Es wird Sie vielleicht überraschen, aber nahezu jedes vertrauenswürdige Antivirenprodukt kann zuverlässig vor den meisten Ransomware-Familien schützen. Viele Ransomware-Programmierer geben sich aber nicht einmal die Mühe, ihre Ransomware durch Packen oder sogenannte Obfuskation zu verstecken, was die Erkennung durch eine gute Antivirus-Lösung recht einfach macht.
Weshalb fallen dann so viele Unternehmen immer noch Ransomware zum Opfer? Das liegt weder an den Fähigkeiten ihrer Antivirus-Software noch an der Ransomware selbst, sondern daran, was die Angreifer alles tun können, sobald sie sich Zugriff auf ihr Netzwerk verschafft haben.
In diesem Blogartikel zeigen wir Ihnen, wie Ransomware-Angreifer Ihre Sicherheitslösungen umgehen, wie ein derartiger Angriff abläuft und was Sie selbst tun können, um Ihr Netzwerk abzusichern.
Zunehmende Verteilung erst nach Kompromittierung
Ransomware-Gruppen haben bei ihren Angriffen bisher eher einen direkten Ansatz verfolgt. Sie verteilten ihre Ransomware mithilfe von Spam-Kampagnen, gehackten Websites und Exploit Kits an so viele Ziele wie möglich, wobei sie zum Entschlüsseln der Dateien eher moderate Lösegelder in dreistelliger Höhe forderten. Die Angreifer verbrachten vor dem Verbreiten der Ransomware nicht viel oder gar keine Zeit damit, sich die Netzwerke ihrer Opfer näher anzusehen. Es ging also mehr um Menge als um Qualität.
Dies hat sich in den vergangenen Jahren jedoch erheblich geändert. Die Angreifer sind zunehmend wählerischer geworden und zu ausgeklügelten Angriffen nach der Kompromittierung übergegangen. Die Verbreitungsmethoden sind im Großen und Ganzen dieselben geblieben (neben einem erheblichen Anstieg der RDP-basierten Angriffe). Allerdings verbringen die Kriminellen nun vor dem Abladen ihrer Ransomware-Payloads wesentlich mehr Zeit damit, sich über das anvisierte Netzwerk zu informieren. Die durchschnittliche Malware-Verweildauer, also die Zeit zwischen der Infektion und deren Erkennung, beläuft sich laut einem Bericht des Cybersicherheitsunternehmens FireEye auf 56 Tage.
Durch sorgfältiges Auskundschaften können die Kriminellen mit ihrem Angriff eine größtmögliche Wirkung erzielen und ein entsprechend hohes Lösegeld fordern. Doch was genau tun die Angreifer während dieser 56 Tage?
- Sie erkunden das kompromittierte Netzwerk, um sich einen Überblick zu verschaffen, welche Server und Arbeitsstationen sie treffen müssen, um den größten Schaden anzurichten.
- Sie installieren Malware, mit der die Angreifer die infizierten Rechner steuern können.
- Sie sammeln Zugangsdaten und weiten Berechtigungen aus, um sich auch Zugriff auf andere Rechner im Netzwerk zu verschaffen.
- Sie exfiltrieren (also stehlen) Unternehmensdaten, um sie auf dem Schwarzmarkt zu verkaufen oder die Opfer damit zu erpressen.
- Sie machen sich kundig, welche Vorkehrungen für Back-ups eingerichtet sind und wie sie sicherstellen können, dass bei einem Angriff auch diese Sicherungen zerstört werden.
Besonders erwähnenswert ist hier, dass die Kriminellen bei dieser Art des Angriffs auch Zugriff auf die Sicherheitssysteme des Opfers erhalten und diese vor dem Abladen des Ransomware-Payloads deaktivieren können. Sobald sie sich entsprechend hohe Berechtigungen verschafft haben, deaktivieren sie die Schutzprozesse über die zentrale Übersicht der Sicherheitssoftware oder sie erstellen Ausnahmen für die ausführbaren Dateien der Ransomware, damit diese nicht erkannt werden.
Die häufigsten Angriffsvektoren für Ransomware
Ransomware ist nur ein weiteres Symptom eines größeren, systematischen Problems und sollte als das gesehen werden, was es wirklich ist: eine derzeit beliebte Methode, um mit kompromittierten Netzwerken Geld zu machen, genauso wie zuvor schon mit Cryptojacking, gestohlenen Kennwörtern und Finanzbetrug.
Unternehmen ist daher geraten, sich auf das Aufspüren und Absichern des anfänglichen Angriffspunkts zu konzentrieren, anstatt nur in Ransomware-spezifischen Schutz zu investieren. Dabei gilt es, besonders auf die häufigsten Angriffsmethoden zu achten wie:
- Schwache Zugriffsdaten: Schwache Anmeldedaten sind der Grund für viele Ransomware-Vorfälle. Angreifer nutzen in der Regel Brute-Force-Tools, um schlecht geschützte RDP-Verbindungen (Remotedesktopprotokoll) zu hacken und sich Zugriff auf das interne Netzwerk des Unternehmens zu verschaffen.
- Schwachstellen: Angreifer nutzen auch gern bekannte Sicherheitslücken in Software aus, um sich unerlaubten Zugriff auf das Netzwerk zu verschaffen. Software, die einen Fernzugriff ermöglicht, stellt ein besonders hohes Risiko dar.
- Menschliches Versagen: Das sogenannte Social Engineering (also die Manipulation der Anwender) ist bei den Angreifern auch eine beliebte Methode, um per Spear-Phishing Zugriff auf Unternehmensnetzwerke zu erlangen. Bei dieser Art der Angriffe werden die Benutzer häufig durch einen Trick dazu gebracht, bösartige Anhänge mit eingebettetem Makro zu öffnen, die dann die Malware bereitzustellen, mit deren Hilfe die Angreifer wiederum in andere Teile des Netzwerks vordringen können.
Schutz vor Ransomware-Angriffen nach einer Kompromittierung
Wie wir nun wissen, ist Ransomware nicht das Hauptproblem, weshalb es wenig Sinn hat, wenn sich Unternehmen allein auf eine auf Ransomware spezialisierte Schutzlösung verlassen. Stattdessen sollten sie sich darauf konzentrieren, mithilfe bewährter Cybersicherheitsmaßnahmen den Ausgangspunkt der Infektion abzusichern, um das Risiko einer Kompromittierung zu minimieren.
Im Folgenden haben wir eine Liste wesentlicher bewährter Cybersicherheitsmaßnahmen zusammengestellt, mit denen Sie Ihr Netzwerk vor Beeinträchtigungen und folglich auch vor daraufhin folgenden Ransomware-Angriffen schützen können.
- Mehrstufige Authentisierung (MFA): Bei der MFA müssen Benutzer anhand mehr als einer Form der Authentifizierung ihre Identität bestätigen, was sie zu einer der wirksamsten Methoden im Kampf gegen kompromittierte Anmeldedaten macht. Sie sollte wann immer möglich eingesetzt werden, insbesondere jedoch bei Administratorkonten, Systemen mit Internetverbindung und wertvollen Datenbeständen. Auch der Zugriff auf die Einstellungen der Antivirensoftware sollte mit der MFA abgesichert werden, was sich bei Antivirus-Lösungen mit einer cloudbasierten Verwaltungsplattform wie Emsisoft Management Console leicht einrichten lässt.
- Gepflegte Zugangsdaten: Um das Risiko einer Kompromittierung über die Anmeldedaten zu minimieren, müssen diese gut gepflegt werden. Alle im Netzwerk verwendeten Passwörter sollten lang, einzigartig und zufällig sein. Unternehmen sollten darüber hinaus ein System einrichten, um potenziell gefährliche Logins, wie Anmeldeversuche über einen neuen Standort, unbekannte Geräte oder TOR-Browser, zu erkennen und infrage zu stellen.
- Patchverwaltung: Angreifer nutzen häufig Schwachstellen in Software aus, um nach der Kompromittierung eines Netzwerks bösartigen Code auszuführen oder Berechtigungen auszuweiten. Jedes Unternehmen sollte daher eine wirkungsvolle Patchverwaltungsstrategie verfolgen, damit Sicherheitsupdates schnellstmöglich angewendet werden (idealerweise innerhalb einer Woche nach Veröffentlichung des Patches).
- Systemstärkung: Eine Stärkung des Systems ist nützlich, um die Angriffsoberfläche zu minimieren und mögliche Sicherheitslücken zu schließen. Je nach den Anforderungen eines Unternehmens können beispielsweise überflüssige und für Angriffe anfällige Dienste wie PowerShell, RDP, Windows Script Host, Microsoft-Office-Makros und dergleichen gesperrt oder entfernt werden.
- Malware-Schutz für Endgeräte: Wie bereits erwähnt können die meisten zuverlässigen Antivirenlösungen für Endgeräte den Großteil der Ransomware-Familien erkennen und aufhalten. Daher sollte auf allen Endgeräten des Unternehmens eine Anti-Malware-Software installiert und regelmäßig aktualisiert werden.
- Prinzip der geringsten Berechtigungen: Nach dem Prinzip der geringsten Berechtigungen hat jeder Benutzer nur die Zugriffsberechtigungen, die er für seine jeweilige Arbeit benötigt. Durch Anwendung dieses Prinzips im gesamten Netzwerk wird es Angreifern erheblich erschwert, sich nach der Kompromittierung des Gerätes oder Kontos eines Benutzers weiter im Netzwerk auszubreiten und Zugriff auf kritische Systeme oder Daten zu erlangen.
- Netzwerksegmentierung: Eine Segmentierung des Netzwerks bietet eine höhere Sicherheit und mehr Zugriffskontrolle. Mit ihr lässt sich auch vermeiden, dass Benutzer unerlaubt auf bestimmte Netzwerkressourcen zugreifen. Wird das Umkreisnetzwerk kompromittiert, kann eine gute Netzwerksegmentierung eine weitere Ausbreitung der Malware innerhalb des Netzwerks verhindern und folglich, dass Angreifer von einem System auf das nächste wechseln können.
Fazit
Moderne Ransomware kommt in der Regel erst nach einer Kompromittierung zum Einsatz. Auf diese Weise können sich Angreifer vorher Informationen über das Zielsystem verschaffen, vertrauliche Daten stehlen, Sicherheitsprozesse beenden und letztendlich mit ihrem Angriff größtmöglichen Schaden anrichten.
Wird das Risiko der Kompromittierung gesenkt, sinkt auch das Risiko eines Ransomware-Angriffs. Die wirkungsvollste und kostengünstigste Methode, um Ransomware vorzubeugen, ist also nicht der Kauf Ransomware-spezifischer Schutzlösungen, sondern das Aufspüren und Beheben möglicher Sicherheitslücken im Netzwerk.
Übersetzung: Doreen Schäfer