Ransomeware

ransomware
@Adobe @zephyr_p

Aufspüren und Schutz vor Ransomeware - Best Practice für 2020

Einige Monate zuvor wurde einer der weltweit größten Aluminiumproduzenten, Norsk Hydro, mit einer Malware infiltriert, die 22.000 seiner Computer an 170 verschiedenen Standorten in 40 verschiedenen Ländern betraf. Im Folgenden erfahren Sie, wie Sie Ransomeware erkennen und sich vor ihnen schützen können, sowie die besten Methoden für 2020.

Malware hat sich für viele Unternehmen und Firmen als Bedrohung erwiesen.

Die meisten Organisationen haben verschiedene Methoden zur Bekämpfung von Malware ausprobiert, alle ohne Erfolg. Wenn sie herausfinden, wie sie sich vor Malware schützen können, können sie den Schaden, den sie bekanntermaßen verursacht, minimieren.

Die Folgen eines Malware-Angriffs beschränken sich nicht nur auf ungewollte Kosten.

Unternehmen verschwenden wertvolle Zeit, und ihr Ruf wird am Ende jedes Angriffs beschädigt. Die meisten Unternehmen, die von Lösegeldangriffen betroffen sind, stellen ihre Daten wieder her, zahlen das Lösegeld - oder versuchen, ihre Daten aus einem Backup wiederherzustellen.

Eine effektive Erkennung und ein effektiver Schutz vor Ransomeware sind für den Schutz Ihres Unternehmens von entscheidender Bedeutung. In einem Unternehmen ist es auch notwendig, Ihren Nachrichtenverkehr per E-Mail zu schützen. Es hat sich herausgestellt, dass E-Mail das Medium ist, über das viele Ransomeware-Attacken laufen und Ihr System kompromittiert wird.

Was ist Ransomeware?

Ransomeware ist Malware, die in den Computer des Opfers eindringt und alle ihm zur Verfügung stehenden Dateien verschlüsselt.

Einfacher ausgedrückt: Diese Software verschlüsselt alle Ihre Daten über ein Passwort, und der Hacker hat Zugriff auf Ihre Dateien, bis das Lösegeld bezahlt wurde.

Meistens erfolgt die Ransomeware-Attacke durch eine unbedeutend aussehende E-Mail, die die Benutzer dazu bringt, auf einen bösartigen Link zu klicken oder einen infizierten Anhang zu öffnen. Sobald Ihr System kompromittiert ist, greift Ransomeware auf alle Dateien des Opfers zu. Die Hacker gehen sogar so weit, dass sie damit drohen, sensible Informationen zu veröffentlichen, wenn das Lösegeld nicht wie gefordert bezahlt wird.

Aufspüren und Identifizieren von Ransomeware.

Es ist wichtig zu beachten, dass Lösegeldviren nicht dafür gebaut wurden, die Fähigkeit ihrer Schöpferzu zeigen. Der Zweck der Ransomeware ist vielmehr der Gewinn, der zum Nachteil der Benutzer erfolgt. Die meisten Benutzer und Unternehmen, auf die Lösegeldforderungen abzielen, sind oft schlecht informiert und verängstigt.

Wenn Ransomeware einen Computer oder ein anderes Gerät vollständig infiziert, wird das Gerät unbrauchbar.

Die Lösegeldforderung ist normalerweise in einer Datei auf dem Zielcomputer oder -system versteckt. Ransomeware wird als Dokument gespeichert, in Videos, E-Mails, Bildern, Programminstallationen oder an jedem anderen Ort, an dem der Hacker einen Einbruch in Ihr Systemgefunden hat, angehängt.

Sobald die infizierte Datei einen Computer infiltriert hat, blockiert sie den Zugriff auf alle Daten und manchmal auch auf das Betriebssystem selbst. Dann sendet sie eine Warnmeldung mit den Zahlungsinformationen an den Besitzer.

