Ransomware: Ihnen bleiben fünf Minuten

Autor/Redakteur: Michael Scheffler, Country Manager DACH von Varonis Systems/gg

Bei jedem Notfall ist die Zeit ein kritischer Faktor. Dies gilt selbstverständlich auch für Ransomware-Angriffe: Wenn die Malware ein IT-Netzwerk infiziert, bleibt nur wenig Zeit zu reagieren – nach Meinung zahlreicher Security-Spezialisten rund fünf Minuten. Bei dieser Geschwindigkeit ist es nahezu unmöglich, die Ausbreitung von Ransomware in einem IT-System mit manuellen Methoden abzuwehren.

Bild: Varonis Systems

Bedenkt man zudem, dass alle 40 Sekunden ein Unternehmen zum Opfer dieser Attacken wird, sollten Sicherheitsverantwortliche fest davon ausgehen, dass auch ihr Unternehmen früher oder später angegriffen wird. Deshalb sollten, nein müssen sie beizeiten Maßnahmen ergreifen, um einen Ransomware-Anschlag mit so geringem Schaden wie möglich zu überstehen. Gründliche Vorbereitung und Automatisierung sind dabei unerlässlich. Folgt man diesen fünf Schritten, hat man gute Chancen, einen Ransomware-Angriff innerhalb der besagten fünf Minuten zu erkennen und zu stoppen.

Setzen Sie auf eine vielschichtige Verteidigung

Ransomware hat sich seit WannaCry weiterentwickelt. Setzten Cyberkriminelle früher auf breite, ungezielte Kampagnen nach dem Gießkannen-Prinzip, wählen sie heute ihre Opfer in aller Regel gezielt aus. Im Wesentlichen ist die Cyber Kill Chain gleichgeblieben, bis auf ein kleines, aber wesentliches Detail: Die Angreifer stehlen jetzt die Daten, bevor sie sie auf den Systemen ihrer Opfer verschlüsseln.

Ein typischer Angriff sieht dann in etwa so aus: In einem ersten Schritt platzieren die Angreifer einen einfachen, nicht auffindbaren Code in der IT-Infrastruktur des Opfers, mit dem sie Aufklärung betreiben, also feststellen, welche Sicherheitsprodukte im Einsatz sind. Diese Informationen werden automatisch an die Kommando- und Kontrollzentrale des Angreifers zurückgeleitet, die entsprechend weitere Malware an das angegriffene System sendet, um die Sicherheitsmaßnahmen des Opfers zu neutralisieren. In der nächsten Phase werden sensible Daten gesucht und exfiltriert. Schließlich wird die eigentliche Ransomware injiziert, um sämtliche Daten zu verschlüsseln.

Bild: Varonis Systems

Grundsätzlich kann Antiviren-Software in die erste Phase, also vor einer Eskalation, den Angriff stoppen. Allerdings ist sie nur in der Lage, bekannte Angriffe zu unterbinden, sei es durch bereits benutzten Code oder aufgrund von Nutzer-Blacklists. Selbstverständlich wissen dies die meisten Cyberkriminellen und entwickeln ihre Malware ständig weiter, um einer Erkennung zu entgehen. Eine umfassende, vielschichtige Abwehr hingegen schützt die Perimeterabwehr und erkennt abnormales Verhalten, das auf Malware zurückzuführen ist. Hierbei werden oftmals Elemente des maschinellen Lernens eingesetzt, um auffälliges Verhalten schnell zu identifizieren und zu stoppen. Einen ähnlichen Ansatz verfolgen Banken und Kreditkartenunternehmen schon seit etlichen Jahren, um Missbrauch zu verhindern. Sie wissen recht präzise, welches Verhalten für ihre Kunden „normal“ ist. Sobald das System eine verdächtige Aktivität auf dem Konto entdeckt, wird es gesperrt und der Kontoinhaber wird aufgefordert zu überprüfen, ob er die Transaktion durchgeführt hat. Ganz ähnlich ist bei Ransomware zu verfahren: Sobald sie entdeckt wurde, besteht der erste Schritt darin, ihre weitere Verbreitung zu stoppen, also den betroffenen Rechner zu sperren und ihn vom Netzwerk zu trennen. Nach der Isolierung kann ein Security-„Reinigungsteam“ den infizierten Bereich untersuchen und die Malware entfernen.