Wie wichtig das Thema IT-Sicherheit auch im Jahr 2019 ist, das zeigen immer wieder aktuelle Fallzahlen. Jüngstes Beispiel: laut „State of the Channel Ransomware Report“ des IT-Sicherheitsanbieters Datto haben sich die Kosten für Ausfallzeiten nach Ransomware-Angriffen gegenüber 2018 verdreifacht. Der Branchenverband Bitkom berichtet außerdem davon, dass drei von vier deutschen Unternehmen Opfer von Sabotage, Datendiebstahl oder Spionage wurden. Was also tun, im Fall der Fälle?
Ransomware steht für Lösegeld. Das fordern Erpresser, die sich mittels eines Trojaners oder einer Schadsoftware in ein IT-System eingehackt haben, selbiges lahmlegen und erst bei Zahlung einer bestimmten Summe – meist in Form der Kryptowährung Bitcoin – die Daten wieder freigeben wollen. Doch es gibt Tipps, wie man sich schützen kann …
Wie Ransomware funktioniert
Sophos, ein renommierter Anbieter für Cyber-Sicherheit, hat in einer englischsprachigen Reihe mit dem Titel „How Ransomware Attacks“ unterschiedliche Ransomware-Varianten ermittelt. Das Kompendium wurde für IT-Security-Spezialisten aufgebaut und nimmt insbesondere die nachfolgenden Aspekte in den Fokus:
Verbreitung
Ransomware wird typischerweise auf eine von drei Arten verteilt: Als Kryptowurm, der sich schnell auf andere Computer repliziert, um eine maximale Wirkung zu erzielen (z.B. WannaCry). Eine weitere Variante ist Ransomware-as-a-Service (RaaS), der verstärkt im Dark Web als Distributions-Kit verkauft wird (z.B. Sodinokibi). Die dritte Art der Verteilung erfolgt mittels eines automatisierten, aktiven gegnerischen Angriffs, bei dem Angreifer die Ransomware nach einem automatisierten Scan von Netzwerken für Systeme mit schwachem Schutz manuell einsetzen.
Kryptographisches Code Signing
Kryptographische Code Signing Ransomware versucht mit einem gekauften oder gestohlenen legitimen Zertifikat Sicherheitssoftware davon zu überzeugen, dass der Code vertrauenswürdig ist und keine Analyse benötigt.
Privilegien
Um Privilegien beziehungsweise Zugriffsrechte zu erhöhen, nutzen Angreifer leicht verfügbare Exploits wie EternalBlue. Auf diese Weise kann der Angreifer Programme wie Remote Access Tools (RATs) installieren, Daten anzeigen, ändern oder löschen sowie neue Konten mit vollen Benutzerrechten erstellen und Sicherheitssoftware deaktivieren.
Bewegung im Netz
Angreifer nutzen die seitliche Bewegung bei ihrer Jagd im Netzwerk nach Datei- und Backup-Servern, um die volle Wirkung des Ransomware-Angriffs zu entfalten. Dabei bleiben sie unter dem Radar, quasi unbemerkt. Innerhalb einer Stunde können Angreifer ein Skript erstellen, um die Ransomware auf vernetzten Endpunkten und Servern zu kopieren und auszuführen.
Fernangriffe
Dateiserver sind oft nicht mit der Ransomware infiziert. Stattdessen läuft die Attacke typischerweise auf einem oder mehreren kompromittierten Endpunkten, wobei ein privilegiertes Benutzerkonto missbraucht wird Der Zugriff kann auch über das Remote Desktop Protocol (RDP) oder via Remote Monitoring and Management (RMM)-Lösungen erfolgen.
Dateiverschlüsselung und Umbenennung
Es existiert eine Reihe von unterschiedlichen Methoden zur Dateiverschlüsselung, einschließlich des einfachen Überschreibens des Dokuments. Die meisten Methoden werden durch das Löschen des Backups oder der Originalkopie ergänzt, um den Wiederherstellungsprozess zu verhindern.
Tipps zum Ransomware-Schutz
Um sich ausreichend vor derartigen Erpressungsversuchen zu schützen, hat Sophos einige Tipps der Öffentlichkeit zur Verfügung gestellt, die präventiv wirken können:
- Überprüfen, ob ein vollständiger Bestand aller mit dem Netzwerk verbundenen Geräte existiert und ob alle Sicherheitssoftware-Lösungen, die auf diesen Geräten verwendet, auf dem neuesten Stand ist.
- Installation der neuesten Sicherheitsupdates auf allen Geräten im Netzwerk.
- Patchen aller Computer gegen die von WannaCry verwendete EternalBlue-Schwachstelle.
- Regelmäßig Backups der wichtigsten und aktuellsten Daten auf einem Offline-Speicher.
- Administratoren sollten die Multi-Faktor-Authentifizierung auf allen Managementsystemen aktivieren, um zu verhindern, dass Angreifer Sicherheitsprodukte während eines Angriffs deaktivieren.
- Die Strategie eines mehrschichtigen Sicherheitsmodells ist die beste Vorgehensweise zur Vorbeugung.
- Geeignete Security-Lösungen mit Malware-Erkennung, Exploit-Schutz sowie „Endpoint Detection and Response“ (EDR).
Viele Magazine, Blogger und IT-Security-Dienstleister bieten inzwischen ähnliche Strategien zum Schutz vor Ransomware. Insbesondere in der Vorweihnachtszeit sollten Online-Shopper vor allzu verlockenden Schnäppchen Vorsicht walten lassen: So mancher Online-Shop hatte sich in der Vergangenheit als Falle entpuppt. Die Fake-Angebote dienen lediglich dazu, Trojaner auf dem eigenen IT-System zu installieren. Auch das Karlsruher CyberForum informiert in regelmäßig wiederkehrenden Veranstaltungen über die neuesten Entwicklungen in Sachen IT-Security.