Die kriminellen Hacker haben in der Regel eine Zeitspanne festgelegt, in der sie bezahlen müssen, bevor die verschlüsselten Dateien endgültig gelöscht werden.

Die Taktik dieser Cyberkriminellen besteht darin, einen erschwinglichen Betrag als zu zahlendes Lösegeld vorzuschlagen und dann die Wiederherstellung von Computern und Dateien in ihrem ursprünglichen Zustand zu versprechen. Leider nehmen sich viele Benutzer und Unternehmen nicht die Zeit, ihre kritischsten und sensibelsten Daten zu sichern. Die Sicherung Ihrer Daten sollte zum Standardverfahren in Ihrem Unternehmen werden.

Die bekannteste Ransomeware

  • WannaCry
  • Kryptolocker
  • Reveton
  • Petja
  • BadRabbit
  • Puzzle

Lernen Sie, das Angriffspotential zu minimieren.

Ein Ransomeware-Angriff ist auch heute noch eine der größten Bedrohungen im Internet. Ein einfacher Klick auf den falschen Link genügt, um Ihre Dateien und wertvollen Informationen zur Handzu haben.

Der Hacker verschlüsselt dann die Informationen und schaltet sie nur unter der Bedingung eines Lösegeldes frei, das in Bitcoin oder einer anderen Krypto-Währung bezahlt wird - was die Rückverfolgung erschwert.

Viele dieser Lösegelder wurden in Bitcoin bezahlt. Die Kriminellen, die in Lösegeldangriffe verwickelt sind, erhalten ausreichend finanzielle Mittel und verbessern ihre Strategien immer weiter.

Hacker auf niedriger Ebene sind in der Regel nur daran interessiert, PCs individuell zu verschlüsseln. Kriminelle Gruppen sind eher daran interessiert, eine Hintertür in den Unternehmensnetzwerken zu erforschen. In einem Unternehmensnetzwerk kann ein Hacker maximalen Schaden anrichten, indem er so viele Geräte wie möglich auf einmal verschlüsselt.

Bei diesem Grad der Bedrohung gibt es derzeit keine Möglichkeit, sich oder Ihr Unternehmen vor Lösegeld oder anderer bösartiger Software zu schützen.

Schützen Sie sich in 10 Schritten vor Ransomeware-Angriffen.

Schützen Sie Ihr Unternehmen vor Lösegeld-Angriffen.

- Installieren Sie Patches, um Ihre Systeme auf dem neuesten Stand zu halten.

Die Behebung von Softwarefehlern kann sehr anstrengend und zeitaufwendig sein, ist aber die Mühe wert und für Ihre Sicherheit noch viel wichtiger. Hacker werden versuchen, die Schwachstellen Ihrer Software zu entdecken und sie auszunutzen, bevor Ihre Unternehmen Patches zur Verteidigung Ihrer Software testen und einsetzen können.

Ein typisches Beispiel für eine Lösegeldforderung, die Ihre Software angreift, wenn sie nicht rechtzeitig oder schnell genug gepatcht wird, ist WannaCry.

WannaCry verursachte im Sommer 2017 Verwüstungen. Die Hacker nutzten das Windows Server Message Block-Protokoll aus, das es WannaCry ermöglichte, sich selbst zu verbreiten. Es gab sogar einen Patch, der einige Monate vor dem Erfolg der Lösegeldforderung veröffentlicht wurde.

Aber nicht genug Organisationen haben ihre Infrastruktur gepatcht, und mehr als 300.000 PCs wurden infiziert. Lernen Sie diese Lektion jetzt - die viele Organisationen noch nicht gelernt haben.

Jeder dritte IT-Experte gibt zu, dass seine Organisation aufgrund einer unkorrigierten Schwachstelle geschädigt wurde. In einer Umfrage des Sicherheitsunternehmens Tripwire wurde diese Statistik bestätigt.

- Ändern Sie die Standardpasswörter für alle Zugangspunkte.

