Anleitung zum Schutz vor einem Verschlüsselungs-Angriff

Anleitung zum Schutz vor einem Verschlüsselungs-Angriff

Anleitung zum Schutz vor einem Verschlüsselungs-Angriff

Am Tag des Schutzes vor Ransomware erzählen wir Ihnen, was Sie tun müssen, damit Ihr Unternehmen nicht zum zweiten Mal Opfer eines Verschlüsselers wird.

Was muss ich tun, um nicht ein zweites Mal Opfer eines Verschlüsselers zu werden?

In den letzten Jahren haben Angreifer sowohl kleine Unternehmen als auch riesige Fabriken, Städte und sogar ganze Länder für ihre Ziele ausgewählt. Angriffe dieser Art sind fast immer mit beeindruckenden Verlusten verbunden, sowohl finanziell als auch reputativ, so dass die Versuchung groß ist, alle Kräfte der Verteidiger zu werfen, um die Konsequenzen zu beseitigen. Aber es ist wichtig, die Aufmerksamkeit und andere Frage nicht zu übersehen — wie man eine Wiederholung des Vorfalls verhindert.

Warum werden Sie wahrscheinlich ein zweites Mal von einem Verschlüssler angegriffen?

Es war einmal, dass die Autoren von Verschlüsselern selbst versuchten, Unternehmen anzugreifen, indem sie ihre Spam-Trojaner verschickten. Moderne Gruppen arbeiten seit langem nach dem Ransomware-as-a-Service-Prinzip: Sie gewähren jedem Zugriff auf die Infrastruktur und den Schadcode für einen Bruchteil des Lösegeldes. Und im Allgemeinen entwickelt sich das »Verschlüsselungs-Geschäft" schnell zu einer vollwertigen Industrie, in der jeder Teilnehmer seine eigene Spezialisierung hat. Insbesondere gibt es kriminelle Gruppen, die den primären Zugang zu Unternehmensnetzwerken suchen (oder organisieren) und verkaufen.

Wenn in Nachrichten oder in Hackerforen Informationen angezeigt werden, dass Ihre Organisation Opfer eines Verschlüsselers geworden ist, wird dies automatisch die Aufmerksamkeit anderer Angreifer auf sich ziehen. Vor allem, wenn Sie zustimmen, das Lösegeld zu zahlen. Denn erstens bedeutet dies, dass Ihre Infrastruktur anfällig ist und zweitens, dass Sie mit Angreifern verhandeln. Für moderne Kriminelle ist dies ein klares Zeichen dafür, dass es sich lohnt, einen Angriff auf Ihr Unternehmen zu wiederholen. Und wie die Ergebnisse der von unseren Kollegen durchgeführten How business executives perceive ransomware threat-Umfrage zeigen, sind sie nicht weit von der Wahrheit entfernt: 88% der Führungskräfte von Unternehmen, die von den Verschlüsselern betroffen sind, sagen, dass sie bereit sind, im Falle eines wiederholten Angriffs zu zahlen.

Wie minimiere ich die Wahrscheinlichkeit eines wiederholten Ransomware-Angriffs?

Die Frage, wie man eine Wiederholung des Vorfalls verhindern kann, sollte noch während der Untersuchung und Beseitigung der Folgen gestellt werden. Und Sie müssen in der Entscheidungsphase beginnen, um das Lösegeld zu bezahlen. Kurzfristig scheint die Idee, Angreifer zu bezahlen, eine echte Lösung für das Problem zu sein. Bevor Sie jedoch Geld überweisen, müssen Sie Folgendes berücksichtigen:

Die Zahlung des Lösegeldes garantiert nicht die Sicherheit Ihrer Daten — sie liegt bereits in den falschen Händen. Selbst wenn die Angreifer es nicht veröffentlichen, gibt es keine Garantie, dass es nicht heimlich verkauft oder von Kriminellen für andere Angriffe verwendet wird. Indem Sie Kriminelle bezahlen, finanzieren und entwickeln Sie ihr Geschäft, was unweigerlich zu mehr Angriffen führt. Wenn Sie zahlen, geben Sie eindeutig ein Zeichen, dass Sie erneut angegriffen werden können. Daher empfehlen wir, nicht eindeutig zu bezahlen. Im Übrigen sind unsere Tipps für diejenigen, die keine Wiederholung des Ransomware-Verschlüsselungs-Angriffs zulassen möchten, standard genug:

Legen Sie fest, wie Sie angegriffen wurden: Dies verhindert nicht nur, dass sich der Angriff im selben Szenario wiederholt, sondern ermöglicht Ihnen auch, die nächsten richtigen Schritte auszuwählen. Wenn Sie nicht über die Ressourcen verfügen, um selbstständig zu ermitteln, wenden Sie sich an externe Experten.

