Richtiger Umgang mit Ransomware
Die Anatomie einer Ransomware-Attacke
Fortsetzung des Artikels von Teil 2
Umgang mit einer Ransomware-Attacke
Erster Schritt: Vorbereitung
Weil Malware ihre Zielsysteme oft unter Ausnutzung bekannter Sicherheitslücken unterwandert, ist der beste Schritt zur Verbesserung der Abwehrmechanismen eine aggressive Patch-Strategie. Wo es keine Verwundbarkeiten gibt, gelangt die Ransomware erst gar nicht auf die Computer.
Ebenfalls wichtig sind Sicherheitskopien und deren Schutz. Ransomware setzt Organisationen deshalb einem so hohen Risiko aus, weil sie Backup-Dateien zerstört und die regulär genutzten Dateien verschlüsselt. Von daher ist es unbedingt geboten, in enger Folge alle Dokumente immer wieder an einen Ort zu kopieren, den Ransomware nicht erreichen kann (z.B. Offline-Storage) und dann auch zu testen, ob die Informationen im Fall der Fälle tatsächlich ohne große Mühe vom Backup aus wiederhergestellt werden können. Netzwerklaufwerke und sogar Cloud Storage sind nicht vollständig sicher, weil die Gefahr besteht, dass bereits verschlüsselte Dateien automatisch dorthin kopiert werden und dass dies die Originaldateien in solchen Speicherbereichen korrumpiert.
Organisationen sollten außerdem einen Incident-Response-Plan (IR) speziell für Ransomware-Attacken entwickeln. Dies ist vor allem wichtig, um sich gegen gezielte Angriffe zu wappnen, die große Teile einer Organisation in Mitleidenschaft ziehen können. Der IR-Plan sollte genau beschreiben, was einzelne Personen zu tun haben, sobald sichtbar wird, dass eine Attacke begonnen hat. Nur so ist eine prompte Reaktion möglich. Bei der Abwehr von Ransomware zählt jede Sekunde, die den Security-Teams bleibt, um die Verschlüsselungsaktion zu verhindern oder früh zu unterbrechen.
Und noch ein Aspekt sollte besondere Priorität genießen: Sensibilisierungsmaßnahmen – „Awareness-Trainings“ – für die Anwender sind eine effektive Vorkehrungsmaßnahme. Sie reduzieren das Risiko, dass Mitarbeiter auf Phishing-Mails hereinfallen und so die Malware ins interne Netz holen. Viele Angreifer nutzen Social-Engineering-Taktiken und feilen sie immer geschickter aus. Die Endanwender sollten die Gefahr kennen und lernen, woran sie eine verdächtige Nachrichten erkennen, um Infektionen vorbeugen zu können.
Zweiter Schritt: Erkennung
Organisationen können den Schaden, den eine Attacke verursacht, dann minimieren, wenn sie die Malware frühzeitig entdecken. Während der Exploit- und Infektionsphase haben IDS-Systeme die Chance, Signaturen und IOCs zu erkennen. Threat Intelligence dient dazu, den Aktivitäten der Ransomware im Netzwerk-Traffic nachzuspüren und sie entweder zu stoppen oder zumindest die Sicherheitsverantwortlchen zu alarmieren. Die großen IDS-Anbieter haben ihre Systeme mit zahlreichen Erkennungsmustern für die Traffic-Anomalien ausgestattet, die auf Aktivitäten von CryptoWall und Locky hindeuten. Diese Muster allerdings unterscheiden sich von Version zu Version der Ransomware und können sich immer wieder aufs Neue ändern – ein guter Grund, mehr als eine Verteidigungslinie aufzubauen. Dennoch sind die Signaturen eine gute erste Basis, zumal sie die in Unternehmen am weitesten verbreiteten Abwehr-Systeme in die Ransomware-Bekämpfung einbeziehen.
Gegen die Phishing-E-Mails, mit denen Ransomware in die Unternehmen gelangt, sind alle Tools hilfreich, die schädliche Attachments und Executables in Mails aufspüren können. Sie bieten eine automatisierte Schutzbarriere.
Den nächsten Ansatzpunkt bietet die Tatsache, dass Ransomware typischerweise von einem %APPDATA%- oder %TEMP%-Ordner aus startet. Eine Überwachung dieser Ordner auf dort ausgeführte Programme eröffnet deshalb eine Möglichkeit, Ransomware auf die Spur zu kommen, bevor sie die Chance zur Verschlüsselung von Dateien bekommt. Ähnlich wie im Falle der Exploit-Phase lassen sich dann Netzwerk-Regeln dazu nutzen, die Verteilung und Ausführung von Ransomware sichtbar zu machen, speziell bei Malware wie CryptoLocker.
Der Versuch, Backups zu zerstören, ist ein weiterer Schlüssel zur Aufdeckung von CryptoLocker-Aktivitäten noch vor dem Start der Verschlüsselung. Hier hilft es vor allem, auf die Ausführung von vssadmin-Kommandos zu achten, die die Malware häufig für ihre Zerstörungstätigkeit nutzt. Besteht die Möglichkeit, vssadmin-Aufrufe mit einem Alarm zu verknüpfen, haben die Sicherheitsverantwortlichen eine gute Chance, einzugreifen und die noch nicht betroffenen Computer und Netzwerklaufwerke vor Verschlüsselung zu schützen.
Der Schlüsselaustausch mit dem C&C-Server zu Beginn der Verschlüsselungsphase ist eine weitere Aktion, die sich anhand von Netzwerk-Signaturen, der Dateinamenvergabe und den Änderungen in der Registry erkennen lässt. Locky fällt auf, wenn man permanent nach dem Auftauchen von
Dateien mit der Endung .locky Ausschau hält. CryptoWall macht sich durch Files mit zufälligen Zeichenfolgen im Namen bemerkbar, auch danach lässt sich suchen. Unglücklicherweise handelt es sich bei den Umbenennungen um Phänomene, die relativ spät während der Crypto-Attacke auftauchen – allerdings helfen die Indikatoren dann immer noch dabei, die Verschlüsselung selbst genau zu sehen, selbst wenn sie nicht sofort gestoppt werden kann. Dies trägt dann zumindest dazu bei, die Attacke eingrenzen zu können.
- Die Anatomie einer Ransomware-Attacke
- Gewinnmaximierung für Cyber-Kriminelle
- Umgang mit einer Ransomware-Attacke
- Den Schaden eingrenzen
Lesen Sie mehr zum Thema
