Die meisten Menschen bekommen eine Gänsehaut, wenn Sie an den Verlust all ihrer Daten denken. Auch für Unternehmen, die auf einen Schlag mehrere Jahre wertvolles Wissen verlieren würden, wenn sie keinen Zugriff mehr auf ihre digital gespeicherten Unterlagen hätten. Und doch wird dieser Albtraum tagtäglich für tausende Firmen dank moderner Malware der Kategorie „Ransomware“ zur bitteren Realität.
Nicht umsonst spricht man von Sicherheitsmechanismen, die nur so stark sind, wie das schwächste Glied einer Kette. Allzu oft handelt es sich dabei um einen motivierten Mitarbeiter mit besten Absichten, der bestrebt ist, seinen Job möglichst schnell zu erledigen – aber nicht unbedingt im Sinne der Datensicherheit. Schauen wir uns also die neue Ransomware, „Ransom32“ und drei empfehlenswerte Präventivmaßnahmen etwas genauer an.
Im Handumdrehen kann also eine auf NW.js basierende Anwendung sowohl auf Windows, als auch Linux und MacOS X verwendet werden. Es ist demnach nur eine Frage der Zeit, bis Ransom32 sich auch auf diesen Plattformen an den Dateien, Bildern etc. nichtsahnender Benutzer vergreift. Beim nächsten Start des Computers sieht der Benutzer dann nur noch einen Hinweis, dass all seine Daten verschlüsselt wurden und in welcher Höhe er eine Bitcoin-Zahlung veranlassen möge, um seine Daten wiederzuerlangen. Damit es gar nicht erst so weit kommt, können Sie sich an folgende Präventivmaßnahmen halten:
- Machen Sie regelmäßige Backups Ihrer Daten
Für die einen ist es so selbstverständlich wie das tägliche Zähneputzen, für die anderen eine Qual. Sie wissen, dass es dazu gehört, und Sie es öfter tun sollten, aber Sie haben keine Lust, keine Zeit oder eine andere Ausrede. Immer noch zählen Backups auf externen Festplatten oder dedizierten Rechnern zur besten Verteidigung. Oftmals hat es Ransomware bewusst auf Backups abgesehen, daher ist es besonders wichtig, dass Ihre Backups nicht im eigenen Netzwerk liegen sondern an einem sicheren, nicht leicht erreichbaren Ort. Auch ein Backup in der Cloud wäre eine Option. Egal welchen Weg Sie einschlagen, bevorzugt tägliche Backups sind derzeit die einzige günstige Alternative bei einer Infektion und Verschlüsselung durch Ransom32. Bitte denken Sie auch daran, den Datenwiederherstellungsprozess im Vorfeld zu testen, damit im Fall des Falles das Einspielen des Backups auch tatsächlich wie erwartet funktioniert. - Verlassen Sie sich nicht ausschließlich auf Malware-Signaturen
Durch den Einsatz des NW.js-Frameworks haben Sicherheitsanwendungen ihre liebe Not, vernünftige Signaturen für die Malware-Erkennung zu generieren. Denn jede Ransom32-Variante kann ein bisschen anders konfiguriert werden und würde bei einem Scan einfach durch das Netz gehen. Selbst jetzt, zwei Wochen nach dem ersten Ransom32-Fund, finden sich nur wenige brauchbare Signaturen für die Erkennung. Das ist wohl einer der Gründe, warum Ransomware uns dieses Jahr bestimmt noch öfter plagen wird und bereits jetzt als eine der größten Gefahren bezeichnet wird. Um nicht auf die (immer nachhinkende) Erkennung auf Basis von Signaturen angewiesen zu sein, können Sie auf Sicherheits-Lösungen setzen, die Malware anhand ihres Verhaltens erkennen. Derlei Verhaltensanalysen erkennen Ransomware nicht an bekannten Fingerabdrücken im Code sondern, wie der Name vermuten lässt, anhand ihres Verhaltens. - Echtzeitschutz
Gefahren kommen nicht nur von außen, sondern gerade im Unternehmensbereich auch von innen und haben einen Namen: unachtsame Mitarbeiter. Egal ob als vermeintliche Zustellinformationen, gefälschte Mahnungen oder Erinnerungen anderer Art, Ransom32 setzt darauf, dass Spam-Emails nicht immer entlarvt oder gar ohne überhaupt nachzudenken geöffnet werden. Selbst der geschulte Mitarbeiter ist nicht davor gefeit, einer überzeugend verfassten Spam-Nachricht in die Falle zu tappen und schon ist die Malware heruntergeladen und nistet sich ins System ein. Dabei kann Ransom32 noch viele andere Wege auf einen Computer nehmen, wie beispielsweise Malvertising, Exploit Kits oder Phishing. Es ist unbestritten, dass Ransomware eine Gefahrenquelle darstellt, doch sind sich viele Mitarbeiter dessen gar nicht bewusst. Der Einsatz von Software mit Scans in Echtzeit und automatischer Quarantäne ist aber weniger eine Infragestellung der „Awareness“ eines Mitarbeiters, als eine sinnvolle und unterstützende Maßnahme im Kampf gegen Ransomware. Ransom32 ist nicht nur eine x-beliebige Ransomware, sondern kommt fix und fertig mit einer Laufzeitumgebung und NW.js in einer ausführbaren Datei und ist somit unabhängig davon, ob am Zielrechner ein passendes Framework vorhanden wäre. Ransomware wird erwachsen, und zu einer immer größeren Gefahr. Selbst Rick Holland, Vizepräsident und leitender Analyst bei Forrester Research, sagte unlängst, dass nicht eine Woche vergehe, in der er nicht mit einem Kunden über einen Ransomware-Vorfall sprechen würde.