Der übliche Weg, sich mit Malware zu infizieren, ist das Klicken auf falsche Links in E-Mails. Aber was,wenn ich Ihnen sage, dass dies nicht der einzige Weg ist. Laut einer Studie von F-secure wurde bis zu einem Drittel der Lösegeldforderungen mit Brute-Force- und Remote-Desktop-Protokoll-Angriffen (RDP) verbreitet.

Ein Brute-Force-Angriff neigt dazu, auf Server und jedes andere Gerät zuzugreifen, indem sie mit Hilfevon Bots so viele Passwörter wie möglich ausprobieren - bis sie schließlich den Jackpot knacken.

Viele Unternehmen ändern ihre Standardpasswörter nicht oder verwenden keine Kombinationen. Einweiteres Problem ist, dass Unternehmen Passwörter verwenden, die recht vorhersehbar sind. Angriffe mit roher Gewalt sind bekanntermaßen kontinuierlich wirksam.

Einige Unternehmen haben sich nach dem Remote Desktop Support (RDP) erkundigt. Das RDP ermöglicht die Fernsteuerung von PCs und ist ein weiterer Kanal, der mit einem Lösegeldangriff infiziert werden kann.

Es gibt bestimmte Methoden, die Sie anwenden können, um das Risiko eines Angriffs über RDP zu verhindern. Stellen Sie sicher, dass starke Passwörter verwendet werden - und ändern Sie den RDP-Port. Wenn Sie den RDP-Port ändern, beschränken Sie damit den Zugriff auf die erforderlichen Geräte.

- Erschweren Sie den Zugang zu Ihren Netzwerken.

Hacker sind darauf aus, immer größere Summen an Gewinnen zu erzielen, so viel wie möglich. Das erklärt, warum sie im Vergleich zum Hacken eines einzelnen PCs hinter größeren Firmen und Unternehmen mit einem Firmennetzwerk her sind. Hacker analysieren ein Netzwerk gerne ausgiebig,um ihre Malware zu verbreiten, bevor sie schließlich das Ganze verschlüsseln.

Mit dem Ziel des Hackers im Hinterkopf ist es wichtig, Cyberkriminellen das Hacken zu erschweren. Segmentieren Sie Ihre Netzwerke, um sie viel stärker einzuschränken. Sichern Sie die Anzahl der Verwaltungskonten durch unbegrenzten Zugriff.

Die meisten Phishing-Angriffe sind in der Regel Entwicklern bekannt - in der Regel, weil ein Entwickleroder ein Entwicklerteam vollen Zugriff auf mehrere Systeme hat.

- Verstehen Sie, was mit Ihrem Netzwerk verbunden ist.

So sehr sich PCs und Server auch dort befinden mögen, wo Sie Daten speichern, sie sind vielleicht nicht die einzigen Geräte, über die Sie sich Sorgen machen sollten. Mit dem Aufkommen des Internetder Dinge gibt es heute eine Reihe von Geräten, die mit jedem Unternehmensnetzwerk verbunden werden können.

Die meisten dieser Netzwerke verfügen nicht über die Art von Sicherheit, die Sie normalerweise in einem Unternehmen erwarten würden.

Je mehr Geräte Sie angeschlossen haben, desto größer ist das Risiko, Hackern eine Hintertür zu bieten, auf die sie zugreifen können. Hacker wollen lukrativere Ziele anvisieren als Ihren Drucker odereinen Smart Ticket-Automaten. Überlegen Sie, wer sonst noch Zugang zu Ihren Systemen hat, und schränken Sie diese nach Belieben ein.

- Verstehen Sie, was Ihre wichtigsten Daten sind, und erstellen Sie eine effektive Sicherungsstrategie.

Durch sichere und aktualisierte Backups aller wichtigen Geschäftsdaten ist die Wahrscheinlichkeit, dass Ihre Informationen mit Lösegeldern infiziert werden, geringer. Dieser Schritt spart Ihnen Zeit, falls Ransomeware bestimmte Geräte kompromittieren sollte, so dass Sie Daten wiederherstellen können und fast sofort wieder betriebsbereit sind.

