Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

Roboter Hand Ransomware-Attacken sind zum Lieblings-Tool von Hackern geworden. Der jüngste Data Breach Investigations Report (DBIR) von Verizon besagt, dass es sich hierbei um die häufigste Art von Crimeware handelt, da das Zurückhalten von Dateien im Austausch gegen Lösegeld sehr schnell, mit geringen Risiken verbunden und zudem leicht monetisierbar ist, besonders bei anonymen Zahlungen mit Bitcoin. 

Die Zahl der Angriffe, die auf Unternehmen ausgerichtet sind, ist seit Januar 2016 um 300 Prozent gewachsen und es kommt alle 40 Sekunden zu einem Angriff. Der jüngste weltweite Ransomware-Angriff namens WannaCry hat seit dem 12. Mai mehr als 200.000 Opfer in 150 Ländern betroffen. All das deutet darauf hin, dass Unternehmen sich vor zukünftigen Angriffen schützen müssen, indem sie präventive Maßnahmen einführen.

Die Methoden zur Übertragung von Ransomware haben sich stetig weiterentwickelt, da Kriminelle versuchen, die Infektionsrate zu erhöhen und ihre illegalen Einnahmen zu steigern. Die konventionellen Übertragungsmethoden, die früher verwendet wurden, wie beispielsweise eine infizierte Datei, die an eine E-Mail angehängt wird, konnten relativ leicht durch Antivirenprodukte und Sandboxes erkannt und blockiert werden. Derzeitige Viren wurden jedoch so entworfen, dass sie solche traditionellen Abwehrmethoden umgehen können.

"Cyberkriminelle können den Code von Ransomware unkompliziert abändern und so anpassen, dass er nicht von den Signatur Datenbanken der Antivirensoftware erkannt wird", sagte Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia. "Diese Ransomware-Varianten treten als Zero-Day-Mutationen auf. Sobald sie identifiziert wurden, können Ransomware Signaturen aktualisiert und ein Roll Out an die Nutzer übertragen werden, sodass Antivirus-Produkte die jeweils neue Variante blockieren können, jedoch kann dies Tage in Anspruch nehmen. Während dieser Zeit sind Unternehmen immer noch anfällig und Cyberkriminelle nutzen oft genau das zu ihrem Vorteil."

"Bei dem WannaCry-Ransomware-Angriff beispielsweise ist es so", ergänzt McGregory, "sobald eine Maschine in einem Netzwerk infiziert ist, verbreitet sich die Ransomware, indem sie nach benachbarten Microsoft Systemen sucht, die anfällig für den Server Message Block (SMB) MS17-010 sind. Diese Schwachstelle wurde erst im März dieses Jahres behoben, und viele Computer blieben ungepatcht oder, wie im Falle des UK National Health Service, hatten noch 90 Prozent der Rechner Windows XP installiert, was die Systeme anfälliger und die Störungen verheerend machte."

Laut Ixia gibt es drei Grundprinzipien, denen Unternehmen bewusst sein müssen, wenn sie einen angemessenen Widerstand gegen Ransomware aufbauen wollen:

1. Den Ursprung entdecken

Eine Ransomware-Infektionskette beginnt unweigerlich über eine gezielte Phishing-E-Mail mit einem angehängten Dokument. Das Dokument enthält ein Makro, das klein genug ist, um auch für Sandboxing-Technologien unschädlich zu erscheinen. Wenn das Dokument geöffnet wird, wird das Makro aktiviert und verbindet sich mit dem Remote-Server des Angreifers im Internet. Es startet dann das Herunterladen der Ransomware Payload auf das Gerät. Das Makro schreibt diese Daten beim Herunterladen auch um, sodass der Inhalt harmlos erscheint, bis er tatsächlich den Host-Computer erreicht.

2. Das Verhalten verstehen

Beim Schutz gegen Ransomware den Fokus auf den Inhalt zu setzen, der ans Unternehmen gesendet wird, ist ein verlorener Kampf. Es ist unwahrscheinlich, dass E-Mail-basierte Makros entdeckt werden, sogar von fortgeschrittenen virtualisierten Sandboxes, weil sie bei der Überprüfung kein bösartiges Verhalten aufweisen. Die übertragenen Daten werden nicht bösartig erscheinen, bis sie tatsächlich auf dem Rechner sind und zu verschlüsseln beginnen. Deshalb sollten sich Unternehmen auf die entscheidenden Hinweise konzentrieren, woher der Angriff kommt, statt zu eruieren, um was für eine Infektion es sich handelt.

3. Die Infektion blockieren

Die Nutzlasten in der Endphase der Ransomware-Infektion werden von bekannten, bösartigen IP-Adressen im Internet ausgeliefert. Da IP-Adressen relativ begrenzt sind, werden die gleichen "bösen" ständig wiederverwendet. Auch brandneue Malware-Varianten können mit einer kleinen Anzahl von kompromittierten IP-Adressen verknüpft werden.

Das bedeutet, wenn ein Rechner im Netzwerk eines Unternehmens versucht, Inhalte von einer bekannten bösen IP-Adresse herunterzuladen, sind sie normalerweise in der Anfangsphase eines Ransomware-Angriffs, und es besteht keine Notwendigkeit, das Makro zu untersuchen, das den Download betätigt, oder den Inhalt, der heruntergeladen wird.

Der einfachste und kostengünstigste Weg, um Angriffe zu vermeiden, besteht darin, automatisch alle Unternehmensverbindungen zu bekannten bösartigen IP-Adressen mit einem kontinuierlich aktualisierten Threat Intelligence Feed zu blockieren. Damit können alle neuen Angriffe sowie bestehende, inaktive Infektionen beseitigt werden.

www.ixiacom.com
 

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet