Ransomware: Tipps zur Vermeidung des Digitalen Supergaus

Attacken verstecken sich hinter abstrakten oder manchmal fast niedlichen Namen: „WannaCry“, „NotPetya“ oder „Bad Rabbit“

[datensicherheit.de, 24.07.2019] Vielen Experten gilt Ransomware nach wie vor als die gefährlichste Art der Malware für Unternehmen. Liviu Arsene, „Global Cybersecurity Analyst“ bei Bitdefender gibt in seiner Stellungnahme Einblicke, wie Betriebe mit solchen Herausforderungen umgehen sollten.

Foto: Bitdefender

Liviu Arsene: Empfehlung, Kombination aus Schulung der Belegschaft und Einsatz moderner, mehrschichtiger Sicherheitstechnologien zu nutzen

Potenziell enorme Auswirkungen der Ransomware auf Finanzen und Ruf

Sie versteckten sich hinter abstrakten oder manchmal fast niedlichen Namen: „WannaCry“, „NotPetya“ oder „Bad Rabbit“… Doch für die Betroffenen seien diese Ransomware-Attacken der „digitale Supergau“. Vielen Experten gelte Ransomware nach wie vor als die gefährlichste Art der Malware für Unternehmen – und zwar „einfach aufgrund ihrer potenziell enormen Auswirkungen auf Finanzen und Ruf betroffener Unternehmen“.
Auf dem Gebiet der Ransomware hätten Cyber-Kriminelle in letzter Zeit für ihre Zwecke sehr wirksame Angriffsvektoren entwickelt, wie etwa die Malware „GandCrab“, die nun fast zwei Jahren erfolgreich Unternehmen jeder Größe attackiert habe. Nachdem die Malware-Entwickler eigenen Angaben zufolge pro Woche ungefähr 2,5 Millionen US-Dollar verdient hätten, sei nun das Ende von „GandCrab“ angekündigt worden.

Ransomware für technisch weniger versierte Angreifer „as-a-Service“

Laut einer Untersuchung der Unternehmensberatung Accenture seien die durch Ransomware verursachten Kosten im Jahr 2018 stärker gestiegen als durch jede andere Malware – pro Vorfall fielen durchschnittliche Kosten von 74.000 US-Dollar an. Die kriminellen Machenschaften gingen sogar so weit, dass das Modell Ransomware für technisch weniger versierte Angreifer als „Ransomware-as-a-Service“ angeboten werde.
Arsene: „Und die zu nutzende Technologie ist für Kriminelle nicht nur einfach zu bekommen, neue Varianten der Malware werden immer effektiver: Sie können schneller und zuverlässiger Daten verschlüsseln und nutzen neue Infektions- und Bereitstellungsmechanismen, die effektiv die Sicherheitsmaßnahmen eines Unternehmens umgehen.“ All dies erweitere den Kreis potenzieller Angreifer und ermutige Cyber-Kriminelle dazu, immer höhere Beträge von ihren Opfern zu erpressen. Es gebe jedoch Maßnahmen, die Unternehmen ergreifen könnten, um den Angreifer entgegenzutreten.

Angriffe kosten Zeit und Geld: Gezielte Auswahl lukrativer Opfer

„Angreifer, die Ransomware für ihre kriminellen Zwecke einsetzen, suchen sich ihre Opfer oft sehr gezielt aus“, berichtet Arsene. Sie kundschafteten Schwachstellen aus, wählten die geeigneten Angriffsmethoden und schätzten ein, wie viel das Unternehmen im Ernstfall bezahlen würde, um nach einem erfolgreichen Angriff wieder handlungsfähig zu werden.
„All dies kostet die Angreifer Zeit und Geld und es werden deshalb nur Ziele ausgewählt, die diesen Aufwand lohnen“, betont Arsene. Die Kriminellen verhielten sich genauso „wie ein Rudel Löwen, das eine Zebra-Herde auskundschaftet und sich dann nur die schwächsten Zebras aussucht, um sie anzugreifen“.

Schulung der Mitarbeiter zum Erkennen potenzieller Bedrohungen

Um die Chancen durch Ransomware betroffen zu werden zu minimieren, könnten Unternehmen aus diesem Angriffmuster zwei generelle Strategien ableiten. „Sie werden wohl weniger wahrscheinlich als Ziel ausgewählt, wenn erstens die Angriffskosten zu hoch werden, oder zweitens, die Erfolgsaussichten zu gering. Doch welche Taktiken können Unternehmen konkret in der Praxis nutzen, um diese Strategien zu verfolgen?“
Ein wichtiges Element einer jeden Sicherheitsstrategie sei seit jeher die Schulung der Mitarbeiter beim Erkennen potenzieller Bedrohungen. Nach wie vor benötigten Angreifer für einen erfolgreichen Angriff aktuelle Login-Daten von Benutzern im Netzwerk ihres als Ziel ausgewählten Unternehmens. „Phishing-E-Mails waren in der Vergangenheit oft recht unbeholfen zusammengeschustert und relativ einfach zu erkennen. Doch die Angreifer haben gelernt und zielgerichtete Phishing-E-Mails sind heute selbst für Experten auf den ersten Blick kaum noch zu erkennen“, warnt Arsene. Nur eine gut geschulte Belegschaft werde in der Lage sein, verdächtige E-Mails zu erkennen und die IT-Sicherheit zu verständigen.

