Was kann ich als Unternehmen gegen Ransomware tun?
Wichtig ist der richtige Mix aus Vorbereitung, Prävention und Reaktion. Daten müssen so gesichert werden, dass sie nach einem erfolgreichen Angriff leicht wiederherstellbar sind. Die Backups sollten vom Internet getrennt sein. Netzwerkfreigaben müssen so begrenzt werden, dass die kleinstmögliche Anzahl von Benutzern und Systemen Schreibrechte besitzen.
Eine Überwachung für E-Mails und ausführbare Dateien muss ebenfalls eingesetzt werden. Zum Schutz vor den sich schnell verändernden Malware-Varianten gilt es auch unbekannte Bedrohungen zu erkennen. Mittels statischer als auch dynamischer Analyse in einer virtuellen Sandbox-Umgebung werden bösartige Verhaltensweisen identifiziert. Neueste Erkenntnisse werden über entsprechende Dienste einer Next-Generation-Sicherheitsplattform global geteilt. Hinzu kommt die Endpunktüberwachung, mittels der sich die Ausführung von bösartigen Dateien stoppen lässt, bevor sie beginnt.
Die Mehrheit der neuen Ransomware-Familien verwendet starke Kryptographie, die nicht leicht rückgängig gemacht werden kann. Ransomware lässt sich aber mitunter bereits anhand der Informationen, die in der Erpressernachricht stehen, oder mithilfe von Malware-Analyse und Threat-Intelligence-Systemen identifizieren.
- Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können. - Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen. - Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist. - Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist. - Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind. - Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat? - Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen. - Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken. - Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Was kann ich als Privatanwender gegen Ransomware tun?
Die Abwehrmaßnahmen sind zum Teil ähnlich wie bei Unternehmen, nur dass nicht der gleiche Funktionsumfang und Automatisierungsgrad zur Verfügung steht. Dies bedeutet zunächst vor allem, Backups anzulegen, getrennt vom Internet, und die Software zu aktualisieren, um Schwachstellen als Eintrittstor für Malware zu begrenzen.
Verdächtige Mails, die auf Phishing hindeuten, sollten gelöscht werden. Die enthaltenen Links könnten auch dazu dienen, Krypto-Ransomware herunterzuladen. Eine wichtige Maßnahme ist es, trotz Spam-Filter, nurE-Mails - und insbesondere E-Mail-Anhänge - von bekannten oder zu erwartenden und als legitim eingestuften Absendern zu öffnen. Im Zweifelsfall sollte der Absender überprüft werden.
Für verschiedene Arten von Ransomware sind bereits Tools zur Entschlüsselung verfügbar, so dass betroffene Nutzer auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen.
Warum ist Ransomware erfolgreich? Wieso versagen "klassische" Sicherheitslösungen hier so oft?
Ransomware-Angriffe starten oft mit einer E-Mail, die eine ausführbare Windows-Datei transportiert oder der Benutzer klickt auf einen Link, der eine ausführbare Datei herunterlädt. Zeitgemäße Netzwerksicherheitslösungen, wie zum Beispiel eine Firewall der nächsten Generation, können diese Dateien identifizieren, wenn sie das Netzwerk durchqueren und sie blockieren oder unter Quarantäne stellen. Herkömmliche Antivirus-Lösungen stoßen hier oft an ihre Grenzen und bieten nicht die erforderliche Funktionalität.
Die herkömmliche Taktik "Erkennen und darauf reagieren" ist bei Ransomware zu langsam. Wenn ein Erkennungssystem warnt, dass eine Infektion aufgetreten ist, ist es sehr wahrscheinlich schon zu spät, um die Verschlüsselung der Dateien zu verhindern. Signatur-basierte Systeme zur Erkennung neuer Malware haben sich daher als unzuverlässig erwiesen. Stattdessen sollten Systeme zum präventiven Schutz vor unbekannter Malware die bestehenden Komponenten der Netzwerksicherheit ergänzen.
Was ist in Zukunft von Ransomware zu erwarten?
Das Konzept wird noch besser anwendbar sein mit dem Wachstum des Internets der Dinge. Ein Angreifer könnte etwa in der Lage sein, einen mit dem Internet verbundenen Kühlschrank zu kompromittieren. Es wäre jedoch eine Herausforderung, daraus eine Einnahmequelle zu machen.
Die Höhe des Lösegelds dürfte künftig zunehmen, wenn das Geschäft weiterhin erfolgreich ist. Bei der Mehrheit der Ransomware-Angriffe auf einzelne Systeme liegt das Lösegeld bereits zwischen 200 und 500 Dollar, aber diese Werte können auch viel höher sein. Bei einigen hochkarätigen Angriffen gegen Krankenhäuser, betrugen die gezahlten Lösegelder weit über 10.000 Dollar.
Gezielte Ransomware-Angriffe werden sich häufen. Sind die Angreifer einmal im Netzwerk, werden sie noch gezielter nach wertvollen Dateien, Datenbanken und Backup-Systemen suchen und sogar alle diese Daten auf einmal verschlüsseln. Solche Angriffe sind bereits in freier Wildbahn identifiziert worden - wie im Fall der SamSa-Malware.