Was sind Ransomware-Attacken?

 

Und wie Sie sich als Unternehmen vor Ransomware-Attacken schützen.

 

Vor Ransomware-Attacken schützen
Viele Unternehmen werden Ziel von Ransomware-Attacken

Ransomware-Attacken: Sie können nicht mehr auf Ihre Unternehmensdaten oder Systemfunktionen zugreifen? Ihre Kundendaten sind nicht mehr aufrufbar? Das ist der Eintritt eines „worst case“, wie er während der letzten weltweiten Ransomware-Attacken bereits mehrfach bei ganz unterschiedlichen Unternehmen und Institutionen zu beobachten war.

Was wäre es Ihrem Unternehmen wert, wieder auf die eigenen Daten zugreifen zu können? 15.000 Euro oder sogar 150.000 Euro? Ransomware-Attacken basieren auf polymorphen Viren, die sich rasend schnell verbreiten und Daten eines Systems verschlüsseln. Von den Betroffenen wird eine Lösegeldzahlung für den Zugriff auf die gesperrten Daten oder Funktionen verlangt. Doch auch nach Zahlung eines Lösegeldes erhalten Unternehmen nach Ransomware-Attacken nicht immer die Kontrolle über ihre Daten zurück. Nicht selten sind die sensiblen Informationen durch die Verschlüsselung endgültig verloren.

Diese Ransomware-Attacken sollten Sie kennen:

Die Ransomware-Attacken durch WannaCry

Öffentlichkeitswirksam positionierte sich WannaCry Mitte 2017. Große internationale Unternehmen waren vom Erpressungstrojaner betroffen. Insgesamt stellten Sicherheitsexperten in knapp 150 Ländern Ransomware-Attacken fest. Zu den Betroffenen gehörten renommierte Autohersteller und eine Vielzahl von Krankenhäusern auf der britischen Insel, in der Nähe von London.

 

Selbst in Deutschland waren die Systeme der Deutschen Bahn von den Ransomware-Attacken betroffen. Statt Fahrgastinformationen erschienen Hinweisfenster mit weißer Schrift auf rotem Hintergrund. Spätestens beim Lesen der Überschrift „Ooops, your files have been encrypted!“ wurde auch den Fahrgästen klar, dass es sich hier nicht um eine gewöhnliche Störung handelte. Nein, das waren Ransomware-Attacken.

 

Die ursprünglichen Ransomware-Attacken durch WannaCry erfolgten schwerpunktmäßig per E-Mail: Die schadhaften Anhänge gelangten dabei in die Postfächer der betroffenen Unternehmen. Ein eklatantes Sicherheitsleck, wie diverse Medienberichte gezeigt haben. Im weiteren Verlauf setzte WannaCry auf einen Angriffsvektor auf Netzwerkebene.

 

Dabei diente eine Sicherheitslücke in Windows-Systemen – insbesondere im Netzwerkprotokoll – als zusätzliches Schwachstelle für die Ransomware-Attacken. Über den von Windows bereitgestellten Terminal-Service RDP, konnte sich WannaCry überdurchschnittlich schnell ausbreiten.

 

Die Sicherheitslücke selbst ist seit längerer Zeit unter dem Namen EternalBlue bekannt. Hierbei handelt es sich aber lediglich um eine Sicherheitslücke, die für die Kompromittierung von ungepatchten Windows-Systemen genutzt worden ist . Die Schwachstelle steht somit nicht zwangsläufig mit WannaCry in Verbindung. Es können über diesen Weg auch andere Krypto-Trojaner in das System eingeschleust werden. Die Sicherheitslücken von Systemen bzw. einzelnen Programmen werden hierbei sogar im Darknet veröffentlicht. Somit können Cyberkriminelle Ransomware-Attacken gezielt auf die Schwachstellen der Zielsysteme abstimmen.

Petya – Eine Modifizierung führt zu weltweiten Ransomware-Attacken

Ende Juni 2017 verbreitete sich die abgewandelte Form der bekannten Ransomware Petya. Vorwiegend betroffen von den Petya Ransomware-Attacken waren Russland, die Ukraine sowie vereinzelt Unternehmen in Europa – auch deutsche Unternehmen. Ähnlich, wie WannaCry zwei Monate zuvor, nutzte auch NotPetya die Sicherheitslücke EternalBlue über SMB aus. Die modifizierte Variante breitet sich dabei über ein bereits durch NotPetya betroffenes Computersystem im Unternehmensnetzwerk.