Nachdem Sie sichergestellt haben, dass es keine weiteren Angreifer in Ihrer Infrastruktur gibt, sollten Sie sich Zeit nehmen, die Aktualität der Versionen kritischer Programme (Betriebssystem, Remotezugriff, Sicherheitslösungen) zu überprüfen und sie möglicherweise durch zuverlässigere Programme zu ersetzen.

Führen Sie eine gründliche Analyse Ihrer Infrastruktur auf Schwachstellen durch. Nach einem erfolgreichen Angriff werden Angreifer wahrscheinlich nach alternativen Anmeldemethoden suchen.
Wenn Angreifer mit Hilfe von Social Engineering zu Ihren Systemen gelangen konnten, sollten Sie sich mehr auf die Ausbildung Ihrer Mitarbeiter in den Grundlagen der Cybersicherheit konzentrieren.

Wenn Sie Remote Access-Tools und undichte Passwörter für die Infektion verwendet haben, bestehen Sie darauf, alle Passwörter zu ändern, die in diesem System verwendet werden.
Stellen Sie sicher, dass alle Dienstgeräte mit Internetzugang durch zuverlässige Lösungen geschützt sind.

Wie effektiv sind Schutzlösungen gegen Verschlüssler? Forscher von AV-Test haben getestet, wie 11 fortschrittliche Sicherheitslösungen modernen Verschlüsselern entgegenwirken.

Praktisch jedes Unternehmen, das Lösungen zum Schutz von Informationen entwickelt, sagt, dass seine Produkte gegen Ransomware-Verschlüsselungs-Angriffe helfen. Und es ist tatsächlich so, dass sie alle in gewissem Maße in der Lage sind, diese Bedrohung zu stoppen. Die Frage ist, in welcher? Wie effektiv sind Technologien, die sich als fähig erweisen, dem Verschlüssler entgegenzuwirken?

Die Frage ist nicht untätig: Ein teilweiser Schutz vor Verschlüsselern ist eine ziemlich umstrittene Errungenschaft. Wenn die Technologie die Bedrohung nicht sofort gestoppt hat, wo ist dann die Garantie, dass unter den betroffenen Dateien keine kritischen Dateien gefunden wurden? Die Experten der unabhängigen Firma AV-Test, die 11 Produkte der Endpoint Protection Platform-Klasse gesammelt und gegen 113 verschiedene Angriffe getestet haben, haben festgestellt, wie stark die Technologien verschiedener Hersteller von Schutzlösungen den Benutzer wirklich schützen. Unsererseits nahm das Produkt Kaspersky Endpoint Security Cloud an dem Test teil, das sich in allen Tests, die in drei separaten Szenarien durchgeführt wurden, einwandfrei erwies.

Schützen Sie die Dateien des Benutzers vor gängigen Verschlüsselern. Das erste Testszenario bedeutete den typischsten Verschlüsselungs-Angriff: Das Opfer startet einen bösartigen Angriff auf der Maschine, der versucht, an lokale Dateien zu gelangen. Ein positives Ergebnis gilt nur, wenn die Bedrohung am Ende des Tests neutralisiert wurde (das heißt, die Dateien der Malware wurden gelöscht, ihre Prozesse beendet und alle Fixierungsversuche im System zerstört), wobei alle Dateien des Benutzers unverschlüsselt bleiben. Insgesamt sind in diesem Szenario wurden 85 Tests mit den folgenden 20 Familien encoders: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), Collection Datograph (Sodinokibi aka or Sodin), ryuk, snatch, stop und wastedlocker.

