Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Cyber Crime ConceptDie beiden ersten Teile dieses Leitfadens beschäftigen sich damit, ob man ein gefordertes Lösegeld zahlen oder lieber nicht zahlen sollte und was Bitcoins damit zu tun haben.

Um besser zu verstehen wie Ransomware funktioniert wurden dann die verschiedenen Typen angesehen und welche Arten von Verschlüsselung sie benutzen. Wenn es bereits passiert ist helfen allerdings auch noch einige andere Methoden. Die sollen hier kurz beleuchtet werden.

Was tun, wenn es bereits passiert ist

Die weitaus meisten Benutzer bemerken die Infektion erst in dem Moment, wenn auf dem Bildschirm eine der berüchtigten Nachrichten erscheint, dass Dateien verschlüsselt worden sind. Wenn Sie feststellen, dass Ihr Computer infiziert worden ist, fahren Sie ihn herunter oder trennen Sie ihn vom Netzwerk. Wenn Sie sich entscheiden nicht zu zahlen, scannen Sie den betroffenen Rechner zunächst mit einer Anti-Viren- und Anti-Malware-Lösung und entfernen Sie alle verdächtigen Dateien. Möglicherweise lassen sich die verschlüsselten Dateien mit Hilfe der PowerShell oder anderer Tools identifizieren. Allerdings tauchen praktisch jede Woche neue Varianten auf und so gibt es leider kein Patentrezept, um die verschlüsselten Dateien zu finden und gegebenenfalls wieder zu entschlüsseln. Die meisten Experten empfehlen es deshalb die Dateien vom BackUp aus wiederherzustellen.

Auch wenn Sie sich entschlossen haben, das geforderte Lösegeld zu zahlen, vergessen Sie nicht den Computer zu scannen und sicherzustellen, dass Sie sämtliche Schadsoftware entfernen. Es gibt zudem einige Methoden, um den Schaden wenigstens zu begrenzen.

Methoden zur Schadensbegrenzung

Überwachen der Dateiaktivitäten

Nachdem die Forscher Northeastern University 1.359 Fälle von Ransomware unter die Lupe genommen hatten, stellten sie fest, dass es durchaus möglich gewesen wäre eine erhebliche Zahl dieser Angriffe zu stoppen. Sogar dann, wenn es sich um Ransomware handelt, die Verschlüsselung und Datenlöschung nutzt. Wird ein System von einer Ransomware angegriffen, äußert sich das unter anderem in signifikanten Veränderungen, die im Filesystem sichtbar sind, zum Beispiel eine große Zahl von Löschungen im Log. Es hilft also die Dateiaktivitäten kontinuierlich zu überwachen. Beobachtet die jeweilige Software ein ungewöhnliches, von einem als normal definierten Verhalten abweichendes, sollte sie eine entsprechende Benachrichtigung versenden. Mit dieser Methode ist es möglich festzustellen, wenn Dateien erstellt, verschlüsselt oder gelöscht werden.

Benutzerverhalten analysieren

User Behavior Analytics (UBA) sind zu einer der Methoden avanciert, mit denen sich Ransomware bekämpfen lässt. Bedrohungen von innen, die durch legitime und legitimierte Benutzer verursacht werden, sind naturgemäß nicht Sache der Perimeter-Sicherheit. Für Hacker ist es kein allzu großes Problem diese Sicherheitsmaßnahmen zu umgehen und ins Innere des Netzwerks zu gelangen. Dazu nutzen die Angreifer legitime öffentliche Zugänge (E-Mail, Web, Logins) um dann intern als „legitime“ Nutzer auf Dateien und Systeme zuzugreifen.

