Locky, Cryptolocker oder Teslacrypt

Ransomware abwehren - denn: Wer zahlt, wird weiter attackiert

07.04.2016 von Dr. Polster
Das erste Quartal 2016 steht im Zeichen der Ransomware-Angriffe wie Locky, Cryptolocker, Cryptowall oder Teslacrypt. Vorrangige Ziele: Krankenhäuser, Stadtverwaltungen und Industrieunternehmen. Institutionen in Deutschland, Österreich, den USA und Kanada sind besonders stark betroffen. Präventive Maßnahmen helfen, Angriffe abzuwehren oder den Schaden zumindest zu begrenzen.

Ein Klick auf einen ungefährlich wirkenden, aber infizierten Link oder das Öffnen eines mit Schadsoftware verseuchten Anhangs einer Email reicht, um Angreifern die Verschlüsselung aller Daten am PC und darüber hinaus im gesamten Netzwerk sowie auf eingebundenen Cloud-Diensten zu ermöglichen.

Oftmals zahlen Institutionen die von den Erpressern geforderten Beträge, um schnellstmöglich ihre Daten zurück zu bekommen, normale Betriebsabläufe wiederherzustellen und weitreichendere Finanz- oder Imageschäden abzuwenden.

Ransomware: Wer zahlt, wird erneut angegriffen
Foto: Carlos Amarillo - shutterstock.com

Doch wer zahlt, kauft sich nicht dauerhaft frei. Zahlungswillige Opfer werden von Angreifern auch ein zweites und drittes Mal heimgesucht.

Man lässt es also besser gar nicht erst zu einem erfolgreichen Angriff kommen oder ist alternativ auf einen Angriffsfall so gut vorbereitet, dass man mit Sicherheit behaupten kann, Schadenspotenziale so weit eingedämmt zu haben, dass sie vernachlässigbar sind.

Entwickeln Sie eine effektive Sicherheits-Strategie

Wichtige grundsätzliche Präventionsmaßnahmen, die jeder Organisation dienen, umfassen beispielsweise schnellstmögliches Einspielen von Updates und Patches von Softwareherstellern genauso wie konsequentes Deinstallieren nicht benötigter Software.

Ein zentraler und immer aktueller Überblick des Administrators ist dazu erforderlich. Aufgrund seiner vielschichtigen Zugriffsrechte bedarf es gleichzeitig aber auch besonderer Sicherheitsvorkehrungen für seine Rolle, denn für eine weite Verbreitung von Schadsoftware in einem Netzwerk sind genau diese Rechte notwendig.

IT-Sicherheit: Das hilft gegen Ransomware
Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können.
Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen.
Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist.
Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist.
Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind.
Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat?
Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen.
Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken.
Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.

Die sehr eingeschränkte Vergabe von Administratorenrechten, die Verwendung sehr starker Passwörter zum Log-in für Administratoren, die Verwendung von 2-Faktor-Authentifizierung bei externen VPN-Zugängen, die besondere Sicherung und der auf das Notwendigste eingeschränkte Einsatz der Administratoren-Accounts sowie die gleichzeitige, möglichst weitgehende Rechteeinschränkung anderer Nutzer können das Schadensausmaß im Angriffsfall erheblich mindern.

Gleiches gilt für Backups mit durchdachter Strategie und Offline-Backups sowie das regelmäßige Testen von Wiederherstellungsroutinen.

Auch auf der Ebene der einzelnen Nutzer gibt es - neben der laufenden Förderung von Awareness bei allen Mitarbeitern - weitere präventive Maßnahmemöglichkeiten:

Die Ausführung aktiver Inhalte in Web-Browsern kann eingeschränkt und nicht zwingend benötigte Browser-Plug-ins sollten entfernt werden. Auf die Ausführung von Skripten im Betriebssystem kann unter Umständen gänzlich verzichtet werden Das verhindert beispielsweise versehentliches Ausführen eines schadhaften Anhangs in Emails. Für Serverlandschaften gilt es, das Blockieren von Dateien wie ausführbaren Anhängen, verschlüsselten Archiven sowie MS-Office-Dokument-Makros einzurichten.

Darüber hinaus ist der generelle Einsatz von - immer aktuell gehaltenen - Antivirenprogrammen weiterhin nötig. Jedoch sollte man sich bewusst sein, dass diese Programme einerseits neueste Schadsoftware in vielen Fällen nicht identifizieren oder andererseits durch ihre ständige Anpassungsnotwendigkeit an die jeweilige Umgebung in vielerlei Hinsicht falsch konfiguriert sein können und damit ihre Schutzaufgabe verfehlen.

Wenn auch zahlreiche Präventionsmaßnahmen getroffen werden und IT-Security-Teams versuchen, ständig „am Ball zu bleiben“, bleibt bei größeren Organisationen – ab ca. 200 Mitarbeitern als Richtwert - weiterhin ein erhebliches Unsicherheitspotenzial.

Die Unübersichtlichkeit der IT-Landschaft und die kaum im notwendigen Umfang sicherbare Awareness bei allen Mitarbeitern erfordern umfassendere, durch starke Automatisierung unterstützte und vor allem der aktuellen Gefahrenlage laufend angepasste Sicherheitsmaßnahmen.

Risiken rechtzeitig erkennen und handeln

State-of-the Art auf dem globalen IT-Security-Markt sind drei automatisierte IT-Risikoerkennungsmodule, die alle diese Anforderungen erfüllen:

An erster Stelle steht „Advanced Threat Detection“ (ATD), die Analyse von Anhängen grundsätzlich aller eingehender Emails und aller Web-Downloads in „abgeschotteten“ Umgebungen (sogenannte Sandboxen). Wird eine Schadsoftware entdeckt, wird die Email aufgehalten oder der Web-Download gestoppt. Damit ist auch der Ransomware-Angriff von Anfang an erfolgreich abgewehrt.

Das zweite Risikoerkennungsmodul „Network-Based Intrusion Detection“ (NIDS) ermöglicht die Erkennung von auffälligen Aktivitäten im Netzwerk. Im Falle von Ransomware ist das beispielsweise Netzwerkverkehr zu den Command & Control-Servern des Trojaners im Internet. Ist also Ransomware bereits im Netzwerk aktiv und wurde sie durch Nutzer noch nicht bemerkt, wird dies durch NIDS sichtbar gemacht.

Das dritte wichtige Risikoerkennungsmodul, das kontinuierliche "Vulnerability Assessment" (VAS), evaluiert laufend, ob IT-Systeme Verwundbarkeiten aufweisen, also auch, ob die für die Abwehr von Ransomware getroffenen Vorkehrungen effektiv in der gesamten Organisation umgesetzt worden sind. So wird beispielsweise laufend geprüft, ob Aktualisierungen für Betriebssysteme, Browser und andere Anwendungen eingespielt wurden, Administratoren schwache oder Standard-Passwörter verwenden, Fehlkonfigurationen bestehen oder ob Systeme von außen ungewollt erreichbar sind.

Kontinuierliche Schwachstellenanalyse und konsequente Behebung der Lücken schließt viele solcher Einfallstore für Angreifer und verkleinert so ihren Aktionsspielraum.

Die Security-Trends 2016
Security-Trends 2016
Viren, Cyberkrime, Erpressung, Kreditkartenbetrug - die Liste der digitalen Gefahren im Internet ist mittlerweile langgeworden. Wir haben die Top-10-Bedrohungen für 2016 zusammengestellt.
Malware
Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen.
Datenschutzverletzungen
Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen.
Cyberkrieg
Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken.
Internet of Things
Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist.
BYOD
Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter.
Wearables
Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen.
TOR
Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art.
Unbekannte Schwachstellen
Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert.
Mobile Zahlungssysteme
Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig.
Cloud-Speicher
Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.

Ausreichender Schutz ist möglich

Nach derzeitigem Stand der Technik gibt es ausreichend Schutzmöglichkeiten vor Schäden durch Ransomware. Besonders größere Organisationen sollten auf ein Set an automatisierten IT-Risikoerkennungsmodulen zurückgreifen, die Angriffe bereits unschädlich machen, bevor sie auch nur in die Organisation eintreten.

Bei allen Schutzmöglichkeiten ist neben einer fortschrittlichen technischen Komponente die „Ressource Mensch“ von entscheidender Bedeutung: Effektivität ist im Ernstfall nur gegeben, wenn Werkzeuge richtig konfiguriert, jederzeit an ihre jeweilige Umgebung angepasst und ständig weiterentwickelt werden.

Schutz vor Ransomware entsteht nicht durch einmalige Sicherheitsvorkehrungen - genauso wenig wie durch das Zahlen von Lösegeld. (PC-Welt)