Richtiger Umgang mit Ransomware
Die Anatomie einer Ransomware-Attacke
Fortsetzung des Artikels von Teil 3
Den Schaden eingrenzen
Dritter Schritt: Eingrenzung
Hat die Ransomware bereits ein Gerät unter ihre Kontrolle gebracht, gibt es immer noch die Möglichkeit, den Angriff auf diesen Ort einzugrenzen, so dass Dateien im Netzwerk verschont bleiben.
Ein Endpoint-Security-System, das Executables bei der Ausführung erkennen und die zugehörigen Prozesse stoppen kann, ist normalerweise der beste Ansatzpunkt für eine Eingrenzung von Ransomware-Attacken. Hat man entsprechende Malware entdeckt, lässt sich die Verbindung zum Netzwerk kappen, damit die Malware auf dem Endpoint isoliert ist und keine Dateien im Netzwerk verschlüsseln kann.
Vierter Schritt: Beseitigung
Hat man den Ransomware-Vorfall identifiziert und eingegrenzt, müssen Malware und Spuren beseitigt werden. Es ist empfehlenswert, betroffene Systeme zu ersetzen und nicht nur zu „säubern“. Wie bei jeder anderen Malware besteht die Gefahr, dass sie Files geschickt versteckt hat, um das Zielsystem erneut zu infizieren. Im Netzwerk allerdings, etwa in Mailboxen und auf File Shares, kann es sinnvoller sein, eine Säuberungsaktion durchzuführen und beispielsweise die schädlichen E-Mails oder die Erpresser-Botschaften zu löschen. Wenn immer sich eine Organisation dazu entschließt, auf gezieltes Löschen statt auf das Ersetzen der Ressourcen zu setzen, sollte sie ihr Netz anschließend sorgfältig weiter auf Signaturen und andere IOCs in überwachen, um ein erneutes Aufflammen der Attacke verhindern zu können.
Fünfter Schritt: Wiederherstellung
Wiederherstellung bedeutet zunächst das Einspielen von Sicherheitskopien der zerstören Dateien. Für eine Organisation, die über gute und geprüfte Backups verfügt, kann ein Ransomware-Vorfall tatsächlich folgenlos bleiben. Sie ersetzt die betroffenen Systeme oder säubert sie und stellt den Informationsbestand einfach wieder her. Vielleicht muss sie eine kurze Unterbrechung bei den IT-Services verkraften – aber es ist kaum anzunehmen, dass sich die Attacke unter solchen Voraussetzungen zu einem tagelangen Problemzustand auswächst.
Bei fast allen Ransomware-Attacken lohnt sich eine genaue Untersuchung, wie die Infektion zustande kam. War Phishing die Grundlage oder ein Web-gestütztes Angriffs-Kit? Wenn letzteres im Spiel war, was hat den Anwender auf die entsprechende Seite im Internet gelockt? Wenn Organisationen herausfinden, wie Ransomware auf ihre Systeme gelangen konnte, können sie ihre Abwehrtechnik und die Erkennungsmethodik gezielt optimieren sowie mögliche Schwächen für die Zukunft reduzieren.
Ransomware-Angriffe gegen Organisationen sind eine Gefahr, die erst am Anfang ihres Entwicklungspotenzials steht. Weil diese Form von Attacken für die Täter so überaus attraktiv ist, werden sie mit Sicherheit immer häufiger stattfinden, über die Zeit an Schlagkraft und Gefährlichkeit gewinnen und immer höhere Kosten verursachen. Dabei ist praktisch keine Organisation – ob groß oder klein – gegen Ransomware gefeit. Die möglichen Auswirkungen eines erfolgreichen Angriffs sind dabei bei weitem größer als der Posten, den die Höhe der Lösegeldzahlung darstellt: Es drohen Verluste an Produktivität, Behinderung der Geschäftstätigkeit, Beeinträchtigung der Interaktion mit Kunden und eventuell der unwiederbringliche Verlust wichtiger Informationen. Ob Organisationen Ransomware-Attacken erfolgreich abwehren können, hängt davon ab, wie gut sie vorbereitet sind, und von der Fähigkeit, verdächtige Aktivitäten zu erkennen, zu unterbinden und einzugrenzen.
Roland Messmer ist Regional Director Central and Eastern Europe bei Logrhythm
- Die Anatomie einer Ransomware-Attacke
- Gewinnmaximierung für Cyber-Kriminelle
- Umgang mit einer Ransomware-Attacke
- Den Schaden eingrenzen
Lesen Sie mehr zum Thema