Neueste Erkennungs- und Reaktionstechnologien für die Endpunkte

Die Schulung der Belegschaft sei „jedoch nur die halbe Miete“. Eine effektive Strategie, welche die Angriffskosten für Cyber-Kriminelle in die Höhe treibe, erfordere „ein komplettes Sicherheitsnetz, das aus modernen Sicherheitslösungen besteht“. Ein solches modernes Sicherheitsnetz habe im Idealfall mehrere Ebenen und setze neueste Erkennungs- und Reaktionstechnologien (Endpoint Detection & Response – EDR) für die Endpunkte der gesamten Infrastruktur eines Unternehmens ein.
Neueste Entwicklungen in diesem Bereich bedienten sich zudem des Maschinellen Lernens und der Automatisierung, um die überlasteten SOC-Teams bei der Priorisierung von Sicherheitswarnungen zu unterstützen. „Dies ist insbesondere für kleinere Unternehmen ein wichtiger Faktor, da sich diese Organisationen im Normalfall keine großen SOC-Teams leisten können und die Algorithmen dabei helfen, kleinere Teams effektiver zu machen.“

BYOD, Cloud, Software-as-a-Service, Virtualisierung, mobile Geräte und IoT erhöhen Angriffsfläche

Unternehmen würden sich eine Technologie oder Methode wünschen, die hundertprozentige Sicherheit garantiert – „sozusagen den magischen Security-Zauberstab“. Die Realität sehe natürlich anders aus. Unternehmen müssten sich damit begnügen, sich mit Schulung der Mitarbeiter und den richtigen Technologien nur zu einem sehr hohen Prozentsatz absichern zu können. In der Praxis würden vielerorts jedoch Fehler gemacht, welche die Gefahr erfolgreich gehackt zu werden unnötig erhöhten.
„Bevor Unternehmen den Schritt gehen können, neueste Technologien zur Erhöhung ihrer Sicherheit einzusetzen, müssen im ersten Schritt die Hausaufgaben erledigt werden.“ Angreifern reiche ein einzelnes verwundbares Objekt im Netzwerk aus, um es „als Brückenkopf für komplexere Angriffe zu nutzen“. Es sei deshalb unerlässlich, ein ordentliches Asset-Management zu betreiben, „das jederzeit auf dem aktuellen Stand ist“. Erst wenn man alle Objekte in der Infrastruktur kennt, könne man diese sichern und mit Sicherheitspatches auf dem neuesten Stand halten. Diese Aufgabe werde aufgrund von BYOD, der Cloud, Software-as-a-Service, Virtualisierung, mobilen Geräte und IoT natürlich nicht einfacher, denn diese Technologien erhöhten die Angriffsfläche von Unternehmen beträchtlich.

Entschlüsselungstools – die letzte Chance

Sollte trotz allen Vorkehrungen doch einmal ein Angriff erfolgreich sein, könnten unter Umständen Entschlüsselungstools dabei helfen, wieder an die durch Ransomware verschlüsselten Daten zu gelangen, ohne horrende Lösegelder zu bezahlen. Solche Tools würden im Allgemeinen in Zusammenarbeit von Anbietern von IT-Security-Lösungen und den international agierenden Behörden wie Europol oder dem US-amerikanischen FBI erstellt.
Ein in Zusammenarbeit mit Bitdefender veröffentliches Entschlüsselungstool könne beispielsweise die von „GandCrab“ verschlüsselten Daten wieder entschlüsseln. Dieses Decryption-Tool für„GandCrab“ habe bislang über 30.000 Opfern dabei geholfen, verschlüsselte Daten wiederherzustellen und damit mehr als 50 Millionen US-Dollar zu sparen, „da kein Lösegeld floss“. Diese Entschlüsselungtools seien normalerweise kostenfrei und würden auf entsprechenden Portalen, wie etwa dem „No More Ransom Project“ veröffentlicht.

Unternehmen können einiges tun, um sich auch gegen fortschrittliche Angriffe zu schützen

Obwohl es keinen kompletten Schutz gebe, könnten Unternehmen einiges tun, um sich auch gegen fortschrittliche Angriffe, wie etwa durch die Ransomware „GandGrab“, zu schützen. Dazu müssten zuerst die „Hausaufgaben“ erledigt werden, um genau zu wissen, was es zu schützen gilt.
Effektiv abwehren ließen sich Angriffe anschließend mit einer Kombination aus Schulung der Belegschaft und dem Einsatz moderner, mehrschichtiger Sicherheitstechnologien. „Diese Technologien können durch den Einsatz von Maschinellem Lernen und Automatisierung auch kleineren Organisationen helfen, die sich keine großen SOC-Teams leisten können“, fasst Arsene zusammen.

Weitere Informationen zum Thema:

NO MORE RANSOM!
Brauchen Sie Hilfe zum Entriegeln Ihres digitalen Lebens, ohne dabei Lösegeld zu zahlen*?

datensicherheit.de, 19.07.2019
Ransomware: 13 Krankenhäuser zeitweise komplett vom Internet abgeschnitten

datensicherheit.de, 18.07.2019
Ransomware befällt elf deutsche Krankenhäuser

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen