Ransomware in Echtzeit erkennen minimiert RTO und RPO

Illustration Absmeier  foto freepik pikaso_texttoimage

Frühwarnsystem: Real-Time-Detection schließt die Erkennungslücke beim Kampf gegen Ransomware.

 

Ransomware-Angriffe erfolgen schnell: Im Durchschnitt verschlüsseln Angreifer einen Datensatz innerhalb von nur einer Stunde. Im Gegensatz zu den agilen Ransomware-Angreifern sind Unternehmen eher träge. Sie brauchen in der Regel eine ganze Woche, um platzierte Ransomware überhaupt erst zu entdecken. Demzufolge sind Lösungen gewünscht, die bei der Erkennung von Ransomware helfen können, um so die Dauer zwischen Verschlüsselung und Erkennung zu verkürzen.

 

Idealerweise wollen sich Unternehmen so gut wie möglich gegen Ransomware schützen. Die Realität zeigt jedoch, dass es keinen lückenlosen Schutz gibt. Gibt es keinen kompletten Schutz, wollen Unternehmen wenigstens so schnell wie möglich wieder zum Normalbetrieb zurückkehren. Die Zeit dahin beinhaltet die Erkennung von Ransomware und die Wiederherstellung der Daten und Workloads, nachdem ein erfolgreicher Angriff erkannt wurde. Um Ausfallzeiten zu begrenzen und eine rasche Wiederherstellung zu ermöglichen, benötigen Unternehmen Lösungen, die eine Datenverschlüsselung in Echtzeit erkennen können. Auf diese Weise ist innerhalb von Sekunden eine Wiederherstellung mit den bestmöglichen Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) zu erreichen.

 

Das Ausmaß des Problems.

Ransomware-Angriffe, die den Betrieb eines Unternehmens für Tage, Wochen oder gar Monate lahmlegen können, breiten sich nahezu in industriellem Umfang aus und entwickeln sich, dank der Zunahme von Ransomware-as-a-Service-Plattformen (RaaS), schnell weiter. Laut Statista waren im Jahr 2023 über 72 Prozent der Unternehmen von Ransomware betroffen. Noch besorgniserregender ist die potenzielle Ausfallzeit nach einem Vorfall: Die durchschnittliche Zeit bis zur Wiederherstellung der Betriebsbereitschaft betrug in dieser Umfrage 22 Tage. Bei einigen Unternehmen dauert die vollständige Wiederherstellung Monate. Solche Wiederherstellungszeiten sind in vielerlei Hinsicht inakzeptabel. Der im Januar 2024 in Kraft getretene Digital Operational Resilience Act (DORA) für den Finanzsektor regelt dies zukünftig sogar gesetzlich.

 

Schließen der Erkennungslücke.

Erkennungstools, die Verschlüsselung frühzeitig erkennen können, gibt es schon eine ganze Weile. Bisher wurden diese jedoch nicht für aktive Produktionsdaten, sondern für Backups eingesetzt. Dies führt jedoch zu erheblichen Verzögerungen bei der Erkennung und macht es schwierig, den genauen Beginn eines erfolgreichen Angriffs festzustellen. Backups werden möglicherweise nur ein- oder zweimal am Tag erstellt, und es kann Stunden dauern, bis die betroffenen Daten gescannt sind. In der Zwischenzeit kann der bösartige Code unerkannt Daten verschlüsseln. Ist der Angriff endlich entdeckt, müssen die IT-Teams ressourcenintensiv einen akzeptablen RPO/RTO festlegen, ab dem die Umgebung bereinigt und wiederhergestellt werden kann. All dies führt zu einem verlängerten Wiederherstellungsfenster, das Tage oder Wochen dauern kann. Folglich müssen Unternehmen in der Lage sein, potenzielle Ransomware bereits zum frühestmöglichen Zeitpunkt der Verschlüsselung zu erkennen und abzuwehren. Das bedeutet, dass die Verschlüsselung nahezu in Echtzeit erkannt werden muss – und nicht auf der Backup-, sondern auf der Produktionsebene.

 

Die Erkennung dorthin verlagern, wo die Daten generiert werden.

Anstatt Erkennungsfunktionen in Echtzeit für regelmäßige Backups einzusetzen, die im Abstand von Stunden bis Tagen erstellt werden, sollte eine kontinuierliche Erkennung dort geschehen, wo die Daten geschrieben werden. So kann die Erkennung bei einem Vorfall sofort Alarm schlagen. Dies bedeutet, dass die Schadensbegrenzung und -behebung viel früher beginnen kann. Die heutigen agentenlosen Erkennungslösungen von Ransomware in Echtzeit sind auch bereits in der Lage, Verschlüsselungsaktivitäten, die einen bestimmten Verhaltensschwellenwert überschreiten, automatisch zu identifizieren und Unternehmen so schnellstmöglich vor Ransomware zu warnen. Diese Lösungen erkennen nicht nur ungewöhnliches Verschlüsselungsverhalten in Echtzeit, sondern können auch detaillierte Berichte über jede Aktivität bis hin zur Anzahl der verschlüsselten Blöcke erstellen. Auf diese Weise können Teams mithilfe von markierten Prüfpunkten für die Wiederherstellung den Schaden feststellen und verifizieren, wann ein Angriff wahrscheinlich stattfand. Kennt man den genauen Zeitpunkt, so können die betroffenen Daten sofort in den Zustand wiederhergestellt werden, in dem sie Sekunden vor dem Angriff waren. Ein solches Frühwarnsystem bietet viele Vorteile. Die Fähigkeit, Verschlüsselung früher zu erkennen, bedeutet, dass Unternehmen in der Lage sind, den Radius eines Ransomware-Angriffs zu verringern und den Datenverlust zu minimieren. Dank der detaillierten Berichte, die diese Lösungen zur Echtzeitüberwachungs- und -erkennung erstellen, können Unternehmen ihre Daten innerhalb von Minuten und nicht erst nach Tagen wieder in die Produktion bringen.

 

Fazit: Die Zeit bis zur Wiederherstellung verkürzen.

Ausfallsicherheit und ständige Verfügbarkeit haben für Organisationen jeder Art oberste Priorität. Unternehmen, die sich ausschließlich auf periodische Backup-Lösungen verlassen, setzen viel aufs Spiel. Im schlimmsten Fall kann es Wochen bis Monate dauern, um alle Daten und Workloads wiederherzustellen und zum Normalbetrieb zurückzukehren. Mit der Verschlüsselungserkennung in Echtzeit können Unternehmen jedoch potenzielle Ransomware-Angriffe bereits im Frühstadium erkennen und abwehren. So lässt sich die Zeit bis zur Wiederherstellung erheblich verkürzen und die betriebliche Widerstandsfähigkeit erhöhen.

Ronny Wettermann, Zerto

Ronny Wettermann ist ein IT-Experte mit mehr als 20 Jahren Berufserfahrung. Nachdem er seine Karriere bei Dell mit Hardware rund um den Arbeitsplatz und Datacenter begonnen hatte, hat sich sein Fokus in den letzten Jahren komplett auf das Rechenzentrum verlagert. Von der Hardware über den Software-definierten Ansatz bis zu Disaster Recovery, Business Continuity und Backup. Als Senior Account Executive bei Zerto unterstützt er Unternehmen bei der Transformation ihrer IT, der Gestaltung ihrer Cloud-Strategie sowie der Vermeidung von Datenverlusten

 

1794 Artikel zu „Ransomware“

WORM als einfachste und wirkungsvollste Antwort auf die Ransomware-Gefahr für Backups

Ransomware ist eine Bedrohung, mit der jedes Unternehmen und jede öffentliche Einrichtung rechnen muss. Ausgeklügelte Security-Maßnahmen und -Lösungen unter Einbindung von künstlicher Intelligenz bieten ein hohes Schutzniveau, können allergings kaum garantieren, dass jede neue Angriffsvariante zuverlässig erkannt und abgewehrt wird. Erschwerend kommt hinzu, dass viele Unternehmen aufgrund von Budget- und Fachkräftemangel nicht den maximal möglichen…

Ransomware – eine unendliche Geschichte

In der langen Geschichte der Computerkriminalität haben sich Akteure, Ziele und Taktiken stark verändert. Zu Beginn waren Computer noch isolierte Systeme, die hauptsächlich in akademischen Umgebungen für Nischenanwendungen eingesetzt wurden. Die ersten »Angriffe« kann man wohl eher als etwas aus dem Ruder gelaufene »Basteleien« ansehen, weniger als gezielt böswillige Aktivitäten. Viele Sicherheitsexperten beklagen, dass man…

Ransomware: Mehr Transparenz und Kontrolle schaffen

800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste – all dies sind direkte Folgen der jüngsten Ransomware-Attacken aus den vergangenen 15 Tagen. Die Ransomware-Pandemie wütet ungebremst und die Politik diskutiert strengere Regeln. In UK wird diskutiert, ob Firmen gezwungen werden sollten, Attacken und Ransom-Zahlungen zu melden. Die EU hat mit NIS2 und DORA bereits strenge Meldepflichten…

Lockbit: Kurzfristiger Erfolg im Kampf gegen Ransomware – Beunruhigend schnelles Comeback

Als im Februar dieses Jahres die Meldung über die erfolgreiche Zerschlagung der Lockbit-Ransomware-Gruppe um die Welt ging, schien es, als wäre den internationalen Ermittlungsbehörden ein entscheidender Schlag gegen die Cyberkriminalität gelungen. Doch gerade einmal eine Woche später, Anfang März, meldete sich die gefährliche Hackergruppe auch schon wieder zurück: In einem Statement gab sie eigene Fehler…

