Durchbrechen Sie den Teufelskreis von Ransomware-Angriffen
Ransomware hat sich schnell zu einer der am weitesten verbreiteten Cyber-Bedrohungen entwickelt, denen Unternehmen heute ausgesetzt sind. Die Gemeinschaft der Cyberkriminellen hat sich dieser Angriffsmethode verschrieben, da Infektionen dem Opfer schnell verheerende Schäden zufügen können und Angriffe in großem Umfang unglaublich einfach zu starten sind.
In diesem Artikel erläutert der Cybersicherheitsexperte Ed Williams von Vertrauenswave SpiderLabs erläutert, was passiert, wenn Ransomware das Netzwerk trifft, und wie Unternehmen verhindern können, dass sie immer wieder Opfer von Ransomware werden.
Ransomware hat sich schnell zu einer der am weitesten verbreiteten Cyber-Bedrohungen entwickelt, denen Unternehmen heute ausgesetzt sind. Leider hat sich die Gemeinschaft der Cyberkriminellen dieser Angriffsmethode verschrieben, da Infektionen dem Opfer schnell verheerende Schäden zufügen können und Angriffe in großem Umfang unglaublich einfach zu starten sind.
Es gab mehr als 300 Millionen aufgezeichnete Angriffe im Jahr 2020 – in Höhe von über 8,000 pro Tag. Diese erstaunliche Zahl entspricht einer Steigerung von 64 % gegenüber dem Vorjahr, und der Trend wird sich fortsetzen. Selbst wenn es der überwiegenden Mehrheit gelingt, sich ohne Zahlung des Lösegelds zu erholen, können die Bedrohungsakteure mit einem Zahltag von der Minderheit rechnen, die mit genügend Opfern bezahlt.
Bei so vielen Angriffen wird wahrscheinlich jede Organisation auf dem Planeten mehrmals angegriffen. Und von Ransomware getroffen zu werden, ist kein einmaliger Blitzeinschlag. Sobald ein Unternehmen einmal getroffen wurde, wird es wahrscheinlich erneut getroffen – wahrscheinlich von denselben Kriminellen, die für mehr zurückkommen.
Wie können Organisationen also den Kreislauf durchbrechen und verhindern, dass sie immer wieder Opfer werden?
Am Anfang beginnen
Der erste Schritt zur Verringerung des Ransomware-Risikos besteht darin, zu verstehen, wie die Angriffe stattfinden. Einer der Gründe, warum Ransomware eine so gewaltige Bedrohung darstellt, ist, dass sie relativ einfach zu verbreiten ist und die meisten Angriffe die gleichen Handvoll Vektoren verwenden.
Erstens sind ungepatchte Software-Schwachstellen einer der einfachsten Wege in das System, insbesondere wenn es um nach außen gerichtete Infrastruktur wie ein VPN geht.
Zweitens bleibt das Hijacking von Benutzeranmeldeinformationen eine häufige Schwachstelle, da die Leute dazu neigen, ein starkes oder zufälliges Passwort schlecht zu wählen. Schwache Passwörter können mit automatisierten Tools brutal erzwungen werden, oder Angreifer können sie zuerst über einen Phishing-Angriff stehlen.
Ransomware kann auch über bösartige Dateien übertragen werden, die in E-Mails verschickt werden. Angreifer haben ihre Techniken angepasst, um signaturbasierte E-Mail-Sicherheitslösungen zu umgehen, indem sie ihren Malware-Code mit Makros verstecken oder Filesharing-Tools wie SharePoint ausnutzen.
Was passiert, wenn sich die Ransomware im Netzwerk befindet?
Die meiste Ransomware, der wir heute begegnen, ist mit einer Reihe von Anweisungen kodiert, die automatisch ausgeführt werden, sobald sie im Netzwerk platziert und aktiviert werden. Dies beginnt damit, Optionen auszuloten, um mehr Netzwerkprivilegien zu erlangen. Sobald sie mehr Systemzugriff erlangt hat, beginnt die Ransomware, sich seitlich durch das System zu bewegen und Chaos anzurichten. Die meisten Unternehmen sind immer noch nicht gut darin, ihre Netzwerke zu segmentieren oder Anmeldeinformationen für privilegierte Konten wie Administratoren sicher aufzubewahren, sodass die Ransomware in der Regel leichtes Spiel hat.
Viele Ransomware-Varianten suchen vorrangig nach Assets, die große Datenmengen enthalten, wie z. B. SQL-Datenbanken und CSB-Dateien, da diese wahrscheinlich die größten Störungen für das Opfer verursachen werden. Erfahrenere Bedrohungsakteure können auch direkt die Kontrolle über Eskalation und Lateral Movement übernehmen und mit dem Auslösen des Angriffs warten, bis sie Zugriff auf die wertvollsten Daten und Systeme haben.
Was sind die Auswirkungen auf die Opfer?
Ob der Ransomware-Angriff automatisch ausgelöst oder absichtlich innerhalb des Systems platziert wird, die Opfer wissen oft nichts davon, bis sie plötzlich feststellen, dass ihre Dateien gesperrt sind, oder eine Lösegeldforderung erhalten.
Ein Ransomware-Ausbruch hat drei große Auswirkungen auf das Ziel. Am offensichtlichsten wird das Unternehmen darunter leiden, dass seine kritischen Dateien und Systeme gesperrt werden. Wenn die Infektion nicht überprüft wird, bevor sie sich zu weit ausbreiten kann, könnte dies dazu führen, dass fast alle Vermögenswerte des Unternehmens verschlüsselt wurden, einschließlich aller darin enthaltenen Cloud Umgebungen.
Einige Varianten sind darauf ausgelegt, die Suche nach Backups zu priorisieren und dem Opfer den einfachen Weg zu verwehren, alles in den Zustand vor der Infektion wiederherzustellen. Wenn das Netzwerk nicht segmentiert wurde, kann die Ransomware Backups sowohl vor Ort als auch in der Cloud erkennen und verschlüsseln.
Schließlich verfolgen Angriffe auch zunehmend einen zweigleisigen Ansatz, indem sie Verschlüsselung mit Exfiltration koppeln. Die Malware kopiert alle wertvollen oder sensiblen Assets, die sie findet, und sendet sie zurück an das Command and Control Center des Angreifers. Dies stellt sicher, dass selbst wenn das Opfer seine Systeme wiederherstellen kann, ohne Lösegeldforderungen nachzugeben, die Angreifer immer noch einen Weg haben, um zu profitieren, indem sie sie mit den gestohlenen Daten erpressen. In vielen Fällen werden gestohlene Daten immer noch im Dark Web verkauft, unabhängig davon, ob das Opfer bezahlt.
Wie können sich Opfer von Ransomware erholen?
Keine Panik. Das ist leichter gesagt als getan, wenn das Worst-Case-Szenario eintritt, aber einen kühlen Kopf zu bewahren, wird viel dazu beitragen, den Schaden zu mindern. Sicherheitsteams müssen dem Drang widerstehen, sich ganz auf die unmittelbare Herausforderung zu konzentrieren, das Unternehmen wieder betriebsbereit zu machen, und sich Gedanken über längerfristige Aktivitäten machen.
Die erste Priorität sollte darin bestehen, die Quelle des Angriffs zu lokalisieren und sicherzustellen, dass diese Schwachstelle geschlossen wird, unabhängig davon, ob es sich um ein kompromittiertes Benutzerkonto oder eine nicht gepatchte Anwendung handelt. Als nächstes ist es wichtig, verbleibende Malware auf dem System aufzuspüren. Angreifer setzen Ransomware häufig über eine andere Malware ein, die verborgen bleibt und später erneut verwendet werden kann. Folgestreiks können bis zu sechs Monate später erfolgen, sobald das Opfer seine Wachsamkeit gesenkt hat.
Threat Hunting ist eine der effektivsten Methoden, um gut versteckte modulare Malware zu finden. Bei diesem Ansatz kombiniert ein Team erfahrener Sicherheitsexperten seine Erfahrung und Intuition mit automatisierten Tools, um Schwachstellen und Angriffspfade aufzudecken, die von automatisierten Scans übersehen werden.
Wie können wir verhindern, dass es (wieder) passiert?
Bei Tausenden von Angriffen jeden Tag werden die meisten Unternehmen irgendwann getroffen, aber das bedeutet nicht, dass jeder Angriff eine unverfälschte Katastrophe für das Opfer sein muss. Mit den richtigen Vorkehrungen ist es möglich, den durchschnittlichen Malware-Angriff auf eine kleine Unannehmlichkeit zu reduzieren.
Das bedeutet, Hürden zu errichten, um es dem Angreifer und seiner Ransomware bei jedem Schritt schwer zu machen.
Verweigern Sie ihnen zunächst den einfachen Zugriff auf das System, indem Sie diese gemeinsamen Angriffspfade schließen. Ein gut verwalteter Patch-Prozess stellt sicher, dass Software-Schwachstellen schnell behoben werden, bevor sie ausgenutzt werden können, wobei Anwendungen mit hohem Risiko Priorität erhalten. Die Implementierung stärkerer Passwortprozesse und Lösungen zur Verwaltung von Anmeldeinformationen wird es Angreifern auch erschweren, die Kontrolle über Benutzerkonten zu erlangen, während effektivere E-Mail-Sicherheits- und Sensibilisierungsschulungen die Wahrscheinlichkeit von E-Mail-bezogenen Bedrohungen verringern.
Als Nächstes muss das Netzwerk konfiguriert und gesichert werden, um zu verhindern, dass Ransomware freie Hand hat, wenn sie die Verteidigung überwindet. Es ist wichtig, ein gutes Verständnis dafür zu haben, was sich im Netzwerk befindet. Allzu oft finden wir bei der Durchführung eines Penetrationstests Assets, von denen das Unternehmen nichts wusste oder von denen es dachte, dass sie die Verbindung getrennt hätten.
Organisationen müssen eine gründliche Prüfung ihres gesamten IT-Bestands durchführen, um sich ein klares Bild zu machen. Von hier aus können sie mit der Implementierung von Barrieren beginnen, um Ransomware und andere Bedrohungen zu verlangsamen und zu stoppen. Die Netzwerksegmentierung ist nützlich, da sie den Eindringling daran hindert, sich leicht seitlich zu bewegen. Wenn ein Ausbruch auftritt, wird er auf ein begrenztes Gebiet begrenzt, wodurch es einfacher wird, die Quelle zu finden und die Bedrohung zu beseitigen.
Die Implementierung eines Ansatzes mit den geringsten Rechten bedeutet auch, dass alle Benutzer nur Zugriff auf Systeme haben, die sie für ihre berufliche Rolle benötigen, wodurch der Schaden, der durch ein einzelnes kompromittiertes Konto angerichtet werden kann, erheblich reduziert wird.
WEITERLESEN:
- Ransomware-Angriffe stoppen, bevor sie stattfinden können
- Ransomware kommt herein und die Daten fluten heraus
- Vorbeugen ist besser als heilen: die Ransomware-Evolution
- Die sechs wichtigsten Tipps von Kaspersky zur Vermeidung von Ransomware-Angriffen
Indem Sie jetzt Maßnahmen ergreifen, um Ihre IT-Infrastruktur gegen Angriffe zu stärken und die Eindringlinge zu verlangsamen, die es schaffen, können Unternehmen ihre Chancen, Opfer eines Ransomware-Angriffs zu werden, erheblich verringern, unabhängig davon, ob es sich um einen Erstschlag handelt oder um gierige Kriminelle, die nach mehr suchen.
Folge uns auf LinkedIn und Twitter
