GFI Software: Wie man das eigene Netzwerk vor Ransomware in 3 einfachen Schritten schützen kann
Es ist eine zweite Welle oder die zweite Generation von Ransomware (Malware Erpressungssoftware) in der „freien Internetwildbahn“ zu beobachten. Die IT-Sicherheitsforscher beschreiben diese zweite Welle als deutlich gefährlicher als ihre bisherigen Vorgängerversionen. Diese Woche berichtete das Unternehmen Synology von einer zielgerichteten Attacke, die das Unternehmen bei der Verarbeitung von Kundendaten deutlich lähmte. Trend Micro berichtete über einen möglichen Nachfolger der weitverbreiteten Ransomware CryptoLocker mit dem Namen CryptoBlocker.
Ransomware ist keine neue Technik. Allerdings hat sich diese Malware-Art in den letzten 18 Monaten zu einer ernsthaften Bedrohung entwickelt, da die Daten mittlerweile derart gut von der Malware verschlüsselt werden, dass die Gefahr besteht, diese komplett zu verlieren. Gut wenn man zuvor eine Datensicherung gemacht hat…
Ransomware ist eine bestimmte Malware-Art mit dem Zweck, einen Computer, Laptop oder ein mobiles Gerät durch eine Verschlüsselung von Daten weitestgehend zu deaktivieren, indem der Nutzer des Gerätes nicht mehr auf das Gerät oder die Daten zugreifen kann. Gleichzeitig zeigt die Malware aber immer wieder zufallsgesteuert Hinweise an, was der Nutzer machen soll, um das Problem zu beheben – nämlich zahlen!.
Der Hauptzweck von Ransomware ist für die Cyberkriminellen, Geld zu verdienen. Wenn die Daten auf einem infizierten Rechner einmal verschlüsselt wurden, dann wird dem Opfer über Hinweise angezeigt, das es einen bestimmten Betrag zu zahlen hat. Wird dieser Betrag nicht gezahlt, seien die Daten verloren.
Diese Malware-Art wird ständig weiterentwickelt und nutzt auch die neuesten Technologien. Die ersten Fälle von Ransomware reichen bis ins Jahr 1989 mit dem AIDS-Trojaner zurück. Der AIDS-Trojaner führte die Nutzer damals in die Irre, indem er den Opfern vorgaukelte, dass die Software-Lizenzen des Rechners abgelaufen wären. Tatsächlich verschlüsselte der Trojaner aber nur bestimmte Dateien auf der Festplatte. Um die Lizenzen wieder zu aktivieren, sollten die Opfer einen Betrag auf ein bestimmtes Bankkonto zahlen. Im Jahr 2010 tauchte die Ransomware WinLock auf, die eigentlich sehr ähnlich vorging. Bei WinLock wurde der Zugriff auf die Benutzerschnittstelle zum Betriebssystem auf einem infizierten System blockiert und die Opfer zur Zahlung via SMS aufgefordert, um die Funktionalität wiederherzustellen.
Im letzten Jahr kam die Ransomware wieder mit aller Macht zurück. Die Malware machte sich anonyme Netzwerke (z.B. TOR) zu Nutze und verlangte die Zahlung in Bitcoins anstatt in echtem Geld. Dies macht es für die Strafverfolgungsbehörden noch schwieriger, die Cyberkriminellen zu identifizieren (z.B. CryptoLocker). Die neueste Generation von Ransomware (Citrioni) verwendet sogar einen Verschlüsselungsalgorithmus aus dem Militärumfeld, damit sichergestellt wird, dass die Daten nicht einfach selbst entschlüsselt und die Opfer nach Zahlung der Erpressungssumme die Daten sicher wieder entschlüsseln können. Die Malware wird in einer Cloud-basierten Infrastruktur verwaltet, die es zudem den Opfern erleichtert, die Erpressungssumme zu zahlen (und zu noch mehr Einnahmen auf Seiten der Cyberkriminellen führt). Zudem hat die Malware ein neues und sehr wichtiges Element integriert: Tarnung. Durch Tarnmechanismen ist die Malware in der Lage, größtenteils einer schnellen Erkennung durch AntiVirus-Lösungen zu entgehen. Dieser neueste Ausbruch zeigt mal wieder deutlich die Notwendigkeit von mehreren IT-Sicherheitsschichten und alternativen Malware-Erkennungsmethoden, um solchen Risiken entgegen zu wirken.
Lassen Sie uns einmal einen Blick darauf werfen, wie Ransomware grundsätzlich funktioniert
a.) Die Initial-Infektion mit der Ransomware: Typischerweise durch eMail-Anhänge, einem bösartigen Download oder die Installation durch eine andere Malware
b.) Die Malware richtet sich ein: Die Ransomware ändert die enstprechenden Registrierungsschlüssel und Dateien um sicherzustellen, dass der Malware-Code ausgeführt wird, wenn der Computer läuft.
c.) Nach Hause telefonieren: Die Malware ruft den Server des Angreifers an, holt sich von dort die Verschlüsselungsschlüssel und „registriert“ den neuen „Opfer-Computer / den Angriff“
d.) Die Drecksarbeit: Nun werden die Dateien auf dem Rechner des Opfers alle mit dem vom Server des Angreifers erhaltenen Schlüssel verschlüsselt
e.) Lärm machen: Abschließend zeigt die Ransomware Hinweise auf dem Bildschirm des Rechners eines Opfers an und verlangt vom Opfer die Zahlung der Erpressungssumme in Bitcoins auf bestimmten Webseiten (mit Links auf diese Webseiten)
Obwohl die Ransomware von Tag zu Tag immer anspruchsvoller wird, so bedeutet dies nicht, dass es für die Nutzer keine Chance gibt, eine Infektion zu verhindern. Hier sind drei einfach anwendbare Schritte für kleine und mittlere Unternehmen, wie die Geräte vor einer Infektion mit Ransomware im Netzwerk geschützt werden können:
- Scannen Sie alle Ihre eMails und Downloads aus dem Internet mit mindestens zwei verschiedenen AntiVirus-Lösungen
Dies gewährleistet, dass die Initial-Infektion eine deutlich geringere Chance hat, sich über das Firmennetzwerk zu verbreiten. Der Einsatz mehrerer unterschiedlicher AntiVirus-Lösungen hilft, die Bedrohung durch Zero-Day Attacken zu minimieren und die Wahrscheinlichkeit zu erhöhen, dass die Malware erkannt und gestoppt wird, bevor sie sich durch das ganze Netzwerk ausbreitet.
- Blockieren Sie die Zugriffsmöglichkeiten auf gefährliche oder ungesicherte Webseiten
Neben der eMail kann sich die Ransomware auch über gefährliche und ungesicherte Webseiten verbreiten. Vor allem ungesicherte Webseiten stellen ein gewaltiges Problem dar, da diese oftmals als seriös bekannt sind, die Nutzer diesen in der Regel vertrauen und auch regelmäßig verwenden. Dennoch können diese Webseiten auch als Helfershelfer für eine Infektion mit Ransomware diesen, da die Angreifer auf diesen Webseiten Schwachstellen wie bspw. XSS ausgenutzt haben um Code auf dem Rechner eines Besuchers dieser Webseite auszuführen. Der Browser des Besuchers wird dann angewiesen, den gefährlichen Payload auf den Rechner herunterzuladen. Die Möglichkeit, den Zugriff der Nutzer eines Netzwerkes auf vertrauenswürdige, aber verwundbare Webseiten wie auch auf generell als gefährlich bekannte Webseiten zu blockieren (bspw. mit Hilfe von Webfiltern), verringert deutlich das Risiko einer Ransomware Infektion.
- Überwachen und Blockieren Sie ausgehende Verbindungsversuche zu TOR / anonymen Netzwerken
Wenn eine Ransomware Infektion auf einem Gerät trotz umfangreichem AntiVirus-Schutz am Perimeter passiert ist, dann hilft die Möglichkeit der Überwachung des Internet-Datenverkehrs bei der Identifikation der Quelle innerhalb des eigenen Netzwerkes. Wenn darüber hinaus die Möglichkeit besteht jegliche Verbindungen zu anonymisierten Netzwerken zu verhindern – die von der Ransomware gerne zum Empfang der Verschlüsselungsschlüssel genutzt werden – dann kann die Malware nicht die Verschlüsselung der Dateien vornehmen. Ohne den Verschlüsselungsschlüssel kann die Malware nicht funktionieren. Zudem wird die Infektion nicht auf dem Server des Angreifers registriert und somit wissen die Angreifer gar nicht, dass erfolgreich ein Unternehmensnetzwerk infiltriert wurde (was in der Regel dann auch nicht zu weiteren derartigen Attacken führt, da die Angreifer der Meinung sind, keinen Erfolg gehabt zu haben).
Dies sind sehr wichtige Schritte, um sich vor Infektionen durch Malware und die Ausbreitung von Malware im eigenen Netzwerk zu schützen. Die Automatisierung durch entsprechende IT-Sicherheitslösungen ist ebenfalls unumgänglich, da man heute ein Netzwerk nicht mehr manuell 24×7 überwachen kann. Automatisierung ist zudem das Lieblingswort eines jeden Systemadministrators. GFI Software hat die letzten Malware-Internetausbrüche beobachtet. Mit der GFI WebMonitor Lösung können beispielsweise Ransomware-Ausbrüche mit einer einzigen Lösung in Schach gehalten werden.
Der GFI WebMonitor kann ihr Netzwerk schützen
- AntiVirus Scans werden mit bis zu drei verschiedenen AntiVirus Scan-Engines durchgeführt. Dies gewährleistet weitestgehend, dass keine Ransomware aus dem Internet heruntergeladen werden können. Zudem erhöht dies deutlich den Schutz vor Zero-Day Attacken.
- Äußerst robuste, integrierte IT-Sicherheitsfunktionen stellen zusätzliche Schutzebenen bereit, wenn die Nutzer aus ihrem Netzwerk auf gefährliche oder verwundbare Webseiten zugreifen (wollen). Dies reduziert zusätzlich das Risiko einer erfolgreichen Infektion.
- Falls die AntiVirus- und die zusätzlichen, integrierten IT-Sicherheitsfunktionen dennoch scheitern sollten, dann schützt die umfangreiche Webfilter-Technologie das Netzwerk durch die Blockierung der Zugriffsversuche der Ransomware auf anonymisierte Netzwerke. Die Ransomware bleibt somit wirkungslos, da sie den Schlüssel für die Verschlüsselung nicht vom Server des Angreifers herunterladen und somit auch keine Verschlüsselung der Daten vornehmen kann.
Besuchen Sie einfach einmal die Webseite des GFI WebMonitors und entdecken Sie, wie Sie das Maximum aus einer Web-Überwachungs-Lösung herausholen können. Oder registrieren Sie sich einfach für die kostenlose Testversion und überzeugen sich selbst vom Funktionsumfang der Lösung. Gerne können Sie auch schon die neue Beta-Version des neuen GFI WebMonitors 2015 testen (siehe diesen Bericht hier auf Info-Point-Security: https://www.infopoint-security.de/ueber-gfi-software/email-websicherheit/runderneuerter-gfi-webmonitor-2015-beta-1-zum-preview).
Quelle: GFI Software TalkTechToMe Weblog – Autor: Calin Ghibu
Über GFI Software:
GFI Software (www.gfisoftware.de) entwickelt hochwertige IT-Lösungen für kleine und mittlere Unternehmen mit bis zu 1000 Anwendern. GFI bietet zwei wichtige Lösungsplattformen: GFI MAX ermöglicht Managed Service Providers (MSPs) die Bereitstellung von Dienstleistungen an ihre Kunden, und GFI Cloud hilft Unternehmen mit eigenen internen IT-Teams beim Management und bei der Betreuung ihres Netzwerks über die Cloud. Mit mittlerweile über 200.000 Unternehmenskunden umfasst die GFI Produktpalette zudem Collaboration- und Anti-Spam-Lösungen, Netzwerksicherheit, Patch-Management, Faxkommunikation, E-Mail-Archivierung und Web Monitoring. GFI vertreibt seine Produkte indirekt über ein großes weltweites Partner-Netzwerk. Das Unternehmen hat mehrere Preise für seine Technologie gewonnen und ist langjähriger Microsoft Gold ISV Partner.