Anzeige

Ransomware

Ransomware-Angreifer haben ihre Taktik geändert. Besonders im Visier stehen Netzwerkfreigabe-Ressourcen in Unternehmensumgebungen und der Public Cloud. Betroffen ist vor allem die Finanzbranche und innerhalb der EMEA-Region ist Deutschland das Top-Ziel, so eine neue Studie.

Ransomware stellt nach wie vor eine der größten Cyberbedrohungen für Unternehmen dar. Stand früher die Verschlüsselung von Dateien auf einzelnen Geräten im Fokus, scheint der gezielte Angriff auf Netzwerkfreigabe-Ressourcen der jüngste Trend zu sein. Cyberangreifern gelingt es immer wieder, die Sicherheit des Netzwerkperimeters zu umgehen. Dann steht ihnen der Weg frei, um die Umgebung auszukundschaften auf der Suche nach Netzwerkfreigabe-Dateien, die sie verschlüsseln.

Da viele Geschäftsanwendungen von dieser Angriffstaktik betroffen sind, bringen die Akteure auf einen Schlag mitunter das ganze Geschäft zum Erliegen. So haben sie gute Karten, dass hohe Lösegeldforderungen für die Entschlüsselung akzeptiert werden. Die Kosten für Ausfallzeiten aufgrund einer Unterbrechung des Geschäftsbetriebs, die Unfähigkeit zur Wiederherstellung gesicherter Daten und die drohenden Reputationsschäden sind für Unternehmen, die ihre Daten in der Cloud speichern, besonders gravierend.

Finanzbranche weltweit im Visier, Deutschland in der EMEA-Region Ziel Nr. 1

Vectra, spezialisiert auf die Erkennung von Bedrohungen im Netzwerk und die Reaktion darauf, verdeutlicht in seinem aktuellen „Spotlight Report on Ransomware“ verschiedene Entwicklungen dieser Cyberbedrohung. Die von Unternehmen freiwillig zur Verfügung gestellten Daten stammen aus dem Netzwerkverkehr zwischen mehr als vier Millionen Workloads und Geräten in Clouds, Rechenzentren und Unternehmensumgebungen im ersten Halbjahr 2019. Die Analyse dieser Metadaten macht sichtbar, wie Angreifer agieren,  welche Branchen sie ins Visier nehmen und in welchen Ländern sie besonders aktiv sind.

Aufgeschlüsselt nach betroffenen Branchen, in denen Angriffe auf Netzwerkdatei-Ressourcen stattfanden, zeigt sich ein hoher Prozentsatz bei der Finanz- und Versicherungsbranche (35 Prozent), gefolgt von Gesundheitseinrichtungen (18 Prozent) und der Energieversorgung (17 Prozent) in diesem Zeitraum (siehe Abb. 1).

Ransomware EMEA

Fälle von Netzwerkdatei-Verschlüsselung mit Ransomware in der EMEA-Region, aufgeschlüsselt nach Branchen (Quelle: Vectra, 2019 Spotlight Report on Ransomware)

Geografisch betrachtet war Deutschland in der EMEA-Region im beobachteten Zeitraum mit großem Abstand das Top-Ziel von Ransomware-Angriffen auf Netzwerkfreigabe-Dateien. Der Anteil dieser Bedrohung im Ransomware lag in Deutschland im untersuchten Zeitraum bei 42 Prozent. An zweiter Stelle landete die Schweiz (26 Prozent), gefolgt von Großbritannien (18 Prozent), Dänemark (8 Prozent) und Saudi-Arabien (2 Prozent). Abbildung 2 verdeutlicht die geografische Verteilung.

Ransomware EMEA

 Fälle von Netzwerkdatei-Verschlüsselung mit Ransomware in der EMEA-Region, aufgeschlüsselt nach Ländern (Quelle: Vectra, 2019 Spotlight Report on Ransomware)

KI meldet extrem schnell verdächtige Vorgänge

Wenn Unternehmen bösartige Verhaltensweisen frühzeitig im Angriffszyklus erkennen, können sie den Umfang der verschlüsselten Dateien begrenzen. Je früher es gelingt, die Verbreitung des Angriffs zu stoppen, desto eher kann ein katastrophaler Geschäftsausfall verhindert werden. Dies gilt bei Ransomware umso mehr für Netzwerkfreigabe-Dateien. Da die Angreifer gezielt vorgehen, kann deren Verweildauer im Netzwerk recht lang sein, bevor sie das finden, was sie suchen, nämlich besonders geschäftskritische Dateien. Von der Erstinfektion bis zur Verschlüsselung erkunden die Angreifer das Netzwerk oft lange Zeit völlig unbemerkt und ungestört, worin das eigentliche Problem liegt.
Unternehmen müssen daher in der Lage sein, diese Bedrohung zu erkennen. Es gibt mehrere Schritte im Angriffslebenszyklus, die Unternehmen proaktiv auf erste Anzeichen hin überwachen können. Künstliche Intelligenz leistet hierbei wertvolle Hilfe.

Eine KI-gestützte Plattform kann subtile Indikatoren für spezifisches Angriffsverhalten erfassen und ermöglicht es so, wesentlich früher zu reagieren. Eine derartige Lösung beschleunigt die Erkennung und Reaktion, indem sie Netzwerk-Metadaten mit dem richtigen Kontext sammelt, anreichert und speichert. Dadurch ist es möglich, anderenfalls unsichtbare Bedrohungen in Echtzeit zu erfassen, zu verfolgen und zu untersuchen. Entscheidend ist dabei die unternehmensweite Abdeckung von Clouds, Rechenzentren, Benutzern und IoT-Netzwerken. Nur so lässt sich sicherstellen, dass Angreifer sich nicht in einem verborgenen Winkel der heute weitreichenden IT-Umgebung eines Unternehmens verstecken können.

Ebenso wichtig wie die Fähigkeit, derartige Angriffe proaktiv zu erkennen. ist ein detaillierter Notfallplan, um einen Ransomware-Vorfall zu bewältigen. Ein dokumentierter und geprobter Reaktionsprozess ist hier hilfreich. Prophylaktische Maßnahmen wie Netzwerksegmentierung und Hostisolierung sind ebenfalls sinnvoll. Ein besonderes Augenmerk sollte den Zugangsprivilegien zuteilwerden, Ransomware kann nur mit den Rechten des Benutzers oder der Anwendung, die es startet, ausgeführt werden. Dadurch ist es möglich, rechtzeitig zu reagieren, wenn dieser Zugang kompromittiert ist, bevor beispielsweise Netzwerkfreigabe-Dateien verschlüsselt werden.

Ein besserer Schutz gegen Ransomware ist möglich, erfordert aber ein gut durchdachtes Zusammenspiel aus Prophylaxe, proaktivem Handeln mithilfe KI-basierter Erkennung und Reaktion sowie einem Notfallplan für den Fall der Fälle.
 

Andreas Müller, Regional Sales Director DACH
Andreas Müller
Regional Sales Director DACH, Vectra
Andreas Müller ist Regional Sales Director für die DACH-Region bei Vectra. Er verfügt über mehr als 15 Jahre Vertriebserfahrung im Cybersicherheitsmarkt. In früheren Funktionen leitete er den Vertrieb bei Check Point Software und zuvor bei Ivanti, ehemals Lumension, in der DACH Region. 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!