's autonomous response capability was configured in human confirmation mode, meaning any autonomous response actions had to be manually actioned by the customer. Had it been enabled in autonomous response mode, it would have been able promptly disrupt the attack, disabling the external user to prevent them from continuing their phishing attempts and securing precious time for the customer’s security team to begin their own remediation procedures.

Darktrace autonomous response actions that were suggested following the ’Large Volume of Messages Sent from New External User’ detection model alert.
Figure 4: Darktrace autonomous response actions that were suggested following the ’Large Volume of Messages Sent from New External User’ detection model alert.

External URL Sent within Teams Chats

Within the 21 Teams chats created by the threat actor, Darktrace identified 21 different external URLs being sent, all of which included the domain "cloud-sharcpoint[.]com”. Many of these URLs had been recently established and had been flagged as malicious by OSINT providers [3]. This was likely an attempt to impersonate “cloud-sharepoint[.]com”, the legitimate domain of Microsoft SharePoint, with the threat actor attempting to ‘typo-squat’ the URL to convince endpoint users to trust the legitimacy of the link. Typo-squatted domains are commonly misspelled URLs registered by opportunistic attackers in the hope of gaining the trust of unsuspecting targets. They are often used for nefarious purposes like dropping malicious files on devices or harvesting credentials.

Upon clicking this malicious link, users were directed to a similarly typo-squatted domain, “InternatlonalHotelChain[.]sharcpoInte-docs[.]com”. This domain was likely made to appear like the SharePoint URL used by the international hotel chain being impersonated.

Redirected link to a fake SharePoint page attempting to impersonate an international hotel chain.
Figure 5: Redirected link to a fake SharePoint page attempting to impersonate an international hotel chain.

This fake SharePoint page used the branding of the international hotel chain and contained a document named “New Employee Loyalty Program”; the same name given to the phishing messages sent by the attacker on Microsoft Teams. Upon accessing this file, users would be directed to a credential harvester, masquerading as a Microsoft login page, and prompted to enter their credentials. If successful, this would allow the attacker to gain unauthorized access to a user’s SaaS account, thereby compromising the account and enabling further escalation in the customer’s environment.

Figure 6: A fake Microsoft login page that popped-up when attempting to open the ’New Employee Loyalty Program’ document.

This is a clear example of an attacker attempting to leverage social engineering tactics to gain the trust of their targets and convince them to inadvertently compromise their account. Many corporate organizations partner with other companies and well-known brands to offer their employees loyalty programs as part of their employment benefits and perks. As such, it would not necessarily be unexpected for employees to receive such an offer from an international hotel chain. By impersonating an international hotel chain, threat actors would increase the probability of convincing their targets to trust and click their malicious messages and links, and unintentionally compromising their accounts.

In spite of the attacker’s attempts to impersonate reputable brands, platforms, Darktrace/Apps was able to successfully recognize the malicious intent behind this phishing campaign and suggest steps to contain the attack. Darktrace recognized that the user in question had deviated from its ‘learned’ pattern of behavior by connecting to the customer’s SaaS environment from an unusual external location, before proceeding to send an unusually large volume of messages via Teams, indicating that the SaaS account had been compromised.

A Wider Campaign?

Around a month later, in March 2024, Darktrace observed a similar incident of a malicious actor impersonating the same international hotel chain in a phishing attacking using Microsoft Teams, suggesting that this was part of a wider phishing campaign. Like the previous example, this customer was also based in the EMEA region.  

The attack tactics identified in this instance were very similar to the previously example, with a new external user identified within the network proceeding to create a series of Teams messages named “New Employee Loyalty Program” containing a typo-squatted external links.

There were a few differences with this second incident, however, with the attacker using the domain “@InternationalHotelChainExpeditions[.]onmicrosoft[.]com” to send their malicious Teams messages and using differently typo-squatted URLs to imitate Microsoft SharePoint.

As both customers targeted by this phishing campaign were subscribed to Darktrace’s Proactive Threat Notification (PTN) service, this suspicious SaaS activity was promptly escalated to the Darktrace Security Operations Center (SOC) for immediate triage and investigation. Following their investigation, the SOC team sent an alert to the customers informing them of the compromise and advising urgent follow-up.

Schlussfolgerung

While there are clear similarities between these Microsoft Teams-based phishing attacks, the attackers here have seemingly sought ways to refine their tactics, techniques, and procedures (TTPs), leveraging new connection locations and creating new malicious URLs in an effort to outmaneuver human security teams and conventional security tools.

As cyber threats grow increasingly sophisticated and evasive, it is crucial for organizations to employ intelligent security solutions that can see through social engineering techniques and pinpoint suspicious activity early.

Darktrace’s Self-Learning AI understands customer environments and is able to recognize the subtle deviations in a device’s behavioral pattern, enabling it to effectively identify suspicious activity even when attackers adapt their strategies. In this instance, this allowed Darktrace to detect the phishing messages, and the malicious links contained within them, despite the seemingly trustworthy source and use of a reputable platform like Microsoft Teams.

Credit to Min Kim, Cyber Security Analyst, Raymond Norbert, Cyber Security Analyst and Ryan Traill, Threat Content Lead

Anhang

Darktrace Model Detections

SaaS Model

Large Volume of Messages Sent from New External User

SaaS / Unusual Activity / Large Volume of Messages Sent from New External User

Indicators of Compromise (IoCs)

IoC – Type - Description

https://cloud-sharcpoint[.]com/[a-zA-Z0-9]{15} - Example hostname - Malicious phishing redirection link

InternatlonalHotelChain[.]sharcpolnte-docs[.]com – Hostname – Redirected Link

195.242.125[.]186 - External Source IP Address – Malicious Endpoint

MITRE Tactics

Tactic – Technique

Phishing – Initial Access (T1566)

References

[1] https://learn.microsoft.com/en-us/microsoftteams/trusted-organizations-external-meetings-chat?tabs=organization-settings

[2] https://www.virustotal.com/gui/ip-address/195.242.125.186/detection

[3] https://www.virustotal.com/gui/domain/cloud-sharcpoint.com

Continue reading
About the author
Min Kim
Cyber Security Analyst
Our ai. Your data.

Elevate your cyber defenses with Darktrace AI

Starten Sie Ihren kostenlosen Test
Darktrace AI protecting a business from cyber threats.