Ixia einer der führenden Anbieter von Test-, Visualisierungs- und Sicherheitslösungen, stellt Unternehmen drei Kernprinzipien vor, damit sie Ransomware angemessen entgegentreten können.
Ransomware-Attacken sind zum Lieblings-Tool von Hackern geworden, um Geld zu verdienen. Der jüngste „Data Breach Investigations Report (DBIR)“ von Verizon besagt, dass es sich hierbei um die häufigste Art von Crimeware handelt, da das Zurückhalten von Dateien im Austausch gegen Lösegeld sehr schnell, mit geringen Risiken verbunden und zudem leicht monetisierbar ist, besonders bei anonymen Zahlungen mit Bitcoin. Die Zahl der Angriffe, die auf Unternehmen ausgerichtet sind, ist seit Januar 2016 um 300 Prozent gewachsen und es kommt alle 40 Sekunden zu einem Angriff. Der jüngste weltweite Ransomware-Angriff namens WannaCry hat seit dem 12. Mai mehr als 200.000 Opfer in 150 Ländern betroffen. All das deutet darauf hin, dass Unternehmen sich vor zukünftigen Angriffen schützen müssen, indem sie präventive Maßnahmen einführen.
Ransomware wird raffinierter
Die Methoden zur Übertragung von Ransomware haben sich stetig weiterentwickelt, da Kriminelle versuchen, die Infektionsrate zu erhöhen und ihre illegalen Einnahmen zu steigern. Die konventionellen Übertragungsmethoden, die früher verwendet wurden, wie beispielsweise eine infizierte Datei, die an eine E-Mail angehängt wird, konnten relativ leicht durch Antivirenprodukte und Sandboxes erkannt und blockiert werden. Derzeitige Viren wurden jedoch so entworfen, dass sie solche traditionellen Abwehrmethoden umgehen können.
„Cyberkriminelle können den Code von Ransomware unkompliziert abändern und so anpassen, dass er nicht von den Signatur Datenbanken der Antivirensoftware erkannt wird“, sagte Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia. „Diese Ransomware-Varianten treten als Zero-Day-Mutationen auf. Sobald sie identifiziert wurden, können Ransomware Signaturen aktualisiert und ein Roll-Out an die Nutzer übertragen werden, sodass Antivirus-Produkte die jeweils neue Variante blockieren können, jedoch kann dies Tage in Anspruch nehmen. Während dieser Zeit sind Unternehmen immer noch anfällig und Cyberkriminelle nutzen oft genau das zu ihrem Vorteil.“
„Bei dem WannaCry-Ransomware-Angriff beispielsweise ist es so“, ergänzt McGregory, „sobald eine Maschine in einem Netzwerk infiziert ist, verbreitet sich die Ransomware, indem sie nach benachbarten Microsoft-Systemen sucht, die anfällig für den Server-Message-Block (SMB) MS17-010 sind. Diese Schwachstelle wurde erst im März dieses Jahres behoben, und viele Computer blieben ungepatcht oder, wie im Falle des UK National Health Service, hatten noch 90 Prozent der Rechner Windows-XP installiert, was die Systeme anfälliger und die Störungen verheerend machte.“
Laut Ixia gibt es drei Grundprinzipien, denen Unternehmen bewusst sein müssen, wenn sie einen angemessenen Widerstand gegen Ransomware aufbauen wollen:
Den Ursprung der Ransomware entdecken
Eine Ransomware-Infektionskette beginnt unweigerlich über eine gezielte Phishing-E-Mail mit einem angehängten Dokument. Das Dokument enthält ein Makro, das klein genug ist, um auch für Sandboxing-Technologien unschädlich zu erscheinen. Wenn das Dokument geöffnet wird, wird das Makro aktiviert und verbindet sich mit dem Remote-Server des Angreifers im Internet. Es startet dann das Herunterladen der Ransomware-Payload auf das Gerät. Das Makro schreibt diese Daten beim Herunterladen auch um, sodass der Inhalt harmlos erscheint, bis er tatsächlich den Host-Computer erreicht.
Das Verhalten der Schadsoftware verstehen
Beim Schutz gegen Ransomware den Fokus auf den Inhalt zu setzen, der ans Unternehmen gesendet wird, ist ein verlorener Kampf. Es ist unwahrscheinlich, dass E-Mail-basierte Makros entdeckt werden, sogar von fortgeschrittenen virtualisierten Sandboxes, weil sie bei der Überprüfung kein bösartiges Verhalten aufweisen. Die übertragenen Daten werden nicht bösartig erscheinen, bis sie tatsächlich auf dem Rechner sind und zu verschlüsseln beginnen. Deshalb sollten sich Unternehmen auf die entscheidenden Hinweise konzentrieren, woher der Angriff kommt, statt zu eruieren, um was für eine Infektion es sich handelt.
Die Infektion durch Malware blockieren
Die Nutzlasten in der Endphase der Ransomware-Infektion werden von bekannten, bösartigen IP-Adressen im Internet ausgeliefert. Da IP-Adressen relativ begrenzt sind, werden die gleichen „bösen“ ständig wiederverwendet. Auch brandneue Malware-Varianten können mit einer kleinen Anzahl von kompromittierten IP-Adressen verknüpft werden.
Das bedeutet, wenn ein Rechner im Netzwerk eines Unternehmens versucht, Inhalte von einer bekannten bösen IP-Adresse herunterzuladen, sind sie normalerweise in der Anfangsphase eines Ransomware-Angriffs, und es besteht keine Notwendigkeit, das Makro zu untersuchen, das den Download betätigt, oder den Inhalt, der heruntergeladen wird.
Der einfachste und kostengünstigste Weg, um Angriffe zu vermeiden, besteht darin, automatisch alle Unternehmensverbindungen zu bekannten bösartigen IP-Adressen mit einem kontinuierlich aktualisierten Threat-Intelligence-Feed zu blockieren. Damit können alle neuen Angriffe sowie bestehende, inaktive Infektionen beseitigt werden.
#Netzpalaver #ThreatIntelligence