Kein Tag vergeht gefühlt ohne Ransomware. Keine Attacke gleicht der anderen. Die komplexen, anspruchsvollen und gefährlichen Angriffe verlangen aber eine gestaffelte Abwehr. Martin Zugec, Technical Solutions Director bei Bitdefender, erklärt die vier Eckpfeiler einer mehrstufigen Ransomware-Abwehr.

Ransomware ist eine chronische Gefahr. Ihr Auftreten verändert sich aber ständig. Zum einen steckt hinter dem permanenten Wandel eine Szene, die sich immer mehr professionalisiert, wirtschaftlicher denkt oder sich in der aktuellen Krise sogar politisiert. Zum anderen geht es um neue Techniken. Eine wirksame Abwehr muss sich entsprechend in der Tiefe aufstellen und die erpresserischen Attacken in den verschiedenen Phasen abwehren.

Der aktuelle Bitdefender Threat Report, der die Telemetriedaten des Vormonats berücksichtigt, zeigt für den Monat Mai 2022, wie aktiv und vielschichtig die Ransomware-Szene global in 151 Ländern, für die Daten vorliegen, ist. Deutschland befindet sich in der Negativ-Statistik leider unter den führenden Ländern auf Platz vier: Acht Prozent der erkannten Ransomware-Attacken – nicht: Infektionen – fanden hierzulande statt.

Anspruchsvolle Hacks
Attacken gestalten sich immer komplexer, gezielter und langfristiger. Opportunistische Massenangriffe gibt es zwar auch. Sie zielen nach einem automatisierten Scan der Zielnetzwerke auf den schnellen Erfolg mit einer einfachen, unmittelbar wirkenden Ransomware ab.

Vorherrschend und um einiges gefährlicher ist aber die Ransomware-as-a-Service (RaaS), bei der die Cyberkriminellen mit komplexen Tools in einem auf Kurzfristigkeit ausgelegtem Geschäftsmodell vorgehen. Die Akteure in diesem RaaS-Ökosystem teilen sich dann das fällige Lösegeld auf. Den höchsten Anteil haben nicht mehr die Ransomware-Operatoren, welche die Malware entwickeln und die notwendige Infrastruktur unterhalten.

Wichtiger werden die sogenannten „Affiliates“: Als selbständige Auftragnehmer sind sie die Experten, ein IT-Netz zu kompromittieren. Sie beziehen aktuell rund 70 bis 85 % – oder sogar noch mehr – der gezahlten Lösegelder. Die Macht in der Ransomware-Ökonomie liegt bei ihnen, während der Malware-Code zum Rohstoff wird.

Entscheidender Faktor: Eindringen in das Unternehmensnetz
Das Geld landet dort, wo die Innovationen stattfinden – bei den Affiliates. Diese Spezialisten, um Netze zu kompromittieren und die Daten zu finden, für die Opfer am ehesten Lösegelder bezahlen, gehen mit verschiedenen Technologien vor.

Sie lassen sich viel Zeit, um den Schaden zu maximieren. Der erste Einbruch ins Netz über eine Phishing-Mail ist vielleicht nur eine Frage von Minuten. Um die Attacke vorzubereiten, vergehen dann Stunden oder Wochen. Die Exfiltration, das Verschlüsseln der Daten und das Erpressen der Opfer findet eventuell erst Monate später statt.

Die vier Eckpfeiler der Ransomware-Abwehr
Je nach Phase umgehen die Angriffe unterschiedliche Abwehrmechanismen. Eine gut aufgestellte IT-Defensive bekämpft daher ihrerseits Ransomware in den verschiedensten Phasen des Angriffs:

  1. Prävention durch eine minimierte Angriffsfläche
    Wer vorab die Ransomware-Angriffe abwehren will, muss seine Hausaufgaben machen. Das Management der IT-Sicherheit gehört zum Pflichtenheft, um die Angriffsfläche der IT zu reduzieren. Ein IT-Administrator, der seine Netzwerksicherheit und Assets kontinuierlich und gewissenhaft aktualisiert und Konfigurationen überprüft, schließt viele Lücken für die Erpresser von vornherein.

