Wie man Ransomware abwehrt

Was ist ein Ransomware-Angriff?

Die verheerenden Auswirkungen von Ransomware sind in den beiden letzten Jahrzehnten weiter angewachsen. Und Ransomware hat sich vom opportunistischen Einbruchsdiebstahl zum sorgfältig orchestrierten Angriff weiterentwickelt. Weiterhin werden sowohl Privatpersonen als auch Unternehmen zum Opfer von Ransomware. Im Jahr 2021 mussten die Opfer Lösegelder von durchschnittlich 570.000 US-Dollar zahlen.

Dieser Blog-Beitrag liefert eine allgemeine Einführung in Ransomware und erläutert Maßnahmen, die Ihr Unternehmen zur Abwehr von Ransomware-Angriffen ergreifen sollte.

Was ist Ransomware?

Unter Ransomware versteht man eine Klasse von Malware, die genutzt wird, um Opfer auf digitalem Weg zur Zahlung einer bestimmten Summe zu zwingen. Sobald der Computer des Opfers gesperrt oder verschlüsselt wurde, versuchen die Ransomware-Akteure häufig, über eine entsprechende Meldung auf dem Bildschirm Geld vom Opfer zu erpressen. Dem Opfer wird mitgeteilt, dass der Zugriff erst wieder hergestellt wird, nachdem das Lösegeld gezahlt wurde.

Ransomware-Akteure wissen, wie lukrativ ihre Kampagnen sein können, und haben ihre Angriffe daher von der Erpressung einzelner Benutzer auf die Störung kompletter Unternehmen und kritischer Infrastrukturen ausgeweitet.

Wie kann ein Computer mit Ransomware infiziert werden?

Die Verbreitung von Ransomware erfolgt häufig durch Phishing-E-Mails mit bösartigen Dateianhängen oder durch unbewusste Drive-by-Downloads. Drive-by-Downloads finden statt, wenn ein Benutzer unwissentlich eine infizierte Website besucht, die ohne sein Wissen Malware herunterlädt und installiert.

Die Entwickler von Ransomware haben in ihre Malware beispielsweise Funktionen von Softwarewürmern integriert, damit sich diese in Unternehmensnetzwerken automatisch verbreiten. Damit stellen sie sicher, dass ihre Ransomware auch dann noch vorhanden ist, nachdem der Computer, auf dem der ursprüngliche Angriff stattgefunden hat, wiederhergestellt wurde.

Wie hat sich Ransomware entwickelt?

Wie bereits gesagt, haben Ransomware-Cyberkriminelle ihre Taktik geändert. Etwa ab 2019 haben sich diese Angriffe von opportunistischen Einbruchsdiebstählen zur kalkulierteren, fortgeschrittenen und andauernden Bedrohung (Advanced Persistent Threat, APT) gewandelt. Mit dieser Art des Angriffs können Cyberkriminelle sensible Daten exfiltrieren, bevor sie die betroffenen Hosts verschlüsseln, was ihnen die Tür zu mehrstufigen Erpressungen öffnet. Unternehmen werden nicht nur durch die Verschlüsselung der Hosts erpresst, ihnen wird außerdem mit der Veröffentlichung sensibler Daten gedroht. Mit dieser Strategie lassen sich weitaus höhere Summen erzielen.

Diese mehrstufigen Bedrohungen haben den Angreifern mehr Druckmittel verschafft, mit denen sie ihre Opfer zur Zahlung erpressen. Die geforderten Lösegelder können sehr hoch ausfallen. Dies hat der Angriff auf Foxconn gezeigt, bei dem anfangs 34 Millionen US-Dollar gefordert wurden. Wir gehen davon aus, dass sich dieser Trend im Jahr 2022 noch verstärken wird.

Verbreitete Varianten von Ransomware

Ransomware ist eine allgemeine Bezeichnung für eine Gruppe von unterschiedlichen Malware-Typen. Alle weisen das gemeinsame Merkmal auf, dass für die Entfernung eine Lösegeldzahlung gefordert wird, sie verhalten sich aber nicht alle auf die gleiche Weise.

Im Folgenden finden Sie einige der gängigsten Typen:

• Locker-Ransomware gilt als erster jemals entdeckter Typus von Ransomware. Wie schon der Name sagt, sperrt er Benutzer von ihren Computern aus und verlangt eine Zahlung. Dies ist eine der lähmensten Versionen, da sie sich oft nur durch ein Löschen des Systems entfernen lässt. Leider rettet Sie eine Zahlung des Lösegelds nicht immer. Einige Hacker haben Software integriert, die selbst nach der Zahlung des Lösegelds weiterhin Passwörter stiehlt.
• Crypto-Ransomware unterscheidet sich hauptsächlich dadurch, dass eine Zahlung in Kryptowährung gefordert wird. Die Hacker sperren häufig die Dateien des Benutzers und fordern eine Zahlung an eine anonyme Kryptowährungsadresse.
• Leakware stiehlt Ihre Informationen und droht Ihnen mit der Veröffentlichung Ihrer Daten, sofern Sie nicht zahlen. Zu den Daten, die ins Visier genommenen werden, können Bankdaten, Kontakte, intime Fotos und persönliche Dokumente gehören. Diese Taktik ist besonders erfolgreich, weil sie die Opfer in Panik versetzt und zur Zahlung veranlasst.
• Scareware tritt meist als gefälschte Sicherheitssoftware auf. Nachdem Sie die Software heruntergeladen haben, werden Sie über Probleme informiert, deren Beseitigung zusätzliches Geld kostet. In einigen Fällen wird Ihr Rechner mit so vielen Warnmeldungen und Popup-Fenstern geflutet, dass er so lange unbenutzbar bleibt, bis Sie auf die Zahlung eingehen.
• Ransomware as a Service (RaaS) ist eine Meta-Malware, die von Berufskriminellen eingesetzt wird. Ein Hacker bietet seine Dienste für die Erstellung und Verbreitung von Ransomware an und erhält dafür einen Teil des Lösegeldes. RaaS ist besonders gefährlich, da dieser Dienst von jedem genutzt werden kann, der auf Rache aus ist und es gezielt auf Sie abgesehen hat.

Wie man Ransomware abwehrt

Einige dieser Maßnahmen werden häufig als bewährte Praktiken eines ausgereiften Sicherheitsprogramms angesehen. Diese Maßnahmen stellen sicher, dass Ihr Unternehmen über die passenden Richtlinien, Prozesse und Verfahren verfügt, die das Risiko eines Ransomware-Angriffs verringern.

1. Halten Sie Ihre Systeme auf dem neuesten Stand. Die meisten Angriffe zielen auf Schwachstellen in Anwendungen und Betriebssystemen ab. Indem Sie sicherstellen, dass Ihre Software mit den neuesten Updates gepatcht ist, verringern Sie die Anzahl der Angriffspunkte für Angreifer erheblich.

2. Erstellen Sie für kritische Daten einen Plan für die Sicherung und Wiederherstellung der Daten. Ihr Unternehmen sollte regelmäßig Backups erstellen und testen, um die Auswirkungen von Daten- oder Systemverlusten zu begrenzen und den Wiederherstellungsprozess zu beschleunigen. Beachten Sie, dass auch Backups von Ransomware betroffen sein können, sofern eine Netzwerkverbindung besteht. Für einen optimalen Schutz sollten kritische Backups daher vom Netzwerk isoliert werden.

3. Entwickeln Sie einen Notfallplan. Erstellen, pflegen und üben Sie einen grundlegenden Notfallplan für Cybervorfälle und einen zugehörigen Kommunikationsplan, der Verfahren für Reaktionen und Benachrichtigungen bei einem Ransomware-Vorfall umfasst.

4. Entwerfen Sie Richtlinien und Grundsätze für die Cybersicherheit. Ziehen Sie die Entwicklung von Richtlinien und Grundsätzen für bestimmte Kontrollelemente in Erwägung, wie Firewalls, E-Mail-Scanner, Zulassungslisten für Anwendungen und den Fernzugriff.

5. Implementieren Sie eine umfassende Netzwerkvisibilität. Moderne Ransomware-Angreifer verbleiben in den Netzwerken der Opfer, um sensible Daten zu stehlen und die Wirkung ihrer Erpressung zu maximieren. Demzufolge verbleiben sie im System, bewegen sich lateral, nutzen Tools für den Fernzugriff und statten sich mit höheren Berechtigungen aus. Alle diese Aktionen erzeugen Netzwerkdatenverkehr, der von einem Sicherheitsteam mit Einblick in das Netzwerk erkannt und beseitigt werden kann.

6. Sensibilisieren Sie Ihre Mitarbeiter. Wer weiß, worauf er achten muss, kann potenzielle Phishing- oder Social-Engineering-Angriffe besser abwehren. Führen Sie ein Programm zur Sensibilisierung und Schulung im Hinblick auf Sicherheitsfragen ein, damit Mitarbeiter lernen, wie sie erkennen können, ob ein Dateianhang, ein Link oder eine E-Mail vertrauenswürdig ist.

7. Schützen Sie Ihre Geräte mit Antivirus-Software. Gute Antivirus Suites sind für die Bekämpfung von Ransomware unerlässlich. Sie warnen den Benutzer, sobald ein Problem erkannt wird, und können eine Infektion auch leicht entfernen. Einige Antivirus-Programme stellen für Malware mit Low-Level-Verschlüsselung kostenlose Tools für die Entschlüsselung bereit.

8. Implementieren Sie eine proaktive Threat Hunting-Methode. Unter Threat Hunting versteht man die präventive Suche nach Cyberbedrohungen, die unentdeckt in einem Netzwerk lauern. Beim Threat Hunting wird intensiv nach bösartigen Akteuren in Ihrer Umgebung gesucht, denen es gelungen ist, Ihre Maßnahmen für die Endpunktsicherheit zu überwinden.

Threat Hunting sorgt für eine wesentliche Ergänzung der Standardprozesse für Erkennung, Reaktion und Behebung. Während Sicherheitstechnologien die Rohdaten analysieren, um Warnungen zu generieren, arbeitet Threat Hunting parallel dazu, um mittels Abfragen und Automatisierung aus denselben Daten Hinweise zu gewinnen.

Durch diese proaktive Suche kann Ihr Sicherheitsteam eine potenzielle Bedrohung stoppen, bevor der Angreifer Ransomware in Ihrer Umgebung bereitstellen kann.

9. Implementierung von Zero-Trust-Sicherheitsrichtlinien. Bei der Implementierung von Zero-Trust-Sicherheitsrichtlinien liegt der Schwerpunkt für die Abwehr von Ransomware auf der Verwaltung von Benutzeridentität und -zugriff. Dies ist deshalb sinnvoll, weil menschliches Versagen die Hauptursache für die meisten Ransomware-Angriffe bildet.

Zero-Trust trägt zu einer signifikanten Verringerung der Angriffsfläche bei, da interne und externe Benutzer nur auf begrenzte Ressourcen zugreifen können und alle anderen Ressourcen vollständig verborgen bleiben. Darüber hinaus bietet Zero-Trust Funktionen für die Überwachung, Erkennung und Untersuchung von Bedrohungen, die benötigt werden, um Ransomware-Angriffe und die Exfiltration sensibler Daten zu verhindern.

Ist Ihr Unternehmen ein Ziel für Ransomware-Angriffe?

Die kurze Antwort auf diese Frage lautet: Ja. Alle kleinen bis mittelgroßen Unternehmen, alle Großunternehmen und Organisationen sind Freiwild, insbesondere in Anbetracht der jüngsten Ransomware-Angriffe.

Die ausführliche Antwort ist etwas komplizierter. Wie anfällig Sie sind und wie gut Sie Ransomware abwehren können, hängt unter anderem davon ab, wie attraktiv Ihre Daten für Cyberkriminelle sind, wie viel Einblick Sie in Ihren Netzwerkdatenverkehr haben, wie ausgereift Ihre Sicherheitsvorkehrungen sind und wie intensiv Sie Ihre Mitarbeiter im Hinblick auf Phishing-E-Mails schulen.

Fazit

Die Anzahl der Ransomware-Angriffe wird wahrscheinlich auch 2022 und danach weiter steigen, da der Zugang zu den Daten einfacher und die finanziellen Vorteile größer werden. Wir gehen davon aus, dass Cyberkriminelle große Unternehmen, kritische Infrastrukturen, Behörden, Bildungs- und Gesundheitseinrichtungen ins Visier nehmen werden.

Eine wirksame Ransomware-Prävention erfordert umfassende Netzwerktransparenz in Verbindung mit effektiver Erkennung von Bedrohungen sowie die Fähigkeit, auf Zwischenfälle zu reagieren.

• Visibilität in der Hybrid Cloud – Die Hybrid Cloud Visibility Fabric von Gigamon sammelt und aggregiert sämtliche Daten, die bewegt werden, einschließlich Ost-West-, IoT/OT- und Datenverkehr auf Containerebene, um blinde Flecken zu beseitigen.
• SSL/TLS-Dechiffrierung – Die zentralisierte SSL/TLS-Dechiffrierung von Gigamon bietet die Sichtbarkeit, die erforderlich ist, um versteckte Bedrohungen durch Angreifer aufzudecken, die verschlüsselte Kanäle für C&C und ähnliche Aktivitäten nutzen.
• Network Detection and Response (NDR) – Gigamon ThreatINSIGHT™ Guided-SaaS NDR schließt die Lücke bei der SOC-Sichtbarkeit und bietet eine hochgradig zuverlässige Erkennung von Angreifern, die schnelle und fundierte Reaktionen ermöglicht.

Mit Gigamon überwinden Sie die Bedrohung durch die heutigen ausgeklügelten Ransomware-Angriffe, die von herkömmlichen Tools nicht erkannt werden.

Ausgewählte Webinare

Erfahren Sie von unseren Experten mehr über die neuesten Trends und Best Practices zur Optimierung Ihrer Netzwerk-Visibility und -Analyse.