Es ist jedoch entscheidend, dass Sie sich über den Standort dieser Geschäftsdaten sicher sind. Könntees sein, dass sich die privaten Daten Ihrer Kunden beim CFO befinden, die in einer Tabellen-kalkulation auf dem Desktop gespeichert sind und nicht in der Cloud?

Es ist nutzlos, ein Backup zu haben, wenn Sie das Falsche speichern oder nicht damit übereinstimmen, wertvolle Informationen und Daten dort zu speichern, wo Sie sie speichern sollten.

Denken Sie sorgfältig nach, bevor Sie ein Lösegeld zahlen

Betrachten wir ein Szenario aus dem Geschäftsleben. Denken Sie nach, Hacker haben jetzt alle Ihre Abwehrmechanismen durchbrochen, und jetzt ist jeder PC in Ihrem Unternehmen verschlüsselt.

Sie haben zwei Möglichkeiten: Sie könnten entweder ein Lösegeld von vielleicht ein paar tausend Euro zahlen oder sich weigern, zu zahlen und aus den Backups wiederherzustellen - was Tage dauern könnte, um Ihr Backup zu erstellen. Was würden Sie wählen? Zahlen Sie das Lösegeld?

Für eine Reihe von Unternehmen könnte die Zahlung des Lösegeldes der beste Schritt sein.

Wenn die Hacker nur eine erschwingliche Summe verlangen, wäre es vielleicht klug, sie zu begleichenund Ihr Unternehmen so schnell wie möglich wieder zum Laufen zu bringen.

Einige Gründe, warum es nicht ratsam sein könnte, zu zahlen.

Erstens können Sie nicht sicher sein, dass die Kriminellen Ihnen nach der Zahlung den Verschlüsselungsschlüssel schließlich doch noch geben. Schließlich sind es Piraten. Der Effekt, dass Ihre Firma das Lösegeld bezahlt, wird letztendlich weitere Angriffe fördern, die vielleicht oder vielleicht nicht unbedingt von derselben Gruppe, aber von einer anderen Gruppe stammen.

Bedenken Sie die größere Wirkung, die dies haben wird. Unabhängig davon, wie Sie das Lösegeld bezahlen, ob mit Ihrem Geld oder mit Kryptographie, beide Methoden belohnen die Banden für dieses Verhalten.

Jede Zahlung an einen Kriminellen oder kriminelle Organisation bedeutet, dass sie besser finanziert wird, um mehr Operationen gegen Sie oder andere Unternehmen durchzuführen.

Die Bezahlung mag Ihnen zwar die Mühe ersparen, aber die Zahlung des Lösegeldes nährt nur die Verbreitung von weiteren Angriffen.

- Haben Sie einen Plan, um zu wissen, wie Sie auf eine Lösegeldforderung reagieren sollen, und testen Sie ihn.

Einer der grundlegenden Bestandteile der Geschäftsplanung ist ein Notfallplan, der alle möglichen technologischen Katastrophen sowie die Reaktion auf Lösegeldforderungen berücksichtigt.

Nicht nur die technische Antwort auf die Reinigung der PCs und die Neuinstallation der Sicherungsdaten, sondern viel mehr eine umfassendere geschäftliche Reaktion, die möglicherweise erforderlich ist.

Andere Dinge, die Sie vielleicht in Betracht ziehen sollten, sind die Art und Weise, wie Sie die Angelegenheit dem Personal, den Kunden und sogar der Presse erklären können. Entscheiden Sie, obdie Aufsichtsbehörden informiert oder die Polizei oder Versicherungen kontaktiert werden sollten.

Es geht nicht nur darum, dass Sie nur ein Dokument haben, sondern dass Sie die von Ihnen gemachten Bedingungen testen, wohl wissend, dass einige davon scheitern werden.