In diesem Szenario haben sich alle defensiven Lösungen ausgezeichnet gezeigt (mit wenigen Ausnahmen). Was jedoch nicht verwunderlich ist: Es verwendete bekannte Malware-Familien, die seit langem erforscht wurden und zu allen Datenbanken bösartiger Software hinzugefügt wurden. Daher haben die Experten von AV-Test die Aufgabe in den folgenden Szenarien komplizierter gemacht.

Schutz vor Verschlüsselungs-Angriffen auf Dateien in einem Verzeichnis mit freigegebenem Remotezugriff. Das zweite Szenario beinhaltete Verfügbarkeit auf der geschützten Maschine Verzeichnisse mit Dateien, zu denen der Zugang über das lokale Netzwerk erlaubt. Der Angriff wurde von einem anderen Computer im selben Netzwerk ausgeführt (angenommen, er hatte keine Sicherheitslösung, und die Angreifer konnten ein bösartiges Programm starten, das lokale Dateien verschlüsselte und nach verfügbaren Informationen auf benachbarten Hosts suchte). Als Malware verwendet wurden Familien avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (aka defray777), Collection Datograph (Sodinokibi aka or Sodin) und ryuk.

Aus Sicht der Schutzlösung wird die Situation hier dadurch erschwert, dass sie den Start des Schadens nicht sieht — nur Dateioperationen seitens des Systemprozesses. Daher ist es nicht möglich, die Reputation des bösartigen Prozesses und der Datei, die ihn initiiert hat, zu überprüfen, und Sie können ihn auch nicht scannen. Am Ende stellte sich heraus, dass von den 11 Teilnehmern nur drei überhaupt irgendwie gegen diese Art von Angriff schützen und nur Kaspersky Endpoint Security Cloud die Aufgabe zu 100% bewältigt. Das Sophos-Produkt hat zwar in 93% der Fälle reagiert, die Dateien des Benutzers konnten jedoch nur in 7% vollständig geschützt werden.

Schutz vor künstlich erstellten Verschlüsselern
Das dritte Szenario sollte zeigen, wie die Produkte mit Malware umgehen, die garantiert nicht zuvor aufgetreten sind und daher nicht einmal hypothetisch in Malware-Datenbanken sein konnten. Das heißt, die Erkennung einer Bedrohung erfolgt nur mit Hilfe von proaktiven Technologien, die auf das Verhalten von Malware reagieren. Um dies zu tun, haben die Forscher 14 Verschlüssler erstellt, die dabei bekannte, aber selten von Angreifern angewendete Techniken und Technologien oder sogar originelle, bisher nicht bekannte Verschlüsselungstechniken verwendeten. Wie im ersten Szenario war es ein Erfolg, die Bedrohung zu erkennen und zu blockieren, plus die absolute Sicherheit der Dateien auf der Maschine des Opfers und die vollständige Entfernung aller Spuren der Bedrohung vom Computer.

Die Lösungen zeigten unterschiedliche Ergebnisse: Einige (ESET und Webroot) fanden die von den Forschern erstellten Malware überhaupt nicht, andere waren erfolgreicher (WatchGuard — 86%, TrendMicro — 64%, McAfee und Microsoft — 50%). Die 100% ige Effizienz zeigte jedoch wieder nur eine Lösung — unsere Kaspersky Endpoint Security Cloud.

Die Ergebnisse der Tests. Bei der Zusammenfassung stellte sich heraus, dass Kaspersky Endpoint Security Cloud mit allen Testszenarien besser zurechtkam als die Konkurrenz und sowohl vor realen als auch künstlich erstellten Bedrohungen schützte.

Darüber hinaus stellte sich im zweiten Szenario auch eine weitere ziemlich unerwartete Tatsache heraus. Die meisten Produkte, die nicht mit dem Dateischutz zurechtkamen, haben jedoch Textdateien mit Lösegeldforderungen gelöscht. Und das ist eine ziemlich umstrittene Praxis. Diese Dateien können technische Informationen enthalten, die Experten bei der Untersuchung des Vorfalls und bei der Wiederherstellung von Informationen benötigen können.

Ein Verschlüssler, der über Gruppenrichtlinien verteilt wird. Der LockBit 2.0-Verschlüssler kann über ein lokales Netzwerk mithilfe von Gruppenrichtlinien über einen erfassten Domänencontroller verteilt werden.

Die Schaffung von Ransomware-Verschlüsselern hat sich längst zu einer ganzen Underground—Industrie entwickelt - mit technischem Support, einem Pressezentrum und Werbekampagnen. Wie in jeder anderen Branche müssen Angreifer ihre Dienste ständig verbessern, um ein wettbewerbsfähiges Produkt zu schaffen. Zum Beispiel hat eine weitere cyberkriminelle Gruppe LockBit als Vorteil ihrer Plattform damit begonnen, die Automatisierung der Infektion aller Computer im Unternehmensnetzwerk mit Hilfe eines Domänencontrollers zu bewerben.

LockBit arbeitet nach dem Prinzip von Ransomware as a Service (RaaS) — bietet seinen «Kunden», die einen direkten Angriff durchführen, seine Infrastruktur und seinen Programmcode und erhält dafür einen Prozentsatz des bezahlten Lösegeldes. So ist der Auftragnehmer im Wesentlichen für das anfängliche Eindringen in das Netzwerk des Opfers verantwortlich. Aber für den Vertrieb über das Netzwerk hat LockBit eine ziemlich interessante Technologie vorbereitet.

LockBit 2.0-Verteilungsmethode. Nach Informationen von Bleeping Computer führen Angreifer nach dem Zugriff auf das Netzwerk und dem Erreichen eines Domänencontrollers ihre Malware darauf aus. Sie erstellt neue Gruppenrichtlinien, die dann automatisch auf jedes Gerät im Netzwerk rollt. Diese Richtlinien deaktivieren zunächst die im Betriebssystem integrierten Schutztechnologien. Mit Hilfe anderer Richtlinien erstellt die Malware dann eine verzögerte Aufgabe, die ausführbare Datei des Verschlüsselers auf allen Windows-basierten Maschinen auszuführen.

Mit Bezug auf den Forscher Vitaly Kremeets behauptet BleepingComputer auch, dass der Verschlüssler die Windows Active Directory-Programmschnittstelle für Abfragen über das Lightweight Directory Access Protocol (LDAP) verwendet, um eine vollständige Liste von Computern im Netzwerk zu erhalten. Dabei umgeht der Verschlüssler die Benutzerkontensteuerung (UAC) und läuft im Hintergrund, so dass es auf dem verschlüsselten Gerät selbst in keiner Weise sichtbar ist.

Es scheint die erste massive Malware zu sein, die sich durch Gruppenrichtlinien ausbreitet. Darüber hinaus verwendet LockBit 2.0 auch eine ziemlich seltsame Methode, um Lösegeldforderungen zu liefern — es druckt eine Notiz auf allen Druckern, die mit dem Netzwerk verbunden sind.

Wie kann man sich vor solchen Bedrohungen schützen? Denken Sie zunächst daran, dass der Domänencontroller genau derselbe Server ist, auf dem Microsoft Windows ausgeführt wird, wie jeder andere auch. Daher braucht es auch Schutz. In unserem Arsenal gibt es beispielsweise die Lösung Kaspersky Security für Windows Server, die Teil der meisten unserer Sicherheitslösungen für Unternehmen ist. Es kann jeden Windows-basierten Server effektiv vor den meisten modernen Bedrohungen schützen.

Darüber hinaus ist die Verbreitung des Verschlüsselers über Gruppenrichtlinien praktisch die letzte Phase des Angriffs. In der Theorie können Sie die Aktivität von Angreifern viel früher bemerken — während der primären Netzwerkdurchdringung oder wenn Sie versuchen, die Kontrolle über einen Domänencontroller zu übernehmen. Lösungen der Managed Detection and Response-Klasse sind besonders wirksam bei der Identifizierung von Anzeichen eines solchen Angriffs.

Nun, das Wichtigste ist, dass Angreifer häufig Social-Engineering-Techniken und Phishing-E-Mails für die primäre Penetration verwenden. Um sicherzustellen, dass Ihre Mitarbeiter nicht auf solche Tricks stoßen, sollten Sie regelmäßig das Bewusstsein für aktuelle Bedrohungen schärfen.