1

Kontakt

Wir freuen uns auf den Dialog mit Ihnen.

5 + 9 =

Rufen Sie an:

+ 49 911 180 79 60

Jetzt Kontakt aufnehmen

Auf Ransomware reagieren: Zeit ist von entscheidender Bedeutung

von Jul 16, 2020Cybersecurity, Cyberangriffe0 Kommentare

Wie Sie Ihr Unternehmen vor Ransomware schützen können

Ransomware ist nichts weniger als eine Cyber-Pest. Die finanziellen Auswirkungen im Jahr 2017 werden weltweit auf rund 5 Milliarden US-Dollar geschätzt. Dies entspricht laut „The Hill“ einer Steigerung von 1.400 Prozent gegenüber 2016. Und 2018 hat einen ebenso ungünstigen Start hingelegt. Die März-SamSam-Infektion, die die IT-Infrastruktur von Atlanta lahmgelegt und Schäden in Höhe von 2,7 Millionen US-Dollar verursacht hat, ist für uns neu. Dies gilt auch für die Cyberangriffe gegen das Hancock Health Hospital, das Verkehrsministerium von Colorado und viele andere.

Die 5-Milliarden-Dollar-Frage lautet also: Wie stoppen Sie Ransomware? Die Antwort: Bessere Funktionen zur Erkennung von Bedrohungen und zur Reaktion auf Vorfälle.

In Teil 1 dieser fünfteiligen Serie über die Reaktion auf die schädlichsten Cyber-Bedrohungen erklären wir, warum Verteidiger sich verstärkt auf die rechtzeitige Erkennung und schnelle und entschlossene Reaktion auf Vorfälle konzentrieren müssen – nicht nur auf die Prävention -, um Ransomware wirksam zu bekämpfen.

Wie Ransomware die Perimeterabwehr schlägt

Firewalls, Intrusion Detection-Systemen und anderen Perimeter-Abwehrmechanismen wurde zu viel Vertrauen geschenkt, um Ransomware zu stoppen. Die Idee, die Bösen vor den Toren zu halten, ist verlockend, aber es ist auch ein Wunschtraum. 

Das Stoppen von Ransomware und anderer Malware an den Netzwerkgrenzen schlägt aus drei Gründen fehl:

Social Engineering: Was nützt eine Festung, wenn Ihre Mitarbeiter dem Feind die Schlüssel übergeben? Social-Engineering-Taktiken wie Phishing-E-Mails sind die häufigsten Mechanismen zur Verbreitung von Ransomware. Ahnungslose Benutzer werden häufig dazu manipuliert, Links zu öffnen oder Dateien von unbekannten Absendern oder Kontakten herunterzuladen, deren Konten kompromittiert wurden. Es folgt eine Ransomware-Infektion.

Fileless Ransomware: Hacker verwenden jetzt fileless Taktiken und nutzen Funktionen, die für legitime Anwendungen wie Excel typisch sind. Beispielsweise kann eine scheinbar harmlose Tabelle ein eingebettetes Makro enthalten, das automatisch Ransomware-Skripte ausführt. Selbst Unternehmen, die fleißig mit Firewalls und Anwendungs-Whitelists der nächsten Generation arbeiten, werden diese „Zero-Footprint“ -Angriffe verpassen.

Seitliche Bewegung: Vor allem ist vorbeugende Cybersicherheit gegen eine Infektion, die bereits im Netzwerk vorhanden ist, nutzlos. Ransomware wird normalerweise über ein einzelnes gefährdetes System (z. B. einen Benutzerendpoint wie einen Desktop oder einen exponierten Server mit Internetanschluss) eingegeben. Anschließend wird eine Nachricht an einen Command-and-Control-Server (C2) gesendet. An diesem Punkt wird befohlen, bestimmte Dateitypen zu verschlüsseln, die möglicherweise vertrauliche Geschäftsdaten enthalten. Sobald dieser Prozess in Gang gesetzt ist, sind alle Wetten geschlossen.

