Gastbeitrag und Tipps von Check Point

Bei Ransomware die Zeit zurückdrehen

, München, Check Point | Autor: Egon Winter

Ransomware hat nichts von seinen Fähigkeiten verloren

Von Egon Winter, Leiter Strategische Accounts Industrie, Handel, Logistik, Energie bei Check Point

Egon Winter, Leiter Strategische Accounts Industrie, Handel, Logistik, Energie bei Check Point

Während Kryptominer-Malware im Jahr 2018 dominierte und Ransomware als die beliebteste Methode für Cyberkriminelle, um illegales Geld zu verdienen, ersetzte, verschwand Ransomware nicht vollständig – sie wurde nur gezielter eingesetzt. Cyberkriminelle haben ihre Angriffe von der Verteilung von Millionen von Phishing-E-Mails zu sorgfältig geplanten und gezielten Lösegeldangriffen weiterentwickelt. Ein wichtiges Beispiel ist der jüngste Angriff auf Norsk Hydro, einem der weltweit größten Aluminiumhersteller zeigt, dass Ransomware trotz der vermeintlich geringeren Nutzung nichts von ihrer Fähigkeit verloren hat, Unternehmen zu infizieren.

Ransomware dominiert zwar nicht mehr länger die Malware-Landschaft – aber sie kann immer noch gewaltige Schäden anrichten. Unternehmen müssen noch immer wachsam sein, wenn es um Ransomware geht

Am 18. März wurde Norsk Hydro von der LockerGoga-Ransomware getroffen, einer relativ neuen Ransomware-Variante, die erstmals im Januar 2019 zu sehen war. Die Malware zwang das Unternehmen, alle Werke und Abläufe in den USA und Europa zu isolieren und nach Möglichkeit auf manuelle Abläufe und Verfahren umzustellen. Die Malware verschlüsselte kritische Systeme und forderte eine Lösegeldzahlung. Obwohl die Handlungen des Unternehmens während des Angriffs als Beispiele für interne und externe Security-Vorfalls-Reaktionsprozesse aus dem Schulbuch gelobt wurden, erlitt es dennoch schwerwiegende Betriebsstörungen. Während das Unternehmen in der Lage war, viele Systeme schnell wieder auf einen normalen Betrieb umzustellen, erlebte es Produktionsherausforderungen und vorübergehende Stillstände an mehreren Standorten. Das Unternehmen sagte, dass es die betroffenen Systeme langsam wieder online bringt, aber die vorläufigen Kosten des Vorfalls wurden auf 300 – 350 Millionen norwegische Kronen (ca. 30 Millionen Dollar) geschätzt.

Grundlagen des Ransomware-Schutzes

Wie können Unternehmen also vermeiden, durch Ransomware-Angriffe ähnlich geschädigt zu werden? Die gute Nachricht ist, dass selbst hoch entwickelte Malware-Angriffe mit relativ einfachen Cyber Security-Tools und -prozessen neutralisiert und sogar vollständig verhindert werden können. Die Netzwerksegmentierung ist beispielsweise einfach zu implementieren – sie ist ein Grundprinzip einer intelligenten Netzwerkarchitektur -, aber sie ist unglaublich effektiv, um die Verbreitung von Malware einzudämmen und zu verhindern, dass sie sich lateral in den Netzwerken bewegt, um andere Systeme zu infizieren und zu verschlüsseln.

Es ist wichtig, gute Backups von Daten vorzuhalten, die getrennt vom Hauptnetzwerk des Unternehmens gespeichert werden. Nur so kann sichergestellt werden, dass im schlimmsten Fall und bei einem Ransomware-Angriff kritische Dateien und Informationen wiederhergestellt werden können, sobald die Infektion beseitigt ist.

Auch die Ausbildung der Mitarbeiter ist eine starke Waffe. Anhänge und Links sollten nur von wirklich vertrauenswürdigen Quellen geöffnet werden. Wenn ein Benutzer aufgefordert wird, Makros für eine Microsoft Office-Datei auszuführen, lautet die einfache Antwort – nicht! Makros werden häufig als Auslöser für den Download von Ransomware verwendet, so dass die Aufforderung, sie auf einer einfachen Office-Datei auszuführen, ein häufiger Indikator für einen Ransomware-Angriff ist. Die Verbreitung dieser Art von Bewusstsein sollte ein zentraler Bestandteil der IT-Schulung der Mitarbeiter sein.

Und natürlich ist es wichtig, die traditionellen Antiviren- und andere signaturbasierte Schutzmaßnahmen auf dem neuesten Stand zu halten. Aber diese Maßnahmen können von moderner Ransomware noch umgangen werden. Um die bestehenden Abwehrmaßnahmen zu verstärken, sind weitergehende Schutzvorkehrungen wie Bedrohungsabwehr und fortschrittliches Sandboxing erforderlich.

Vorbeugung von Infektionen

Die Extraktion von Bedrohungen funktioniert unter einer einfachen Voraussetzung: Die überwiegende Mehrheit der Ransomware und Malware wird per E-Mail verbreitet, versteckt in den gängigen Dateitypen für Unternehmen – Word-Dokumente, PDFs, Excel-Tabellen und so weiter. Aus Sicherheitssicht ist es daher am besten anzunehmen, dass jeder E-Mail-Anhang immer infiziert ist – und daraus jede potenzielle Bedrohung zu extrahieren, bevor sie an den Benutzer weitergegeben wird. An E-Mails angehängte Dokumente werden am E-Mail-Gateway dekonstruiert und verdächtige Inhalte (wie Makros und externe Links) entfernt. Das Dokument kann dann sicher rekonstruiert und an den vorgesehenen Benutzer gesendet werden. Dadurch werden die Risiken von infizierten Dateien eliminiert, ohne die Arbeit der Benutzer zu beeinträchtigen. Fortgeschrittenes Sandboxing arbeitet parallel zur Bedrohungsextraktion, um auch unbekannte Malware zu erkennen, für die es noch keine Signaturen gibt. Sandboxing überprüft eine eingehende Datei auf verdächtige Elemente auf CPU-Ebene, unterhalb der Anwendungs- oder Betriebssystemebene auf dem Prozessor, so dass er alle in die Malware integrierten Ausweichtechniken durchschauen und die potenzielle Infektion blockieren kann, bevor sie sich durchsetzen kann.

Aber auch diese Maßnahmen sind nicht perfekt – keine Verteidigung kann jemals 100 Prozent ausfallsicher sein. Es besteht immer eine geringe Chance, dass Ransomware durchschlüpft. Es steht jedoch eine zusätzliche Schutzschicht zur Verfügung, um selbst die fortschrittlichste Ransomware zu beseitigen, die es schafft, die Abwehrkräfte des Unternehmens erfolgreich zu durchbrechen und den Infektionsprozess zu starten. Diese letzte Verteidigungslinie arbeitet, indem sie die Endpunkte kontinuierlich auf die Verhaltensindikatoren überwacht, denen alle Arten von Ransomware-Varianten folgen. Diese Indikatoren sind:

  1. Erstellen eines Textdokuments, das die Lösegeldmeldung an den Benutzer enthält.
  2. Sie löschen oder versuchen, alle Schattenkopien und Sicherungsdateien zu löschen, so dass Informationen nicht leicht wiederhergestellt werden können.
  3. Sie beginnen dann einige oder alle Dateien auf dem Computer zu verschlüsseln. Diese bieten Ransomware-Forensik-Tools die Möglichkeit, einen Angriff in Mikrosekunden zu identifizieren und seine Auswirkungen abzuschwächen.

Rollback-Angriffe

Diese forensisch basierten Ransomware-Abwehrsysteme befinden sich auf einzelnen Maschinen und überwachen die oben beschriebenen verräterischen Anzeichen von Ransomware. Sobald Ransomware-Indikatoren erkannt werden, wird eine Infektion durch einen „Rollback“-Mechanismus aufgehoben. Dies funktioniert durch die Erstellung eines sofortigen Backups von allem auf dem Computer, aber nur während des Infektionsprozesses (und nicht durch die Erstellung kontinuierlicher Schattenkopien, die, wie erwähnt, von Ransomware gesucht werden sollen). Dann wird die Ransomware unter Quarantäne gestellt, um die weitere Verbreitung zu verhindern, und die gesicherten Dateien können zusammen mit dem Backup-Image des PCs innerhalb weniger Minuten verwendet werden, um die von der Ransomware verschlüsselten Dateien zu ersetzen. Dadurch werden Störungen minimiert und normale Geschäftsprozesse innerhalb von Minuten statt Tagen oder Wochen neu gestartet.

Fazit

Zusammenfassend lässt sich sagen, dass Ransomware wahrscheinlich nie verschwinden wird. Es ist unwahrscheinlich, dass Unternehmen jemals jeden Ransomware-Angriff, der auf sie abzielt, vollständig verhindern und blockieren können. Mit einem forensischen Ansatz als kritischer letzter Verteidigungslinie gegen diese schädlichen Angriffe ist es jedoch möglich, die Zeit zurückzudrehen und ihre Auswirkungen zu beseitigen.

© 2017 Infopoint Security
Impressum/Datenschutz