Ransomware Reinfection: Wie sich Unternehmen bestmöglich schützen – Die Bedrohung aus dem Off

Cyberkriminellen steht heute eine breite Auswahl an Angriffsmethoden zur Verfügung. Eine davon, Ransomware, hat im vergangenen Jahr einen beispiellosen Aufschwung erlebt. Allein von Juli 2022 bis Juni 2023 konnte Malwarebytes in Deutschland 124 Ransomware-Angriffe auf Unternehmen verzeichnen. Und selbst Unternehmen, die sich bereits bestmöglich vor solchen Angriffen schützen, unterschätzen oftmals noch einen damit verbundenen, nicht weniger gefährlichen Aspekt: Ransomware Reinfection.

CACTUS-Mehrphasen-Attacken belegen die Komplexität aktueller Ransomware

Synchronisierter Doppelangriff auf Unternehmen und weiteres Mitglied der Unternehmensgruppe. Ausbeute von Proof of Concepts innerhalb von 24 Stunden.   Cyberkriminelle werden in 2024 verstärkt mit opportunistischer Ransomware und koordinierten Manövern Unternehmen attackieren: Einen Hinweis für die Gültigkeit dieses Trends liefert die in einer aktuellen forensischen Analyse von den Bitdefender Labs untersuchte Attacke auf zwei Unternehmen…

Ransomware: Dreiviertel der Unternehmen zahlen

Mittelständische Unternehmen werden zum bevorzugten Ziel, die Cloud wird zum anfälligsten Angriffsvektor.   Delinea zeigt in seinem jährlichen State of Ransomware-Report auf, dass Ransomware-Angriffe wieder zunehmen und einen Strategiewechsel der Cyberkriminellen erkennen lassen [1]. Die bekannte Taktik, ein Unternehmen lahmzulegen und als Geisel zu nehmen, wurde durch neue Strategien ersetzt, bei denen private und sensible…

Auf der Suche nach dem einen (ungeschützten) Gerät: Remote Ransomware-Angriffe

Erfolgreiche Ransomware-Gruppierungen wechseln immer häufiger auf Remote-Verschlüsselung, laut Sophos‘ neuestem CryptoGuard-Report. Das Problem: traditioneller Anti-Ransomware-Schutz »sieht« das Unheil nicht kommen und greift ins Leere.   Sophos hat seinen neuen Report »CryptoGuard: An Asymmetric Approach to the Ransomware Battle« mit den Auswertungen seiner CryptoGuard-Abwehrtechnologie veröffentlicht [1]. Die erfolgreichsten und aktivsten Ransomware-Gruppierungen wie Akira, ALPHV/ BlackCat, LockBit,…

Crimeware-Report: Neue Banking-Malware, Stealer und Ransomware entdeckt

Kaspersky hat drei neue finanziell-motivierte Bedrohungen identifiziert, die Daten und Geld stehlen [1]. Es handelt sich um den Multi-Purpose-Stealer Lumar, die Ransomware Rhysida und den GoPIX-Stealer, spezialisiert auf das Instant-Payment-System der brasilianischen Zentralbank. Der aktuelle Crimeware Report untersucht drei neue Schadprogramme, die darauf abzielen, Daten und Geld zu stehlen.   Lumar ermöglicht Aufzeichnen von Telegram-Sessions…

Ransomware: Kleine und Mittlere Unternehmen stehen vermehrt im Fokus von Cyber-Erpressern

Trend Micro hat eine neue Analyse veröffentlicht, aus der hervorgeht, dass sich ein Großteil aller Ransomware-Angriffe in letzter Zeit auf drei große Bedrohungsakteure Lockbit, BlackCat und Clop zurückführen lässt. Der Bericht weist auch darauf hin, dass die Anzahl der neuen Opfer seit dem zweiten Halbjahr 2022 um 47 Prozent gestiegen ist.   Die Untersuchung zeigt,…

Sechs Maßnahmen für wirksamen Schutz vor Ransomware

Laut Cybersecurity Ventures wird Ransomware bis 2031 voraussichtlich Verluste in Höhe von über 260 Milliarden Euro verursachen – eine Prognose, die angesichts jüngster Statistiken nicht unrealistisch erscheint. In der ersten Hälfte des Jahres 2023 enthüllte der 2023 Mid-Year Report von Check Point Research alarmierende Zahlen: 48 Ransomware-Gruppen haben weltweit mehr als 2.200 Opfer erfolgreich angegriffen…

VeeamON Resiliency Summit zeigt, wie Unternehmen Ransomware bekämpfen, eindämmen und besiegen können