Die Ausführung der Ransomware dauert durchschnittlich drei Sekunden, bis die Daten der Opfer verschlüsselt sind. Daher ist die Reaktionszeit entscheidend, wenn Sie daran arbeiten, einen geschäftlichen Cyberangriff zu verhindern.

Ransomware kann sich verbreiten und jedes Laufwerk infizieren, auf das ein gefährdeter Endpoint Zugriff hat.

Die Schritte zur Erkennung

Der erste Schritt zur Erkennung von Ransomware besteht darin, Protokolldaten von all Ihren Netzwerkgeräten, Sicherheitslösungen und SaaS-Anwendungen für eine gründliche Analyse zusammenzufassen.

Leider ist Alarmmüdigkeit ein häufiges Problem, das auf viele Fehlalarme zurückzuführen ist, die durch vorhandene Sicherheitstools ausgelöst werden. Während Malware mit bekannten Signaturen in der Perimeterabwehr gefangen wird, können neue Arten von Malware oder verdächtigem Dateiverkehr eine Warnung auslösen. Es kann Milliarden von täglichen Netzwerkereignissen und Tausende potenziell schädlicher Warnungen geben. Unternehmen benötigen eine Möglichkeit, alle diese Warnungen zentral zu verwalten und miteinander zu korrelieren, um zu bestimmen, welche untersucht werden sollen.

Der zweite Schritt – für gut maskierte Bedrohungen, die Ihre anfänglichen Abwehrmechanismen umgehen – besteht darin, verdächtigen C2-Verkehr zu erkennen.

Die meisten Arten von Ransomware rufen einen Server an, bevor sie mit der Verschlüsselung von Dateien beginnen. Vorausgesetzt, Sie führen eine kontinuierliche Bedrohungsüberwachung (24/7/365) mit maschinell lernbasierten Bedrohungssuchtechniken durch, die von einem Analysten für menschliche Sicherheit eingesetzt werden, ist verdächtiger C2-Verkehr nicht schwer zu erkennen.

Effektive IR koordinieren

Bedrohungen, die von den ersten Verteidigungslinien erfasst werden, können leicht abgewehrt werden. Sobald jedoch ein Endpoint infiziert ist, muss die IR schnell und präzise sein.

„Ein infizierter Endpoint muss in Quarantäne gestellt werden, sobald C2-Verkehr erkannt wird.“

Andernfalls kann sich die Ransomware seitlich bewegen, um alle zugänglichen Laufwerke zu infizieren. Die Reaktion auf Ransomware ist also eindeutig ein Wettlauf gegen die Uhr. Ein Wachsamkeitsverlust kann einen gewöhnlichen Tag in ein kafkaeskes Szenario verwandeln.

Sobald der infizierte Endpoint unter Quarantäne gestellt und weitere Forensiken durchgeführt wurden, um sicherzustellen, dass die Ransomware enthalten ist, kann die Schadenskontrolle beginnen. Zu diesem Zeitpunkt kann der gefährdete Endpoint erneut abgebildet und Dateisicherungen wiederhergestellt werden.

Beschaffung der Ressourcen für Erkennung und Reaktion

Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Bei diesen fünf Punkten der Bekämpfung von Ransomware sind die Aspekte „Erkennen“ und „Reagieren“ besonders wichtig. Sie sind jedoch auch die anspruchsvolleren Komponenten, insbesondere für kleine und mittlere Unternehmen, die möglicherweise nicht über die Ressourcen oder das Fachwissen verfügen, um eine kontinuierliche Überwachung durchzuführen.

KMU haben jedoch eine weitere Option: Managed Detection and Response (MDR). Dieses verwaltete Sicherheitsmodell versorgt KMU mit einem Team engagierter Sicherheitsingenieure, die eine kontinuierliche Überwachung von Bedrohungen durchführen und IR-Dienste bereitstellen. Es gibt keinen effektiveren Weg für KMU, Ransomware zu bekämpfen, als mit rechtzeitiger Erkennung und entscheidendem IR – MDR bietet beides und ist als vorhersehbare monatliche Ausgabe verfügbar.