Abwehr gezielter Ransomware-Angriffe
Mittel gegen Erpresser
Fortsetzung des Artikels von Teil 1
Effektive Ransomware-Abwehr
Komplexe Angriffe lassen sich nicht allein durch IT-Sicherheits-Management oder eine statische Antivirenlösung verteidigen. Eine nachhaltig gestaffelte Abwehr gegen komplexe APT-Angriffe (Advanced Persistent Threat, professionelle Angreiferorganisation) besteht daher aus den folgenden vier Elementen.
1. Reduktion der Angriffsfläche: Erste Aufgabe für die IT-Sicherheit ist es, die Angriffsfläche der IT so klein wie möglich zu halten. Ein automatisiertes Patch-Management und ein Check der Konfiguration schließen viele Lücken. Zero-Trust-Ansätze setzten per Default Kontrolle vor Vertrauen und blocken alle ungeprüften Kontaktaufnahmen von außen.
2. Abwehr in mehreren Phasen: Eine XDR-Plattform (Extended Detection and Response) muss die verschiedenen Anzeichen eines Angriffs erkennen und in verschiedenen Phasen gegen die Angreifer vorgehen. Viele Angriffe starten als einfache Phishing-Mail. Ein Malware-Scan mit verschiedenen Engines erkennt bereits eine große Zahl dieser Ransomware-Angriffen. Unter anderem deswegen fällt der Anteil von Ransomware am Malware-Geschehen eher gering aus, da viele Versuche schon an Antivirenlösungen scheitern. Aktualisierte statische Anti-Malware-Scans und Threat Intelligence (Bedrohungsinformationen) leisten einen wichtigen Beitrag für eine effiziente Abwehr. Nach dem Öffnen eines Dokuments lassen sich per Detonation einer Datei in einer Sandbox die Folgen eines VBA-Codes (Visual Basic for Applications) untersuchen.
Viele Ransomware-Angriffe funktionieren dateilos, also überwiegend ohne eine bösartige Software. Solche Angriffe erkennt eine Sicherheitssoftware oder ein Experte nur am Verhalten. Daher muss eine Abwehrlösung die Laufzeitumgebung schützen, den Arbeitsspeicher scannen und nach Aktivitäten von Schadcode überwachen. Hinweise auf verdächtige Prozesse liefert das Verhalten der Endpunkte, das die Security-Tools in Echtzeit überwachen.
Wer den Datenverkehr im Netz beobachtet, sieht, ob ein kompromittierter Endpunkt Kontakt mit dem Command-and-Control-Server aufnimmt. Jede Rückmeldung eines Endpunkts ist sichtbar, ebenso ein auffälliger Datenverkehr, um Befehle oder Schadcode zu übermitteln. Ein Monitoring erkennt bereits, wenn der Endpunkt nur rückmeldet, dass er auf Befehle wartet oder dass er Schadcode nachladen will. Wenn Hacker eine Reverse Shell aufbauen, zeigt sich dies an Mustern im Datenverkehr.
3. Schnelles Entfernen von Angreifern aus dem Netz: Eine nachhaltige Abwehr gibt Hackern keine Zeit, ihre Angriffe vorzubereiten. Zentrale Aufgabe ist es daher, Malware schnell und vollständig zu entfernen. Das Beobachten des Endpunktverhaltens hilft, diese Gefahren schnell zu erkennen. Bei einem APT-Angriff bedarf es dann aber in der Regel der Hilfe externer Sicherheitsexperten, etwa im Rahmen von MDR-Diensten (Managed Detection and Response).
4. Automatisierte, geschützte Backups: Das Verschlüsseln eines Notfall-Backups bleibt so lange unbemerkt, wie niemand auf die Sicherung zurückgreift. Der Vorgang ist aber dann ein akutes Indiz für die bevorstehende Attacke durch Verschlüsseln der Produktivdaten. Automatisierte Tools erkennen am erhöhten Entropiewert einer Datei, wenn Angreifer mit dem Verschlüsseln eines Backups beginnen. Dann erfolgt automatisch ein temporäres Backup der unverschlüsselten Daten, das die Lösung an einem gesicherten Ort wiederherstellt.
Nachhaltig gegen Ransomware
Nur eine nachhaltige Abwehr kann professionelle Angriffe stoppen. Denn bis sich eine Ransomware-Attacke als eine solche erkennen gibt, haben die Kriminellen sie im Netz vorbereitet. Eine gestaffelte Abwehr mit Sicherheitsexperten in der Hinterhand hat die Mittel, vorbereitende Maßnahmen schon im Vorfeld zu stoppen und im Notfall sofort zu agieren.
Martin Zugec ist Technical Solutions Director bei Bitdefender.
- Mittel gegen Erpresser
- Effektive Ransomware-Abwehr
Lesen Sie mehr zum Thema