Analysieren und filtern Sie E-Mails, bevor sie Ihre Nutzer erreichen.

Wie können Sie leicht verhindern, dass Mitarbeiter auf irgendeinen Link klicken? Erlauben Sie einer infizierten E-Mail gar nicht erst, ihren Posteingang zu erreichen.

Dies würde bedeuten, dass der Inhalt gescreent und auch E-Mails gefiltert werden müssen, was dazu beiträgt, potenziellen Phishing-Betrug und Lösegeldforderungen zu verhindern, bevor sie die Mitarbeiter erreichen.

- Verstehen Sie, was im Netzwerk geschieht.

Es gibt eine große Anzahl verwandter Sicherheitswerkzeuge, die Ihnen einen Überblick über den Datenverkehr in Ihrem Netzwerk geben können. Von Intrusion Prevention- und Detektionssystemen bis hin zu Security Information Management und Event Management (SIEM)-Paketen.

Diese Produkte bieten eine aktualisierte Übersicht über Ihr Netzwerk und helfen Ihnen, die Art von Verkehrsanomalien zu überwachen, die Ihre Software mit Ransomeware infiltrieren könnten. Sobald Sie nicht in der Lage sind, zu sehen, was in Ihrem Netzwerk vor sich geht, werden Sie nicht in der Lagesein, jeden Angriff, der auf Sie zukommt, zu stoppen.

- Stellen Sie sicher, dass Ihre Antiviren-Software auf dem neuesten Stand ist.

Das mag lächerlich erscheinen, wenn man bedenkt, dass es das erste ist, was jedes Unternehmen sicherstellen sollte, aber Sie wären überrascht, dass eine Reihe von Unternehmen immer noch keine Antiviren-Software verwenden - besonders die Kleinen.

Viele Antiviren-Software bieten Add-Ons an, die jedes Phishingverhalten im Zusammenhang mit jeder Ransomeware erkennen können, nämlich die Dateiverschlüsselung. Diese Anwendungen helfen bei der Überwachung Ihrer Dateien und gehen sogar so weit, dass sie Kopien Ihrer Dateien duplizieren, die durch Lösegeldforderungen bedroht sein könnten.

Ransomeware ist nichts Neues.

Neu ist die wachsende Zahl von Angriffen und ausgefeiltere Strategien, die die Entwicklung neuer und unerwarteter Möglichkeiten zur Ausbeutung von Einzelpersonen und Unternehmen beschleunigen. Es ist heute wichtiger als je zuvor, dass Sicherheit ein integraler Bestandteil von Geschäftsprozessen ist.

Unternehmen sollten sicher sein, mit Sicherheitsexperten zusammenzuarbeiten, die wissen, dass sie eine ausgeklügelte Sicherheitslösung brauchen, um sich zu verteidigen.

Was wir brauchen, ist ein System hochintegrierter und kooperativer Technologien, die nur in Verbindung mit wirksamen Richtlinien und einer Lebenszyklusstrategie in Form von Bereitstellung, Schutz, Aufdeckung, Reaktion und Lernen funktionieren.

Sicherheitslösungen müssen ihre Informationen gemeinsam nutzen, um Bedrohungen in der gesamten verteilten Umgebung zu erkennen und wirksam darauf zu reagieren.

Sie müssen diese Lösungen in Ihr Netzwerk einflechten, um gleichzeitig Schutz und Wachstum zu gewährleisten und sich dynamisch an neue Bedrohungen anzupassen.

Schlussfolgerung

Cyberkriminalität generiert Umsätze in Milliardenhöhe. Wie Unternehmen sind Cyberkriminelle hoch motiviert, neue Einnahmequellen zu finden. Sie verlassen sich auf Täuschung, Erpressung, Angriffe, Bedrohungen und Köder, um Zugang zu kritischen Daten und Ressourcen zu erhalten.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen