Ransomware erkennen

So wappnen sich Unternehmen gegen hackende Piraten

Gérard Bauer ist Vice President EMEA bei Vectra Networks und blickt auf 20 Jahre Berufserfahrung im Bereich Sales- und Business Development in der IT-Branche zurück. In namenhaften Unternehmen wie Riverbed, NetApp und Siemens-Nixdorf verantwortete er in führenden Positionen die Planung und Ausführung von Markteintrittsstrategien sowie die Verkaufs- und Geschäftsentwicklung in unterschiedlichen Regionen im EMEA-Raum. Sein Fokusthema ist IT-Security, insbesondere in Hinblick auf Trends und neue Technologien.
Piraten haben viele Gesichter. Manchmal trifft man sie im Karneval mit Augenklappe und Plastiksäbel. Und manchmal agieren sie als Datenpiraten getarnt im Hintergrund und wollen horrende Lösegeldsummen für persönliche Informationen erpressen.

Stichwort Ransomware - eine Erpressungs-Malware, die Daten von einem oder mehreren Computern eines Netzwerks verschlüsselt und diese erst gegen Zahlung eines Lösegelds an die Hacker wieder herausrückt. Unternehmen jeder Größe und beinahe jeder Branche sehen sich einer wachsenden Zahl an Angriffen dieser Art ausgesetzt. Ransomware hat sich damit zu einer der IT-Security-Plagen des Jahres 2016 entwickelt. Zwischen 2005 und 2015 hat das FBI rund 7.600 registrierte Angriffe dieser Art auf Unternehmen gemeldet. Ein Drittel davon wurde allein 2015 verübt und kostete die Opfer rund 57 Millionen Dollar. Und alle paar Tage kommen neue Nachrichten über einen Ausbruch dieses heimtückischen Malware-Typs hinzu, der Firmen teilweise oder gleich komplett lahmlegt.

So rüsten sich Unternehmen gegen Ransomware

Doch schaffen traditionelle Signaturen nicht eigentlich Abhilfe bei bekannten Ransomware-Varianten wie Locky, TeslaCrypt, oder CTB-Locker? Leider nur bedingt, warnen Experten. Denn dieser Malware-Typ erweist sich für Hacker als zunehmend lukratives Geschäft, was sie darin bestärkt, stets neue Ransomware-Versionen zu entwickeln. Denn ist herkömmliche Malware in erster Linie darauf aus, Unternehmensdaten zu stehlen, geht es bei Ransomware darum, das gesamte Geschäft zu blockieren, um möglichst hohe Summen erpressen zu können: Piraterie im Jahr 2016. Damit nicht genug: Hacker, die auf Ransomware setzen, machen ihre verschlüsselten Daten außerdem schneller und einfacher zu Geld als ihre Hacking-Kollegen. Sie laufen weniger Risiko geschnappt zu werden und benötigen kein großes und komplexes Ökosystem wie andere Cyberkriminelle. Zudem spielt es für Datenerpresser keine Rolle, ob die jeweiligen Informationen für Außenstehende von Bedeutung sind. Für sie kommt es darauf an, dass die Daten für das jeweilige Unternehmen von großem Wert und unabdingbar sind.

Was sollten Unternehmen also tun, um sich der wachsenden Gefahr zu stellen?

  1. Sicherheitsvorgaben und Abwehrmechanismen überdenken: Zielten frühe Versionen von Ransomware noch auf einzelne Computernutzer ab, rücken zunehmend komplette Firmennetzwerke ins Visier der Hacker. Unternehmen, die sich gegen immer hochentwickeltere Ransomware schützen möchten, sollten sich der möglichen Einfallstore wie beispielsweise Phishing E-Mails bewusst sein und aktuelle Security Best Practices ändern und anpassen.