Die Anmeldung für die kostenlose Online-Veranstaltung ist eröffnet: Es werden die neuesten Entwicklungen zum Schutz von Unternehmensdaten vor Cyber-Bedrohungen und neue Sicherheits-Updates für die Veeam Data Platform vorgestellt. Außerdem geboten sind Deep-Dive-Demos zu den neuen Veeam Backup & Replication V12.1 Updates sowie interessante Breakout-Sessions mit Branchenexperten, Partnern und Kunden.   Veeam Software, Anbieter von Lösungen…

Ransomware als größte Herausforderung der IT-Sicherheit

»manage it« im Gespräch mit Kevin Schwarz, Head of Field CTO bei Zscaler auf der Zenith Live in Berlin vom 28. bis 29. Juni 2023.   Sie haben auf der Veranstaltung den Ransomware-Report vorgestellt, welche Ergebnisse haben Sie erstaunt und mit welchen Ergebnissen haben Sie gerechnet? Was mich erstaunt hat, waren die Steigerungsraten von fast…

Fast drei Viertel der Firmen würden bei Ransomware-Befall Lösegeld zahlen

94 Prozent der Befragten in Deutschland bestätigen, dass die Ransomware-Gefahr in ihrer Branche 2023 zugenommen hat: Nahezu jedes zweite deutsche Unternehmen (48 Prozent) wurde in den letzten sechs Monaten angegriffen.   Cohesity hat 3.400 Entscheidungsträger (500 davon aus Deutschland) aus den Bereichen IT und Security Operations (SecOps) zum Thema Ransomware befragt. Die Studie »Global 2023…

Ransomware-Report zeigt einen Anstieg der weltweiten Angriffe um fast 40 Prozent

ThreatLabz-Ransomware-Bericht von Zscaler verfolgt Trends und Auswirkungen von Ransomware-Angriffen einschließlich verschlüsselungsloser Erpressung und Wachstum von Ransomware-as-a-Service. Highlights: Die Auswirkungen von Ransomware sind am stärksten in den USA zu spüren. Dort wurden in den letzten zwölf Monaten fast die Hälfte der Ransomware-Kampagnen verzeichnet. Organisationen in der Kunst-, Unterhaltungs- und Freizeitbranche erlebten den größten Anstieg von Ransomware-Angriffen mit einer…

Cyberkriminalität immer professioneller: Ransomware als Schubkraft für eine rasante Entwicklung der Industrie

Cyberkriminalität entwickelt sich immer schneller zu einer professionellen, dienstleistungsorientierten Branche.   In den vergangenen Jahren haben Ransomware-Attacken Unternehmen in verschiedenen Ländern und Branchen erheblichen Schaden zugefügt. Ein Report von WithSecure zeigt nun: Der Erfolg der Ransomware hat eine tiefgreifende Veränderung der gesamten Cybercrime-Branche in Gang gebracht. Verschiedene Gruppen entwickeln spezialisierte Tools, die sie »as-a-service« anbieten…

Einmal ist keinmal: Mehrheit wird wiederholt Opfer von Ransomware-Angriffen

Barracuda-Report »Ransomware Insights 2023«: 73 Prozent der weltweiten Unternehmen, die 2022 von Ransomware betroffen waren, wurden weitere Male angegriffen.   Barracuda hat seinen globalen Report »Ransomware Insights 2023« vorgelegt. Daraus geht hervor, dass 73 Prozent der befragten Unternehmen berichten, im Jahr 2022 von mindestens einem erfolgreichen Ransomware-Angriff betroffen gewesen zu sein. 38 Prozent sagen, dass…

Ransomware 2.0 – Die wandlungsfähige Gefahr

Ransomware bleibt eine der größten Gefahren für die IT-Sicherheit von Unternehmen und Behörden. Weil Ransomware-Angriffe in den letzten Jahren einen enormen Schaden angerichtet haben und auch durch die Medien viel Aufmerksamkeit erfahren haben, haben die meisten IT-Sicherheitsverantwortlichen und die Unternehmensleitung das Problem inzwischen erkannt. Und doch reichen die Abwehrmaßnahmen in vielen Bereichen nicht aus, weil sie der Tatsache nicht gerecht werden, dass die Ransomware-Angreifer ihre Ziele ausgeweitet haben.

Zahlen oder nicht? Wie Sie im Falle eines Ransomware-Angriffs richtig verhandeln

Wenn Firmen Opfer eines Ransomware-Angriffs geworden sind, ist die Situation einer realen Geiselnahme nicht unähnlich. In beiden Fällen soll ein Lösegeld erpresst werden. Im Gegensatz zur physischen Geiselnahme verschlüsseln Cyberkriminelle die Daten ihrer Opfer und fordern für deren Freigabe eine bestimmte Summe. In der realen Welt hat man immerhin die Möglichkeit, mit einem SWAT-Team den…