Ransomware-Attacken sind in den allermeisten Fällen so konzipiert, dass Antiviren-Software sie nicht erkennt. Für den Administrator, der die Systemaktivitäten überwacht, sieht der Angreifer aus wie ein ganz gewöhnlicher User. Und genau an dieser Stelle setzt UBA an. Sie befasst sich sozusagen, mit dem, was man noch nicht weiß. Innerhalb der UBA-Engine werden Grenzwerte für ein als normal definiertes Verhalten hinterlegt. Weicht das Verhalten von diesen „Normalwerten“ ab, wird sofort eine Benachrichtigung versendet und ein entsprechender Bericht generiert. So kann ein Admin beispielsweise festlegen, dass er bei mehr als 1.000 innerhalb eines kurzen Zeitfensters auftretenden Dateiänderungen benachrichtigt wird.

Honeypots

Unter Umständen verschlüsseln Cyberkriminelle nicht sämtliche Dateien, sondern nur diejenigen auf die der Nutzer zuletzt zugegriffen hat. Legen Sie einen Köder mit falschen Dateien und Ordnern aus, und überwachen Sie diesen Honeypot regelmäßig. Die Methode eignet sich auch für Firmen, die ihre Dateiaktivitäten bisher noch nicht automatisch überwachen. Unter Umständen heißt das, das native File Auditing innerhalb des Systems zu aktivieren. Um Fehleinschätzungen zu verhindern, sollte man in jedem Falle sensible Bereiche priorisieren und einen Fileshare-Honigtopf anlegen.

Dieser Honigtopf enthält Dateien, die von Außen betrachtet als lohnenswertes Ziel erscheinen. In Wirklichkeit handelt es sich um falsche Dateien, die lediglich als Köder dienen. Da sich hier keine „normalen“ Benutzer bewegen, weist jede beobachtete Aktivität auf einen potenziellen Angriff hin. Sollten manuelle Methoden nicht ausreichen, muss das native Auditing aktiviert werden, um die Zugriffsaktivitäten aufzuzeichnen. Über ein entsprechendes Skript sollte der Admin immer dann benachrichtigt werden, wenn im Security Event Log ein Ereignis eingeschrieben wird (z.B. dumpel.exe).

Das Model der minimalen Rechtevergabe

Ein anderer Ansatz ist es die Daten besser zu kontrollieren und ein Modell der minimalen Rechtevergabe umzusetzen. Um unter Umständen vertrauliche Daten besser zu schützen, sollte man in jedem Fall überflüssige Gruppen mit globalen Zugriffsrechten aus den entsprechenden Listen entfernen. Wenn Gruppen wie „Alle/Jeder“, “Authenticated Users” und “Domain Users” als Datencontainer benutzt werden (wie Ordner oder SharePoint-Seiten), setzen sie unter Umständen die komplette Benutzerhierarchie einem erhöhten Risiko aus. Darüber hinaus bilden solche Ordner ein leicht zu identifizierendes Ziel für Datendiebstahl und Missbrauch. Und nicht zuletzt fallen solcherart exponierte Daten bevorzugt einem Malware-Angriff zum Opfer oder werden beschädigt. Auf einem Fileserver sind die entsprechenden Ordner die „open shares“. In einem solchem Fall sind sowohl das Dateisystem als auch die geteilten Zugriffsrechte über eine Gruppe mit globalen Zugriffsrechten erreichbar.

Im vierten und letzten Teil werden einige der wichtigsten Varianten von Ransomware aufgelistet und welche Dateitypen sie betreffen inklusive des genutzten Verschlüsselungsalgorithmus. Sie werden informiert auf welchem Weg sich die betreffende Ransomware in das jeweilige System einschleicht, ob es bereits ein Entschlüsselungstool gibt und nicht zuletzt ob die Dateien auch tatsächlich entschlüsselt werden, wenn man das geforderte Lösegeld gezahlt hat.....

David LinDavid Lin, Varonis

 

 

 

Das könnte Sie ebenfalls interessieren:

Leitfaden Ransomware – Zahlen oder nicht zahlen? (Teil 1/4)
Leitfaden Ransomware – Die wichtigsten Typen und ihre Verschlüsselung (Teil 2/4)
 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security