 

Bei dieser Form von Ransomware-Attacken greift der polymorphe Virus auf eine Erweiterung des Common Information Models sowie PsExec zurück, um Befehle auf anderen Systemen ausführen zu können. Dies erfordert spezielle Adminrechte. Um diese Rechte zu erhalten, werden Zugangsdaten über den Arbeitsspeicher sowie dem lokalen System abgefragt. Hornetsecurity Advanced Threat Protection hat diesen Ransomware-Stamm zuverlässig innerhalb von 56 Sekunden durch die Sandbox-Engine erkannt.

Die Ransomware-Attacken durch Jaff

Auch der Erpressungs-Trojaner Jaff war für verschiedene Ransomware-Attacken verantwortlich. Dabei war der Angriff eine von vielen Ransomware-Attacken, die auf Phishing basierte. Getarnt als PDF-Rechnung gelangt Jaff per E-Mail in das elektronische Postfach. Der Empfänger erhält in der E-Mail selbst einen Hinweis, dass er die beigefügte Rechnung öffnen soll. Die Ausführung der PDF-Datei hat jedoch zunächst noch keine negativen Auswirkungen auf das System des Empfängers.

 

Erst durch Bestätigung eines Dialogs im Hinweisfenster per Mausklick, aktiviert der Nutzer den Prozess. Dabei wird eine Doc-Datei in ein temporäres Verzeichnis entpackt. Die PDF-Datei ermöglicht die privilegierte Öffnung der Word-Datei mit den schadhaften Makros. Hierzu werden Anweisungen über Java-Script direkt beim Öffnen der PDF-Datei ausgeführt.

Als Folge wird der schadhafte Quellcode per Office-Makrofunktion heruntergeladen und der Zugriff von Mitarbeitern auf Dateien und Dienste im Unternehmen blockiert. Hierbei handelt es sich also um eine ausgeklügelte Form von Ransomware-Attacken , deren Verbreitung erstmals über das PDF-Format geschah.

Die Ransomware-Attacken durch Locky

Locky trat erstmalig Anfang 2016 in Erscheinung. Dabei erfolgte die Verbreitung der Ransomware primär im europäischen Raum. Die Ransomware wurde über einen E-Mail-Anhang – in Form einer modifizierten Word-Datei – in die jeweiligen Systeme der Betroffenen eingeschleust. Ähnlich, wie bei Jaff.

 

Auf Basis von aktivierten Office-Makros bzw. automatisierten Programmanweisungen hat Locky die Möglichkeit, den schadhaften Code der Ransomware auf dem Zielsystem auszuführen. Einmal aktiviert, verschlüsselt Locky entweder lokale Dateien oder sogar ganze Datenbestände in einem Unternehmensnetzwerk.

 

Das Besondere an Locky ist, dass die Infizierung des Systems auf ganz unterschiedliche Wege erfolgen kann. Die Cyberkriminellen beschränken sich dabei nicht nur auf E-Mails als primäres Einfallstor. Zunehmend werden Dritte beauftragt, die Ransomware-Attacken direkt vor Ort im Unternehmensnetzwerk einzubinden. Diese Vorgehensweise von Cyberkriminellen erfordert ganz spezielle IT-Security-Konzepte, die solche Vorgänge schon in den Anfängen erkennen und blockieren.

Wie schützen Sie Ihr Unternehmen in der Praxis vor Ransomware-Attacken?

Sobald der „worst case“ eingetreten ist, sind die Daten im Prinzip von der Ransomware betroffen und unbrauchbar. Als Unternehmen müssen Sie sich richtig gegen Ransomware-Attacken wappnen. Hier erhalten Sie erste Ansätze, wie Sie Schäden durch Ransomware-Attacken verhindern können.

R

1. Sicherungen der Dateien zum Schutz vor Ransomware-Attacken

Um Ransomware-Attacken gezielt entgegenzutreten, sind regelmäßige Sicherungen der Unternehmensdaten wichtig. Auf diese Sicherung können Sie im Fall eines Angriffs zurückgreifen. Den Datenverlust können Sie so deutlich besser verhindern.