  2. Den Datenpiraten immer einen Schritt voraus sein: Dies gelingt durch einen verhaltensbasierten Network-Detection-Ansatz. Mit Augenmerk auf das Angriffsverhalten sollten Unternehmen versuchen, die Gefahren genau zu beschreiben und die individuelle Vorgehensweise der Hacker zu identifizieren. Denn dadurch gewinnen Firmen wertvolle Informationen. Zudem sollten sie das Netzwerk auf Encryption Key Command and Control, Network Drive Scans sowie auffälliges Verschlüsselungs-Verhalten untersuchen. Dies sind die ersten Vorboten der Datenverschlüsselung durch Ransomware. Durch eine frühzeitige Identifizierung von Angriffen können Unternehmen diese stoppen, noch bevor ein größerer Schaden verursacht wird. Kniffeliger als die Identifizierung von bereits stattgefundenen Angriffen ist es, einen solchen Angriff noch während seiner aktiven Phase zu unterbinden. Echtzeit-Erkennung ist daher ein zentrales Gegenmittel. So lässt sich eine Verschlüsselung von im Netzwerk befindlichen Daten innerhalb weniger Sekunden aufdecken, für diese Angriffe typische Verhaltensmuster erkennen und schnell Gegenmaßnahmen starten.

  3. Setzen Sie auf einen verlässlichen und umfassend getesteten Back-up- und Recovery-Plan und nutzen Sie "Honey Pot"-Köder.

Das Vorgehen bei einer Ransomware-Attacke

  1. Zuallererst geht es darum, den betroffenen Host zu isolieren und komplett herunterzufahren - idealerweise bevor es überhaupt zu einer Verschlüsselung geschäftskritischer Daten kommt.

  2. Danach sollte das System in einem sicheren Reimage-Modus neugestartet oder die Wiederherstellung von Backups ins Auge gefasst werden.

  3. Die schnellste und einfachste Lösung, die Verschlüsselung von im Netzwerk befindlichen Daten zu unterbinden, sind jedoch Canary-Files-Abwehrmaßnahmen. Hierbei werden Dateien in fingierten Ordnern, sogenannten Canary-Files, abgelegt, die keinerlei relevanten Information enthalten. Diese Ordner werden ununterbrochen auf Aktivitäten geprüft, die für Ransomware typisch sind - und bieten Unternehmen somit eine Art Frühwarnsystem.

  4. Sinnvoll ist auch, sicherzustellen, dass jeder Computer über mehrere überwachte und an das Netzwerk angeschlossenen Laufwerke sowie Dateien verfügt. Wenn nun der Versuch von einem Computer oder Nutzer ausgehend beobachtet wird, innerhalb dieser lokalen Netzwerke Dateien zu erstellen oder zu löschen, werden die Zugangsdaten des attackierten Nutzers umgehend gesperrt.

  5. IT-Abteilungen sollten zudem gewährleisten, dass die sogenannten Köderlaufwerke (Canary-Shares) ausreichend entbehrliche, beziehungsweise wirtschaftlich irrelevante, Daten enthalten. So muss die Ransomware bereits viel Zeit dafür aufbringen, diese eigentlich für das Unternehmen unwichtigen Informationen zu verschlüsseln. Dadurch lässt sich wertvolle Zeit gewinnen, um gesammelte Informationen über den unerlaubten Zugriff mit dem Rest des Netzwerkes zu teilen und es so vor weiteren, ähnlichen Attacken zu schützen.

Fazit: Abwehrmaßnahmen ergreifen, Schaden vorbeugen

"Canary Files" sind ein geeignetes Mittel, um Ransomware auf frischer Tat zu ertappen. Allerdings kann es dann unter Umständen bereits zu spät sein. Ziel ist es daher, aktiv zu werden noch bevor die Ransomware mit der Verschlüsselung beginnen kann. Entsprechende Lösungen erkennen eine Verschlüsselung von im Netzwerk befindlichen Daten, indem sie die für diese Angriffe typischen Verhaltensmuster in Echtzeit identifizieren. Dadurch können Unternehmen bereits erste Anzeichen eines Ransomware-Angriffs ausmachen und diesen unterbinden, noch bevor ein größerer Schaden entsteht.

Ransomware ist eine Sicherheitsbedrohung, der sich Unternehmen 2016 vermehrt stellen müssen. Um den Datenpiraten Paroli zu bieten, sollten sie es tunlichst vermeiden, in Deckung zu gehen und abzuwarten. Stattdessen geht es darum, so schnell wie möglich erste Anzeichen von verdächtigem Verhalten auszumachen und Canary-Files-Abwehrmaßnahmen ins Auge zu fassen, um potenziellen Schäden vorzubeugen. (fm)