VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

Roboter Hand Ransomware-Attacken sind zum Lieblings-Tool von Hackern geworden. Der jüngste Data Breach Investigations Report (DBIR) von Verizon besagt, dass es sich hierbei um die häufigste Art von Crimeware handelt, da das Zurückhalten von Dateien im Austausch gegen Lösegeld sehr schnell, mit geringen Risiken verbunden und zudem leicht monetisierbar ist, besonders bei anonymen Zahlungen mit Bitcoin. 

Die Zahl der Angriffe, die auf Unternehmen ausgerichtet sind, ist seit Januar 2016 um 300 Prozent gewachsen und es kommt alle 40 Sekunden zu einem Angriff. Der jüngste weltweite Ransomware-Angriff namens WannaCry hat seit dem 12. Mai mehr als 200.000 Opfer in 150 Ländern betroffen. All das deutet darauf hin, dass Unternehmen sich vor zukünftigen Angriffen schützen müssen, indem sie präventive Maßnahmen einführen.

Die Methoden zur Übertragung von Ransomware haben sich stetig weiterentwickelt, da Kriminelle versuchen, die Infektionsrate zu erhöhen und ihre illegalen Einnahmen zu steigern. Die konventionellen Übertragungsmethoden, die früher verwendet wurden, wie beispielsweise eine infizierte Datei, die an eine E-Mail angehängt wird, konnten relativ leicht durch Antivirenprodukte und Sandboxes erkannt und blockiert werden. Derzeitige Viren wurden jedoch so entworfen, dass sie solche traditionellen Abwehrmethoden umgehen können.

"Cyberkriminelle können den Code von Ransomware unkompliziert abändern und so anpassen, dass er nicht von den Signatur Datenbanken der Antivirensoftware erkannt wird", sagte Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia. "Diese Ransomware-Varianten treten als Zero-Day-Mutationen auf. Sobald sie identifiziert wurden, können Ransomware Signaturen aktualisiert und ein Roll Out an die Nutzer übertragen werden, sodass Antivirus-Produkte die jeweils neue Variante blockieren können, jedoch kann dies Tage in Anspruch nehmen. Während dieser Zeit sind Unternehmen immer noch anfällig und Cyberkriminelle nutzen oft genau das zu ihrem Vorteil."

"Bei dem WannaCry-Ransomware-Angriff beispielsweise ist es so", ergänzt McGregory, "sobald eine Maschine in einem Netzwerk infiziert ist, verbreitet sich die Ransomware, indem sie nach benachbarten Microsoft Systemen sucht, die anfällig für den Server Message Block (SMB) MS17-010 sind. Diese Schwachstelle wurde erst im März dieses Jahres behoben, und viele Computer blieben ungepatcht oder, wie im Falle des UK National Health Service, hatten noch 90 Prozent der Rechner Windows XP installiert, was die Systeme anfälliger und die Störungen verheerend machte."

Laut Ixia gibt es drei Grundprinzipien, denen Unternehmen bewusst sein müssen, wenn sie einen angemessenen Widerstand gegen Ransomware aufbauen wollen:

1. Den Ursprung entdecken

Eine Ransomware-Infektionskette beginnt unweigerlich über eine gezielte Phishing-E-Mail mit einem angehängten Dokument. Das Dokument enthält ein Makro, das klein genug ist, um auch für Sandboxing-Technologien unschädlich zu erscheinen. Wenn das Dokument geöffnet wird, wird das Makro aktiviert und verbindet sich mit dem Remote-Server des Angreifers im Internet. Es startet dann das Herunterladen der Ransomware Payload auf das Gerät. Das Makro schreibt diese Daten beim Herunterladen auch um, sodass der Inhalt harmlos erscheint, bis er tatsächlich den Host-Computer erreicht.

2. Das Verhalten verstehen

Beim Schutz gegen Ransomware den Fokus auf den Inhalt zu setzen, der ans Unternehmen gesendet wird, ist ein verlorener Kampf. Es ist unwahrscheinlich, dass E-Mail-basierte Makros entdeckt werden, sogar von fortgeschrittenen virtualisierten Sandboxes, weil sie bei der Überprüfung kein bösartiges Verhalten aufweisen. Die übertragenen Daten werden nicht bösartig erscheinen, bis sie tatsächlich auf dem Rechner sind und zu verschlüsseln beginnen. Deshalb sollten sich Unternehmen auf die entscheidenden Hinweise konzentrieren, woher der Angriff kommt, statt zu eruieren, um was für eine Infektion es sich handelt.

3. Die Infektion blockieren

Die Nutzlasten in der Endphase der Ransomware-Infektion werden von bekannten, bösartigen IP-Adressen im Internet ausgeliefert. Da IP-Adressen relativ begrenzt sind, werden die gleichen "bösen" ständig wiederverwendet. Auch brandneue Malware-Varianten können mit einer kleinen Anzahl von kompromittierten IP-Adressen verknüpft werden.

Das bedeutet, wenn ein Rechner im Netzwerk eines Unternehmens versucht, Inhalte von einer bekannten bösen IP-Adresse herunterzuladen, sind sie normalerweise in der Anfangsphase eines Ransomware-Angriffs, und es besteht keine Notwendigkeit, das Makro zu untersuchen, das den Download betätigt, oder den Inhalt, der heruntergeladen wird.

Der einfachste und kostengünstigste Weg, um Angriffe zu vermeiden, besteht darin, automatisch alle Unternehmensverbindungen zu bekannten bösartigen IP-Adressen mit einem kontinuierlich aktualisierten Threat Intelligence Feed zu blockieren. Damit können alle neuen Angriffe sowie bestehende, inaktive Infektionen beseitigt werden.

www.ixiacom.com
 

GRID LIST
Tb W190 H80 Crop Int D2e97c879f93358a07f6423857d2138e

Backup und Datensicherheit wachsen zusammen

Backup ist nicht mehr nur Datensicherung und Wiederherstellung. Alleine die Kriterien an…
Marina Kidron

Damit aus Double Kill kein Overkill wird - Schutz vor neuer Angriffsmethode

Bei der kürzlich aufgedeckten Double-Kill-Schwachstelle wurde eine einzigartige…
Phishing

So machen KMU das Einfallstor Phishing dicht

Cyber-Kriminelle haben es immer häufiger auf das exklusive Know-how deutscher…
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security