Anzeige

Ransomware

Sophos empfiehlt die folgenden Best Practices, um sich vor Ransomware und den damit verbundenen Cyberattacken zu schützen:

Auf strategischer Ebene

  • Mehrschichtiger Schutz. Da immer mehr Ransomware-Angriffe auf Erpressung abzielen, sind Backups nach wie vor notwendig, aber alleine nicht ausreichend. Es ist wichtiger denn je, Cyberkriminelle von vornherein fernzuhalten oder sie schnell zu entdecken, bevor sie Schaden anrichten. Unternehmen sollten einen mehrschichtigen Schutz einsetzen, um Angriffe an möglichst vielen Stellen im Unternehmen zu erkennen und zu blockieren.
     
  • Kombination aus menschlicher Expertise und Technologie. Der Schlüssel zum Stoppen von Ransomware ist eine umfassende Verteidigung, die eine spezielle Anti-Ransomware-Technologie und eine von Menschen geführte Bedrohungsjagd kombiniert. Die Technologie bietet den Umfang und die Automatisierung, die ein Unternehmen benötigt, während menschliche Expert:innen am besten in der Lage sind, die verräterischen Taktiken, Techniken und Verfahren zu erkennen, die darauf hinweisen, dass ein Angreifer versucht, ein Netzwerk zu infiltrieren. Wenn Unternehmen nicht über die entsprechenden Fähigkeiten verfügen, können sie die Unterstützung von externen Cybersicherheitsspezialist:innen in Anspruch nehmen.

Auf tagtäglicher taktischer Ebene

  • Warnungen zuverlässig checken. Geeignete Tools, Prozesse und Ressourcen (Mitarbeitende) müssen zur Verfügung stehen, um Bedrohungen in der Umgebung zu überwachen, zu untersuchen und darauf zu reagieren. Ransomware-Gruppen planen ihre Angriffe oft außerhalb der Stoßzeiten, an Wochenenden oder in den Ferien, da sie davon ausgehen, dass nur wenige oder gar keine Mitarbeiter:innen aufpassen.
     
  • Immer wichtig: Sichere Passwörter. Starke Passwörter sind eine der ersten Verteidigungslinien. Passwörter sollten einmalig oder komplex sein. Dies lässt sich mit einem Passwort-Manager, der die Anmeldedaten der Mitarbeitenden speichern kann, leichter bewerkstelligen.
     
  • Multifaktor-Authentifizierung (MFA). Selbst starke Passwörter können kompromittiert werden. Jede Form der Multifaktor-Authentifizierung ist besser als gar keine, um den Zugang zu wichtigen Ressourcen wie E-Mail, Remote-Management-Tools und Netzwerkressourcen zu sichern.
     
  • Sperrung zugänglicher Dienste. IT-Teams sollten Netzwerk-Scans von außen durchführen sowie Ports, die häufig von VNC, RDP oder anderen Fernzugriffstools verwendet werden, identifizieren und sperren. Wenn ein Rechner über ein Remote-Management-Tool erreichbar sein muss, sollte dieses Tool hinter ein VPN oder eine vertrauenswürdige Netzwerkzugangslösung gesetzt werden, die MFA als Teil der Anmeldung verwendet.
     
  • Auf Segmentierung und Zero-Trust setzen. Kritische Server sollten voneinander und von Workstations getrennt werden, indem sie in separate VLANs eingebunden werden. Gleichzeitig sollte auf ein Zero-Trust-Netzwerkmodell hingearbeitet werden.
     
  • Offline-Backups von Informationen und Anwendungen. Backups sollten auf dem neuesten Stand sein und ihre Wiederherstellbarkeit muss sichergestellt sein. Ebenso nützt eine Kopie des Backups offline.
     
  • Inventarisierung von Vermögenswerten und Konten. Unbekannte, ungeschützte und nicht gepatchte Geräte im Netzwerk erhöhen das Risiko und schaffen eine Situation, in der bösartige Aktivitäten unbemerkt bleiben könnten. Eine aktuelle Bestandsaufnahme aller angeschlossenen Recheninstanzen ist unerlässlich. Es sollten Netzwerk-Scans, IaaS-Tools und physische Überprüfungen gemacht werden, um sie zu lokalisieren und zu katalogisieren. Zudem muss Endpunktschutz-Software auf alle Rechner, die nicht geschützt sind.
     
  • Korrekte Konfiguration der Sicherheitsprodukte. Auch ungeschützte Systeme und Geräte sind anfällig. Es ist wichtig, dass die Sicherheitslösungen ordnungsgemäß konfiguriert sind, und die Sicherheitsrichtlinien regelmäßig überprüft und, falls erforderlich, validiert und aktualisiert werden. Neue Sicherheitsfunktionen werden nicht immer automatisch aktiviert. Der Manipulationsschutz sollte aktiv sein. 
     
  • Überprüfung von Active Directory (AD). Unternehmen sollten regelmäßig alle Konten in der AD überprüfen, damit nicht mehr Konten Zugriff haben, als für ihren Zweck erforderlich ist. Sobald Mitarbeitende aus dem Unternehmen ausscheiden, gilt es ihre Konten umgehend zu deaktivieren.
     
  • Alles patchen. Windows und andere Betriebssysteme und Software müssen auf dem neuesten Stand sein. Patches bitte korrekt installieren und für kritische Systeme wie Computer mit Internetanschluss oder Domänencontroller bereitstellen.

Sophos Endpoint-Produkte, wie etwa Intercept X, schützen Anwender, indem sie die Aktionen und das Verhalten von Ransomware und anderen Angriffen erkennen. Die CryptoGuard-Funktion blockiert den Versuch, Dateien zu verschlüsseln. Integrierte Endpoint-Erkennung und -Reaktion, einschließlich Sophos Extended Detection and Response (XDR), können dabei helfen, skrupellose Aktivitäten zu erfassen, wenn zum Beispiel Angreifer kennwortgeschützte Archive erstellen, wie sie bei der Memento Ransomware-Attacke verwendet wurden.

Weitere Informationen finden Sie in dem Report über Memento Ransomware in den SophosLabs Uncut.

www.sophos.de


Artikel zu diesem Thema

Fadenkreuz
Nov 11, 2021

Ransomware-Angriff auf MediaMarkt – Warenhaus im Fadenkreuz

Knapp sechs Wochen vor Weihnachten beginnt allmählich der Einkaufsrausch in den…
Ransomware
Nov 06, 2021

Ransomware-Attacke: „Pay or not to Pay“

Im vergangenen Jahr wurden 71 Prozent der deutschen Unternehmen durch Ransomware-Angriffe…
Hacker
Okt 21, 2021

Der große Einfluss des kleinen Ransomware-Akteurs

Regelmäßig untersucht das McAfee Enterprise Advanced Threat Research (ATR)-Team die…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.