Die Sicherung kann manuell oder automatisch durchgeführt werden. Eine Cloud-Lösung für Unternehmen wäre z.B. eine Möglichkeit der Datensicherung.

R

2. Ansicht versteckter Dateiendungen

Für Ransomware-Attacken wird primär der Angriffsvektor E-Mail genutzt. Gut getarnt, gelangen Sie als PDF-, EXE- oder JPEG-Datei auf den Zielrechner des Mitarbeiters im betroffenen Unternehmen. Die Anzeige von Dateiendungen ist in den meisten E-Mail-Clients standardmäßig deaktiviert, weshalb der Nutzer das Format der Datei meist nicht auf den ersten Blick erkennen kann.

Ungewollt werden die infizierten Dateien geöffnet und die Ransomware ausgeführt. Folglich ist es wichtig, dass Sie über die Einstellungen des E-Mail-Clients die Ansicht von Dateiendungen aktivieren.

R

3. Filtern von Dateierweiterungen

Verhindern lassen sich Ransomware-Attacken durch einen Spamfilter. Der Empfang von Dateien mit bestimmten Dateiendungen wird einfach durch eine Filterfunktion verhindert. Sie können die Richtlinien für den Filter individuell anpassen und Ausnahmen für einzelne Dateiendungen vornehmen. Diese Rechte können Sie für jeden Benutzer individuell festlegen.

R

4. Remote Desktop Protocol deaktivieren

Microsofts Remote Desktop Protokoll dient als Schwachstelle. Durch die Freigabe des RDP kann sich die Ransomware im Einzelfall innerhalb des lokalen Netzwerkes verteilen. Die Schadsoftware kann sich über diesen Weg unautorisiert Zugriff zum Zielrechner verschaffen und Daten verschlüsseln.

R

5. Advanced Threat Protection zum Schutz vor Ransomware

Ransomware-Attacken können das Netzwerk von ganzen Unternehmen lahmlegen. Die Folge: Schäden in der Höhe von mehreren hundert Tausend Euro. Einen wirklich effektiven Schutz vor Ransomware-Attacken bietet Ihnen ein nachhaltiges IT-Sicherheitskonzept, das Sie vor komplexen Angriffen schützt.

Advanced Threat Protection erkennt zuverlässig Ransomware-Attacken sowie unterschiedliche Malware-Arten. Hornetsecurity Advanced Threat Protection (ATP) bietet Lösungen auf breiter Ebene an. Hierzu gehören URL-Rewriting und URL-Scanning.

R

6. Regelmäßige System-Updates

Veraltete Systemstrukturen bieten Angreifern eine ideale Möglichkeit, Ransomware-Attacken, durchzuführen. Dies gilt insbesondere für Betriebssysteme. Je älter das System ist, desto mehr Schwachstellen sind normalerweise vorhanden.

Als Beispiel zu nennen ist hier der WannaCry Angriff. Hier gab es die bekannte Sicherheitslücke EternalBlue. Sie wurde von vielen Unternehmen einfach ignoriert. Updates bzw. Patches wurden nicht durchgeführt. Dadurch kam es zu einer Vielzahl von erfolgreichen Ransomware-Attacken auf Unternehmen.

 

Im Ergebnis ist es schwierig, Ransomware-Attacken zeitnah zu erkennen. Eine Früherkennung ist aber wichtig, um die Schäden möglichst gering zu halten. Präventivmaßnahmen, wie z.B. Backup-Lösungen sind hier vorteilhaft, um Ransomware-Attacken effektiv vorzubeugen.

Mit Hornetsecurity Advanced Threat Protection vor Ransomware schützen:

i
Angebot anfordern!

Sie möchten wissen, was Advanced Threat Protection kostet? Dann fordern Sie einfach ein unverbindliches Angebot an. Zusätzlich können Sie unseren Service 30 Tage kostenfrei testen. Dazu nutzen Sie einfach unser vollautomatisches Onboarding.

Angebot einholen

Jetzt Produkt testen!

Mit ein paar wenigen Angaben können Sie Advanced Threat Protection auch sofort 30 Tage unverbindlich testen. Erstellen Sie sich einen Account und wenige Minuten später werden Ihre Mitarbeiter und IT-Systeme noch mehr geschützt. Onboarden – Produkt testen

Sie möchten Ihr Portfolio um die Managed Services von Hornetsecurity erweitern?