Ein Sicherheitsunternehmen [1] hat das Verhalten tausender Samples von weit verbreiteter Ransomware untersucht und identische Muster entdeckt. Durch die Erkenntnisse ist es Unternehmen möglich, das Risiko einer Infektion zu senken und die Ausbreitung einer Attacke zu blockieren.
Im Rahmen der Studie hat das CyberArk Research Lab mehr als 23.000 im Netz aktive Samples weit verbreiteter Ransomware-Familien analysiert, um Erkenntnisse über das typische Verhalten der Schadsoftware zu erhalten. Aus den Verhaltensmustern wurden Strategien abgeleitet, die dabei helfen, die Auswirkungen eines Angriffs einzudämmen.
Ransomware ist eine häufige und zunehmende Gefahr, vor allem für Unternehmen. Im Jahr 2015 wurden fast 407.000 Versuche von Ransomware-Infektionen registriert und mehr als 325 Millionen US-Dollar von den Opfern erpresst – Tendenz steigend. Um charakteristische Merkmale bei der Infektion, der Verschlüsselung und beim Entfernen herauszufinden, hat das CyberArk Research Lab mehr als 30 weit verbreitete Malware-Familien, darunter auch Cryptolocker, Petya und Locky analysiert.
Die Studie »Analyse von Ransomware und mögliche Strategien zur Eindämmung« [1] hat folgende Schwerpunkte:
- Untersuchung des Ablaufs der Infektion im Netzwerk und Analyse der Gründe beziehungsweise Auslöser für die Ausführung von Ransomware bis hin zur Verschlüsselung.
- Diskrepanzen und Gemeinsamkeiten bei der Ausführung von Ransomware in Abhängigkeit von Zugriffsrechten auf das lokale Administratorkonto, das Benutzerkonto oder Verschlüsselungs-Keys.
- Entwicklung von Eindämmungs- und Schutz-Strategien, unter Einbeziehung von Endpunkt-Security, Best-Practice-Backup-Vorgehensweisen und Anwendungssteuerung, um das Risiko von Ransomware-Infektionen für Unternehmen zu senken.
Erkenntnisse, die was bringen
Eine Schlüsselerkenntnis war, dass der Schutz zu 100 Prozent effektiv ist, wenn die lokalen Administratorrechte entfernt werden und zugleich eine Anwendungssteuerung mit Greylisting aktiv ist. Die hohe Bewertung dieses Ansatzes ergab sich im Vergleich mit der Effizienz der anderen Eindämmungsstrategien – unter anderem mit traditioneller Antiviren-Software.
Die Experten fanden weiter heraus, dass es eine große Zahl moderner Malware gibt, die lokale Administratorrechte erfordert, um richtig zu funktionieren. Daneben existiert aber auch eine große Zahl, die diese Rechte nicht braucht. In Zahlen: 70 Prozent der Ransomware versuchen, sich Administratorrechte anzueignen. Erhielt sie die Rechte nicht, wurden davon aber trotzdem 90 Prozent ausgeführt.
Es zeigt sich, dass sich Ransomware unterschiedlich verhält. Unternehmen sollten daher lokale Administratorrechte stets entfernen und mit der Anwendungssteuerung kombinieren, um eine Verschlüsselung durch die Schadsoftware zu verhindern.
»Ransomware stellt sich für Angreifer als zuverlässige und geeignete Methode dar, Unternehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder – in der Hoffnung die Daten wiederzubekommen – den Kidnapper zu bezahlen«, sagt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. »Bei der Analyse des typischen Verhaltens von Ransomware erhielten wir entscheidende Erkenntnisse darüber, was man gegen diese Attacken unternehmen kann. Die klassischen Antiviren-Lösungen sind bei der Abwehr von Ransomware nicht effektiv. Es ist deshalb nötig, einen proaktiven Ansatz bei der Absicherung von Endpunkten und Servern zu verfolgen, denn nur so lässt sich ein Unternehmen gegen Malware schützen, die sich rasant verbreitet und verändert.«
Untersuchungen des CyberArk Research Lab legen ihren Schwerpunkt auf gezielte Attacken auf Unternehmensnetze. Dabei kommen die Methoden, Werkzeuge und Techniken von Hackern genauso zum Einsatz wie Techniken und Methoden, solche Attacken zu entdecken und einzudämmen.
Empfehlungen
Auf der Grundlage seiner Studie empfiehlt das Team von CyberArk Labs die Anwendung der folgenden Eindämmungsmaßnahmen, um die mit Ransomware verbundenen Risiken ohne negative Auswirkungen auf die Produktivität des Unternehmens zu senken.
- Führen Sie eine Greylist für Anwendungen auf Benutzerendpunkten ein, um unbekannte Anwendungen (z. B. neue Ransomware-Instanzen) daran zu hindern, auf das Internet zuzugreifen und die zur Verschlüsselung Ihrer Dateien erforderlichen Lese-, Schreib- und Änderungsberechtigungen zu erlangen.
- Führen Sie eine Whitelist für Anwendungen auf Servern ein, um die Sicherheit dieser Vermögenswerte zu maximieren.
- Entziehen Sie lokale Administratorrechte von Standardbenutzerkonten, um die Angriffsfläche zu reduzieren.
- Lassen Sie die Kontoberechtigungen für bestimmte legitime Aufgaben automatisch erweitern, damit die Benutzer produktiv bleiben, ohne über unnötige Berechtigungen zu verfügen.
- Nutzen Sie Virenschutzprogramme, um sich vor allgemeiner und bekannter Malware zu schü
- Sichern Sie die Daten von Endpunkten und Servern häufig, um eine effektive Disaster Recovery zu gewährleisten
[1] CyberArk, ein in Petach Tikvah (Israel) ansässiges Sicherheitsunternehmen, hat eine neue, detaillierte Studie zu Ransomware veröffentlicht.
https://www.cyberark.de/resource/analyse-von-ransomware-und-moegliche-strategien-zur-eindaemmung
Fast 40 Prozent der Unternehmen waren Opfer von Ransomware-Attacken
Ransomware ist kein »Malware-Problem«, sondern kriminelles Business