    Ein automatisiertes Patching vermeidet das Aufreißen von Sicherheitslücken. Zero-Trust-Architekturen sorgen vorab für die Zugriffskontrolle.

  1. Infektionsschutz auf mehreren Ebenen
    Komplexere Advanced Persistent Threats (APT) lassen sich allein mit einer gewissenhaften IT-Administration höchstwahrscheinlich nicht stoppen. Angreifer, die gezielt und ständig nach Möglichkeiten suchen, nutzen weitreichende Technologien oder gehen den Umweg über die Software-Supply-Chain.

    Eine tiefgestaffelte Abwehr verwendet unterschiedliche IT-Sicherheitsmechanismen, um einen Angriff etwa über eine mit Malware-Code infiizierte E-Mail in den verschiedenen Angriffsphasen abzuwehren.

  1. Reduktion der Verweildauer der Angreifer
    Im Ernstfall kommt es dann darauf an, die Hacker schnell wieder aus dem Netz zu entfernen. Je länger sich Angreifer im Netzwerk aufhalten, desto mehr Zeit haben sie für die aktive Aufklärung. Unternehmen jeder Größe müssen über Fähigkeiten zur Erkennung von und zur Reaktion auf Bedrohungen verfügen.

    Bei Advanced Persistent Threats ist dies ohne eine Managed Detection and Response (MDR) und ohne die Hilfe von externen Sicherheitsexperten oft nur schwer möglich. Ein Threat Hunting durch einen Managed-Detection-and-Response-Dienst erschließt die benötigten Ressourcen auch für kleine und mittlere Unternehmen, die keine Kompetenz, keine Zeit und kein Personal haben, um eine operativ effiziente Abwehr aufzustellen.

    Die Hilfe der Experten ermöglicht es, die Verweildauer der Angreifer zu verkürzen und so den durch sie verursachten Schaden zu minimieren. Doch auch eine moderne Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) leistet Abhilfe, indem sie Malware auf Systemen in kürzester Zeit entdeckt:

    Dazu beobachtet sie das Verhalten der Endpunkte und meldet eine Gefahr, sobald eine Angriffswahrscheinlichkeit gegeben ist. Die endpunktübergreifende Korrelation von Informationen hilft, sicherheitsrelevante Vorfälle noch schneller zu entdecken.

  1. Schaden eingrenzen durch automatisierte Backups
    Bei einem erfolgreichen Angriff kommt es darauf an, den Schaden durch Notfallbackups zu reduzieren. Automatisierte Tools erkennen eine verschlüsselte Datei an ihrem Entropiewert. Je höher, umso größer die Wahrscheinlichkeit des Verschlüsselns.

    Sollte ein Angriff die Entropie erhöhen, legt ein Tool zum Ransomware-Schutz automatisch ein temporäres Backup der unverschlüsselten Datei an und stellt diese später wieder her. Bei dieser Sicherung sind aber weder Schattenkopien (Volume Shadow Copies) noch andere statische Backup-Lösungen Ziel der Sicherung.

    Denn die Angreifer haben diese Orte in der IT im Visier und verschlüsseln sie in der Regel mittlerweile gleich mit. Derartig automatisierte Backups schützen die Daten gegen unbekannte Angriffe, weil allein der Anstieg der Entropie das Sichern der Daten auslöst.

Viele Schlüssel zur Sicherheit
Komplexe Ransomware-Attacken lassen sich nicht mit einem einzigen Abwehrmechanismus abwehren. Wer sich nur auf Endpunktschutz verlässt, hat im schlimmsten Fall schlechte Karten. Der Schutz gegen erpresserische Angriffe erfordert eine mehrstufige Abwehr, welche die Mittel zur Aufdeckung sowie zur Wiederherstellung umfasst.

Weitere Beiträge....

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen