lolloj - Fotolia

Best Practices: Ransomware verhindern oder eindämmen

Wie beugt man Ransomware-Infektionen vor und wie dämmt man den Schaden ein? Hier sind Best Practices für den Einsatz gegen Erpressungstrojaner.

Wer Mafiafilme kennt, weiß, wie das Geschäftsmodell „Erpressung“ funktioniert. Es ist ein jahrhundertealtes Geschäft. In der digitalen Welt finden sich die kriminellen Aktivitäten in Form von Cybererpressung wieder. Neu dabei ist die Vielfalt der eingesetzten Methoden. Zu den drei am häufigsten angewandten Methoden der Cybererpressung zählen Distributed-Denial-of-Service-Angriffs (DDoS), Datendiebstahl und Ransomware.

Die häufigste Form der Erpressung sind heute DDoS-Angriffe. Diese Angriffe zielen üblicherweise auf geschäftskritische Websites, beispielsweise Online-Shops, ab und können die Geschäftsabläufe von Unternehmen lahmlegen. So soll der Druck und damit die Zahlungsbereitschaft erhöht werden. Gezahlt wird üblicherweise in Bitcoin (BTC). Vor allem Provider von Hosting-Diensten werden oft mit der negativen Publicity unter Druck gesetzt, die ein Ausfall der Dienste verursachen würde.

Ein anderes Erpressungsverfahren ist die Drohung, gestohlene Daten zu veröffentlichen. Um die Verbreitung der gestohlenen und häufig sensiblen Daten zu verhindern, müssen Unternehmen hohe Summen an die Erpresser zahlen.

Eine weitere Form der Erpressung, von der in jüngster Zeit häufiger zu lesen war, ist Ransomware. Damit wird eine Schadsoftware bezeichnet, die einem Benutzer den Zugang zu seinem eigenen (infizierten) Computer unmöglich macht. Bevor der Betroffene seinen Computer wieder nutzen kann, muss er ein „Lösegeld“ zahlen. Ransomware kann auch gezielt den Zugang bestimmter Bereiche des betroffenen Systems sperren, wie beispielsweise Dateien, Anwendungen und Betriebssysteme.

Wachsende Bedrohung durch Ransomware

Gerade im letzten Jahr sind die Angriffe durch Ransomware deutlich gestiegen. Die stetig zunehmende Bedrohung ist schwieriger zu bekämpfen als andere Erpressungstaktiken. Unternehmen sollten daher wissen, wie die Angriffe ablaufen, welche Methoden verwendet werden und wie man sich vor dieser Art von Erpressung zu schützen kann.

Eigentlich verläuft die Erpressung mit Ransomware recht trivial: Der Angreifer verschlüsselt die Dateien eines Benutzers und gibt den Entschlüsselungscode erst dann heraus, wenn das geforderte Lösegeld (auf Englisch „ransom“) in Form von Bitcoin gezahlt wurde. Wie die Angriffe im Detail ablaufen, ist jedoch durchaus unterschiedlich.

Bis vor kurzem wurde Ransomware meist über das unbeabsichtigte Herunterladen (Drive-by-Downloads) von Schadsoftware aus Exploit-Kits ausgeliefert. Eine andere Variante sind Spam-Mails mit infizierten Anhängen oder Mails, die die Aufforderung enthalten, präparierte Websites mit Schadsoftware zu besuchen. Mittlerweile ändert sich die Taktik: Angreifer gehen raffinierter vor, um ihr Ziel zu erreichen. Beispielsweise mit gezielten Phishing-E-Mails, die den Eindruck vermitteln, der Absender sei ein Bewerber. Gängig sind auch E-Mails, die den Namen, die Stellenbezeichnung sowie tätigkeitsrelevante Bezeichnungen des Empfängers enthalten.

Abbildung 1: So läuft eine Ransomware-Attacke beziehungsweise -Infektion klassisch ab.

Dass einige Organisationen das geforderte Lösegeld tatsächlich zahlen, motiviert zu weiteren Angriffen dieser Art. Wenn potenzielle Angreifer eine Chance wittern, ein Lösegeld zu erbeuten, investieren sie gezielt in detaillierte Erkenntnisse über ihr potenzielles Opfer, was die Wahrscheinlichkeit einer Infektion mit Schadsoftware erhöht.

Je mehr sich Ransomware zum lukrativen Geschäftsmodell entwickelt, umso populärer werden einschlägige Services im Dark Web, die auch Anfängern mit geringem technischem Verständnis erfolgreiche Angriffe ermöglichen. Alles was der digitale Erpresser dazu braucht, gibt es auf einem USB-Stick für rund 1.000 Euro. Wer das nicht investieren möchte, kann für seine Angriffe einen gehosteten Dienst abonnieren und zahlt auf erfolgreich erpresste Gelder eine Kommission von 5 Prozent.

Ransomware: Vorbeugen und eindämmen

Wie kann man Cybererpressung bekämpfen? Ein geschärftes Bewusstsein, welche Spuren Unternehmen in der digitalen Welt hinterlassen und welche Angriffsflächen sie bieten, kann dazu beitragen, relevante Vorfälle zu vermeiden, zu erkennen und einzudämmen. Diese „Cyber Situational Awareness“ umfasst nicht nur das eigene Tun und Handeln im Unternehmen, sondern schließt auch Angreiferprofile und Taktiken, Techniken und Prozeduren (TTPs) ein.

Der so geschärfte Blick vermittelt bessere Einblicke in die Werkzeuge und Prozesse von Angreifern, die mit DDoS-Angriffen und gestohlenen Daten Erpressungsversuche unternehmen. Wer mehr über die typischen Forderungen der Erpresser und deren Fähigkeiten weiß, kann im Ernstfall bessere Entscheidungen treffen und sich vor künftigen Angriffen besser schützen.

„Es ist für Unternehmen nicht einfach, über die neuesten Innovationen auf dem Laufenden zu bleiben. Doch nur so ist es möglich, Erpressungsversuche wirksam zu verhindern.“

Alastair Paterson, Digital Shadows

Das Eindämmen der mit Ransomware verbundenen Bedrohungen ist im Vergleich zu DDoS-Angriffen und der Veröffentlichung von gestohlenen Daten komplexer. Es setzt eine Kombination aus technischen und verfahrenstechnischen Kontrollen und unternehmensweitem Engagement voraus – von Mitarbeitern über die Führungskräfte bis hin zum IT-Sicherheitsteam. Cyber Situational Awareness hilft, die Infektionsvektoren der Malware zu erkennen und geeignete Sicherheitskontrollen zum Eindämmen des Infektionsrisikos anzuwenden.

Auf Basis dieser Erkenntnisse lassen sich die Mitarbeiter für die Funktionsweise von Angriffen mit Ransomware sensibilisieren. Auch lassen sich damit technische und verfahrenstechnische Kontrollen zum Schutz vor Infektionen entwickeln. Gleiches gilt für die Entwicklung von Verhaltensstrategien im Infektionsfall. Selbstverständlich erhöht sich die Immunität gegen derartige Angriffe, wenn regelmäßig Backups gemacht werden, die nicht auf einem Netzlaufwerk liegen. Mittlerweile sind mehrere Entschlüsselungswerkzeuge veröffentlicht worden. Im Katz-und-Maus-Spiel zwischen Schadsoftware und Schutzsoftware sind solche Erfolge aber nur von kurzer Dauer. Schließlich arbeiten die Ransomware-Entwickler ständig an neuen und besseren Verschlüsselungsverfahren.

Best Practices: Vermeidung von Ransomware-Infektionen

 Mit nachfolgenden Punkten können Sie das Risiko einer Ransomware-Infektion deutlich minimieren:

  • Betriebssysteme, Software und Firmware sollten auf allen Geräten stets auf dem aktuellen Stand sein (Updates und Patches). Ein zentralisiertes Patch-Management kann diesen Prozess unterstützen.
  • Es gilt, Anti-Virensoftware (AV) auf den Endgeräten zu installieren, die Software regelmäßig zu aktualisieren und regelmäßig Scans durchzuführen. Die meisten AV-Lösungen lassen sich so einrichten, dass Updates und Scans automatisch durchgeführt werden.
  • Mitarbeiter und insbesondere Endanwender, die als Zielgruppe für Ransomware infrage kommen, sollten sensibilisiert und geschult werden. Bedrohung durch Ransomware sowie die Bedrohung durch Schadsoftware im Allgemeinen müssen Mitarbeitern bekannt sein. Das Gleiche gilt bei Verbreitungsmechanismen sowie Grundsätzen und Techniken der Informationssicherheit. Kommunikationswege sind gefragt, über die Mitarbeiter potenzielle Phishing-Versuche, verdächtige E-Mails und Dateien schnell und einfach melden können und ebenso schnell Rückmeldung erhalten.
  • Der Einsatz privilegierter Benutzerkonten verlangt eine besonders sorgfältig Administration und ein striktes Einhalten des Prinzips der „minimalen Rechte“. Administrative Zugänge sollten ausschließlich den Mitarbeitern vorbehalten sein, die diese Zugänge wirklich benötigen. Die damit ausgestatteten Mitarbeiter dürfen diese Zugänge nur für Administrationsaufgaben benutzen. Für alle anderen Aufgaben müssen auch Administratoren ganz reguläre Benutzerkonten verwenden.
  • Das Prinzip der minimalen Rechte sollte auch auf Dateien, Ordner und Netzwerkfreigaben angewandt werden. Benutzern sollte nur dann Schreibzugriff gewährt werden, wenn dies für die Arbeit notwendig ist.
  • Makrofunktion für Microsoft-Office-Dokumente, die über E-Mail erhalten wurden, sollten deaktiviert werden. Es ist sicherer, per E-Mail erhaltene Microsoft-Office-Dokumente mit einer Office-Viewer-Software anzeigen zu lassen als mit der eigentlichen Office-Anwendung.
  • Implementieren von Richtlinien für die Softwareeinschränkung (Software Restriction Policies, SRP) oder andere Kontrollen, mit denen die Ausführung von Programmdateien an Orten verhindert wird, die oft von Ransomware genutzt werden. Hierzu zählen beispielsweise temporäre Ordner für Internetbrowser oder Komprimierungs-/Dekomprimierungsprogramme, und zwar auch solche, die sich im Ordner AppData/LocalAppData befinden.

Best Practices: Ransomware-Infektionen eindämmen

Wenn es dann doch zu einer Ransomware-Infektion gekommen ist, helfen folgende Punkte, den Schaden einzudämmen:

  • Backups sollten nicht auf Netzlaufwerken aufbewahrt werden.
  • Verwendung von Cloud-basierten oder physischen Backups: Es gibt Ransomware, die auch Daten in Cloud-basierten Backups verschlüsseln kann, wenn die Systeme kontinuierlich in Echtzeit gesichert werden (permanente Synchronisierung).
  • Backups galten lange als Mittel der Wahl, um Ransomware auszustechen. Doch gezielte Angriffe auf Backup-Systeme und das langsame Korrumpieren von Daten sind nur noch eine Frage der Zeit. Die Umsetzung eines sinnvollen Backup-Programms und dessen Einhaltung ist unabdingbar. Ransomware greift erwiesenermaßen auch andere Systeme im Netzwerk an und kann gezielt nach Backup-Servern suchen, um diese Backups zu infizieren und die Anwender zur Zahlung des Lösegeldes zu zwingen.
  • Implementieren einer Positivliste der zulässigen Anwendungen und einrichten einer Sicherheitsrichtlinie, die nur die Ausführung der in der Positivliste enthaltenen Programme zulässt.
  • Für die Betriebssystemumgebung bestimmter Programme empfehlen sich virtuelle Maschinen.

Fazit

Aus Sicht der Unternehmen ist es nicht einfach, über die neuesten Trends und Innovationen auf dem Laufenden zu bleiben. Doch nur so ist es möglich, Erpressungsversuche wirksam zu verhindern und die Auswirkungen möglicher Erpressungen auf das Geschäft einzudämmen. Gewappnet mit wichtigen Informationen über Cybererpressungen, Akteure, Taktiken, Tools und Motivationen können Unternehmen ihre Abwehr effektiver aufstellen und im Falle eines Angriffs bessere und schnellere Entscheidungen treffen.

Über den Autor:
Alastair Paterson ist CEO und Mitbegründer von Digital Shadows.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close