Das Thema lässt Schweizer Unternehmen (leider) nicht los: Unsere Erfahrung zeigt, 2016 ist eindeutig das Jahr der Ransomware! Was mit scheinbar willkürlichen Attacken auf Privatnutzer begann, ist inzwischen zu einer echten Bedrohung für Unternehmen geworden – und keine Branche ist immun dagegen. Laut Schätzungen des FBI werden die Lösegeld-Zahlungen an die Datenkidnapper dieses Jahr allein in den USA die Milliarden-Dollar-Grenze überschreiten. Die grösste Herausforderung liegt darin, die tückische Schadsoftware im eigenen Netzwerk zu erkennen und rechtzeitig zu reagieren. Wie Sie dies schaffen können, erfahren Sie in diesem Blog.
Noch nie war es für Hacker so einfach, Geld aus den Daten anderer zu machen. Gleichzeitig ist das Risiko gesunken, überhaupt erwischt zu werden. Auch sind keine komplexen kriminellen Netzwerke erforderlich, um im Extremfall ganze Unternehmen durch Ransomware lahmzulegen. Was Angreifer lediglich tun müssen: Daten verschlüsseln, die für Unternehmen existenziellen Wert haben – und dann ganz einfach für deren Freigabe ein Lösegeld erpressen. Aber zahlen Sie Lösegeld für Ihre eigenen Informationen? Wohl kaum! Obwohl sich immer mehr Schweizer Unternehmen solchen krassen Forderungen ausgesetzt sehen, muss danach wirklich kein Geld fliessen. Wir zeigen Ihnen weshalb - und wie Sie sich schützen können…
Grundsätzlich gibt es verschiedene Wege, wie die Erpressungssoftware in ein Firmennetzwerk gelangt. Entscheidend dabei ist, welche Sicherheitsbarrieren zu überwinden sind. Während die frühen Varianten aufgrund unzureichender Abwehrsysteme oftmals unbehelligt den Haupteingang passieren konnten, setzen ihre modernen Nachfolger vermehrt auf die Nebeneingänge und «Mittelsmänner». So geht eine der grössten Gefahren von Phishing-Versuchen via E-Mail aus. Oft verlinken diese dabei auf vermeintlich vertrauenswürdige Websites oder Anzeigen. In Wahrheit findet aber eine Drive-by-Download der Malware statt.
Hier hilft vor allem eines: Sensibilisieren Sie Ihre Mitarbeitenden.
Das Prinzip von Ransomware selbst hat sich über die Zeit nicht gross verändert - und ist so einfach wie perfide:
Aber auch die Entwicklung der Erpressungstrojaner bleibt nicht stehen und hat inzwischen einige hinterhältige Tricks auf Lager:
Dies zeigt die Analyse des Verlaufs einer grossen Angriffswelle durch die Ransomware «Samas». Dabei wurde deutlich, dass die Software mit einem ausgeprägten Verständnis für die Praxis von File Sharing und Datenspeicherung zu Werke gegangen war. Einmal ins Netzwerk gelangt, ermittelte das Programm zielsicher Schwachstellen im Netzwerk. Sobald ein günstiges Ziel identifiziert war, richtete sie einen Tunnel ein, über den der Angreifer schrittweise die volle Kontrolle über das Netzwerk gewann. Still und leise konnten so aus der Deckung heraus Nutzerdaten gefunden und manipuliert sowie weitere Ransomware-Dateien verteilt werden. An diesem Punkt war die Attacke jedoch längst noch nicht beendet.
Noch vor Beginn der eigentlichen Verschlüsselung drang die Malware immer weiter in die Tiefen des Netzwerks vor und löschte dabei sämtliche auffindbaren Backup-Dateien. Eine zentrale Erkenntnis, die sich für Sie als Sicherheitsverantwortlicher Ihres Unternehmens aus der Analyse ergibt:
Es zeichnet sich ein typisches Angriffsmuster ab, das viele neue Ransomware-Varianten an den Tag legen. Mit Hilfe von Command-and-Control, Reconnaissance oder Lateral Movement-Techniken durchsetzen sie die Netzwerkstrukturen effektiv, bevor sie in einem letzten Schritt die zentralen Datenbestände identifizieren, verschlüsseln und somit die Grundlage schaffen, um hohe Lösegeldsummen vom betroffenen Unternehmen zu erpressen.
Was heisst das nun für Sie? In der Sicherheitsstrategie vieler Unternehmen steht die Prävention am Perimeter im Fokus. Falls es der Schadsoftware nun gelingt, diese Hürde zu umgehen, kann der Angreifer so lange Schaden anrichten, bis der Angriff entdeckt wird – und dies kann erfahrungsgemäss mehrere Wochen dauern. Zwar versprechen einige Hersteller klassischer IT-Sicherheitslösungen Schutz vor bekannten Erpressungssoftware-Varianten wie Locky, TeslaCrypt oder CBT-Locker. Allerdings sind wir, wie viele andere Experten in diesem Punkt eher skeptisch. Warum?
Prävention ist wichtig - aber noch wichtiger ist es, Infiltrationen rasch zu erkennen und dies ist auch die grösste Herausforderung. Ransomware zeigt zum Glück verschiedene typische Verhaltensmuster, wie wir gesehen haben. Diese Muster können zwar versteckt, aber nicht vermieden werden, da sonst die Malware ihren Zweck nicht erfüllen könnte.
Die folgenden 4 Anzeichen helfen Ihnen, solche Vorgänge zu identifizieren – und, was viel entscheidender ist, auch zu detektieren:
Jedes einzelne dieser Muster kann einen Hinweis liefern – es muss aber noch kein Angriff sein. Spätestens aber, wenn sie in Kombination auftreten, müssen die Alarmglocken läutet – und man muss von einem Ransomware-Angriff ausgehen.
Um diese Anzeichen – besonders auch in Kombination – sofort zu entdecken, müssen die Ereignisse im Netzwerk konstant überwacht, korreliert und analysiert werden. Das geschieht am besten durch ein Security Information & Event Management System (SIEM). Wichtig bei der Erkennung von Lösegeldsoftware ist die Verhaltensanalyse – also das Aufdecken der geschilderten Muster und Verhaltensweisen. Denn sie versetzt Ihr Cyber Defence Team in die Lage, typische Aktivitäten vor der eigentlichen Ransomware-Attacke oder eine gerade stattfindende Verschlüsselung zu identifizieren und darauf zu reagieren. Unerlässlich ist und bleibt aber auch ein sauberer und durchgängiger Backup- & Recovery-Prozess. Dieser umfasst Hot Backups, Cold Storage sowie cloudbasierte Backups mit Versionskontrolle.
InfoGuard unterstützt Sie gerne bei der Integration und Konfiguration Ihrer Advanced Malware Protection. Sprechen Sie uns an und informieren Sie sich ganz unverbindlich über unsere verhaltensbasierte Breach Detection Lösung von Vectra Networks.
Wir finden es für Sie mit unserem Breach Detection Audit heraus! Erfahren Sie mehr in unserem Informationssheet. Einfach hier klicken und profitieren: