Thought Leadership
Die beiden ersten Teile dieses Leitfadens beschäftigen sich damit, ob man ein gefordertes Lösegeld zahlen oder lieber nicht zahlen sollte und was Bitcoins damit zu tun haben.
Um besser zu verstehen wie Ransomware funktioniert wurden dann die verschiedenen Typen angesehen und welche Arten von Verschlüsselung sie benutzen. Wenn es bereits passiert ist helfen allerdings auch noch einige andere Methoden. Die sollen hier kurz beleuchtet werden.
Was tun, wenn es bereits passiert ist
Die weitaus meisten Benutzer bemerken die Infektion erst in dem Moment, wenn auf dem Bildschirm eine der berüchtigten Nachrichten erscheint, dass Dateien verschlüsselt worden sind. Wenn Sie feststellen, dass Ihr Computer infiziert worden ist, fahren Sie ihn herunter oder trennen Sie ihn vom Netzwerk. Wenn Sie sich entscheiden nicht zu zahlen, scannen Sie den betroffenen Rechner zunächst mit einer Anti-Viren- und Anti-Malware-Lösung und entfernen Sie alle verdächtigen Dateien. Möglicherweise lassen sich die verschlüsselten Dateien mit Hilfe der PowerShell oder anderer Tools identifizieren. Allerdings tauchen praktisch jede Woche neue Varianten auf und so gibt es leider kein Patentrezept, um die verschlüsselten Dateien zu finden und gegebenenfalls wieder zu entschlüsseln. Die meisten Experten empfehlen es deshalb die Dateien vom BackUp aus wiederherzustellen.
Auch wenn Sie sich entschlossen haben, das geforderte Lösegeld zu zahlen, vergessen Sie nicht den Computer zu scannen und sicherzustellen, dass Sie sämtliche Schadsoftware entfernen. Es gibt zudem einige Methoden, um den Schaden wenigstens zu begrenzen.
Methoden zur Schadensbegrenzung
Überwachen der Dateiaktivitäten
Nachdem die Forscher Northeastern University 1.359 Fälle von Ransomware unter die Lupe genommen hatten, stellten sie fest, dass es durchaus möglich gewesen wäre eine erhebliche Zahl dieser Angriffe zu stoppen. Sogar dann, wenn es sich um Ransomware handelt, die Verschlüsselung und Datenlöschung nutzt. Wird ein System von einer Ransomware angegriffen, äußert sich das unter anderem in signifikanten Veränderungen, die im Filesystem sichtbar sind, zum Beispiel eine große Zahl von Löschungen im Log. Es hilft also die Dateiaktivitäten kontinuierlich zu überwachen. Beobachtet die jeweilige Software ein ungewöhnliches, von einem als normal definierten Verhalten abweichendes, sollte sie eine entsprechende Benachrichtigung versenden. Mit dieser Methode ist es möglich festzustellen, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.
Benutzerverhalten analysieren
User Behavior Analytics (UBA) sind zu einer der Methoden avanciert, mit denen sich Ransomware bekämpfen lässt. Bedrohungen von innen, die durch legitime und legitimierte Benutzer verursacht werden, sind naturgemäß nicht Sache der Perimeter-Sicherheit. Für Hacker ist es kein allzu großes Problem diese Sicherheitsmaßnahmen zu umgehen und ins Innere des Netzwerks zu gelangen. Dazu nutzen die Angreifer legitime öffentliche Zugänge (E-Mail, Web, Logins) um dann intern als „legitime“ Nutzer auf Dateien und Systeme zuzugreifen.
Ransomware-Attacken sind in den allermeisten Fällen so konzipiert, dass Antiviren-Software sie nicht erkennt. Für den Administrator, der die Systemaktivitäten überwacht, sieht der Angreifer aus wie ein ganz gewöhnlicher User. Und genau an dieser Stelle setzt UBA an. Sie befasst sich sozusagen, mit dem, was man noch nicht weiß. Innerhalb der UBA-Engine werden Grenzwerte für ein als normal definiertes Verhalten hinterlegt. Weicht das Verhalten von diesen „Normalwerten“ ab, wird sofort eine Benachrichtigung versendet und ein entsprechender Bericht generiert. So kann ein Admin beispielsweise festlegen, dass er bei mehr als 1.000 innerhalb eines kurzen Zeitfensters auftretenden Dateiänderungen benachrichtigt wird.
Honeypots
Unter Umständen verschlüsseln Cyberkriminelle nicht sämtliche Dateien, sondern nur diejenigen auf die der Nutzer zuletzt zugegriffen hat. Legen Sie einen Köder mit falschen Dateien und Ordnern aus, und überwachen Sie diesen Honeypot regelmäßig. Die Methode eignet sich auch für Firmen, die ihre Dateiaktivitäten bisher noch nicht automatisch überwachen. Unter Umständen heißt das, das native File Auditing innerhalb des Systems zu aktivieren. Um Fehleinschätzungen zu verhindern, sollte man in jedem Falle sensible Bereiche priorisieren und einen Fileshare-Honigtopf anlegen.
Dieser Honigtopf enthält Dateien, die von Außen betrachtet als lohnenswertes Ziel erscheinen. In Wirklichkeit handelt es sich um falsche Dateien, die lediglich als Köder dienen. Da sich hier keine „normalen“ Benutzer bewegen, weist jede beobachtete Aktivität auf einen potenziellen Angriff hin. Sollten manuelle Methoden nicht ausreichen, muss das native Auditing aktiviert werden, um die Zugriffsaktivitäten aufzuzeichnen. Über ein entsprechendes Skript sollte der Admin immer dann benachrichtigt werden, wenn im Security Event Log ein Ereignis eingeschrieben wird (z.B. dumpel.exe).
Das Model der minimalen Rechtevergabe
Ein anderer Ansatz ist es die Daten besser zu kontrollieren und ein Modell der minimalen Rechtevergabe umzusetzen. Um unter Umständen vertrauliche Daten besser zu schützen, sollte man in jedem Fall überflüssige Gruppen mit globalen Zugriffsrechten aus den entsprechenden Listen entfernen. Wenn Gruppen wie „Alle/Jeder“, “Authenticated Users” und “Domain Users” als Datencontainer benutzt werden (wie Ordner oder SharePoint-Seiten), setzen sie unter Umständen die komplette Benutzerhierarchie einem erhöhten Risiko aus. Darüber hinaus bilden solche Ordner ein leicht zu identifizierendes Ziel für Datendiebstahl und Missbrauch. Und nicht zuletzt fallen solcherart exponierte Daten bevorzugt einem Malware-Angriff zum Opfer oder werden beschädigt. Auf einem Fileserver sind die entsprechenden Ordner die „open shares“. In einem solchem Fall sind sowohl das Dateisystem als auch die geteilten Zugriffsrechte über eine Gruppe mit globalen Zugriffsrechten erreichbar.
Im vierten und letzten Teil werden einige der wichtigsten Varianten von Ransomware aufgelistet und welche Dateitypen sie betreffen inklusive des genutzten Verschlüsselungsalgorithmus. Sie werden informiert auf welchem Weg sich die betreffende Ransomware in das jeweilige System einschleicht, ob es bereits ein Entschlüsselungstool gibt und nicht zuletzt ob die Dateien auch tatsächlich entschlüsselt werden, wenn man das geforderte Lösegeld gezahlt hat…..
David Lin, Varonis
Das könnte Sie ebenfalls interessieren:
Leitfaden Ransomware – Zahlen oder nicht zahlen? (Teil 1/4)
Leitfaden Ransomware – Die wichtigsten Typen und ihre Verschlüsselung (Teil 2/4)
