{"id":15357,"date":"2019-11-30T11:43:00","date_gmt":"2019-11-30T10:43:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15357"},"modified":"2019-11-25T12:13:28","modified_gmt":"2019-11-25T11:13:28","slug":"sophos-veroeffentlicht-kompendium-zum-it-security-topthema-ransomware","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15357","title":{"rendered":"Sophos ver\u00f6ffentlicht Kompendium zum IT-Security-Topthema Ransomware"},"content":{"rendered":"\n

Sophos hat eine neue Ausgabe in seiner englischsprachigen Reihe der \u201ePlaybooks for Defenders\u201c ver\u00f6ffentlicht. Mit dem Titel \u201eHow Ransomware Attacks<\/a>\u201c beschreiben die SophosLabs detailliert, wie unterschiedliche Ransomware-Varianten ihre Opfer angreifen und welche Vorsichtsma\u00dfnahmen zum Schutz zu treffen sind. Das Kompendium richtet sich speziell an IT- sowie Security-Fachleute und ist eine Erg\u00e4nzung zum j\u00fcngsten Sophos Threat Report 2020<\/a>. Analysiert werden elf der g\u00e4ngigsten und best\u00e4ndigsten Ransomware-Familien, darunter Ryuk, BitPaymer und MegaCortex. <\/p>\n\n\n\n

\"\"
Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Detaillierte\nEinblicke in die Vorgehensweise der Kriminellen<\/strong><\/p>\n\n\n\n

Im\nneuesten Playbook for Defenders beschreiben die SophosLabs detailliert, wie\nRansomware versucht, unbemerkt an der Security vorbeizuschl\u00fcpfen. Meist nutzen\ndie Angreifer daf\u00fcr vertrauensw\u00fcrdige und legitime Prozesse, um dann \u00fcber\ninterne Systeme eine maximale Anzahl von Dateien zu verschl\u00fcsseln sowie Backup-\nund Wiederherstellungsprozesse zu deaktivieren, bevor ein IT-Sicherheitsteam\neinschreiten kann. Die wichtigsten Kapitel des Kompendiums umfassen:<\/p>\n\n\n\n

Verbreitung<\/span><\/p>\n\n\n\n

Ransomware\nwird typischerweise auf eine von drei Arten verteilt: Als Kryptowurm, der sich\nschnell auf andere Computer repliziert, um eine maximale Wirkung zu erzielen (zum\nBeispiel WannaCry). Eine weitere Variante ist Ransomware-as-a-Service (RaaS),\nder verst\u00e4rkt im Dark Web als Distributions-Kit verkauft wird (wie etwa\nSodinokibi). Die dritte Art der Verteilung erfolgt mittels eines\nautomatisierten, aktiven gegnerischen Angriffs, bei dem Angreifer die\nRansomware nach einem automatisierten Scan von Netzwerken f\u00fcr Systeme mit\nschwachem Schutz manuell einsetzen. <\/p>\n\n\n\n

Kryptographisches Code Signing<\/span><\/p>\n\n\n\n

Kryptographische\nCode Signing Ransomware mit einem gekauften oder gestohlenen legitimen\nZertifikat versucht Sicherheitssoftware davon zu \u00fcberzeugen, dass der Code\nvertrauensw\u00fcrdig ist und keine Analyse ben\u00f6tigt.<\/p>\n\n\n\n

Privilegien<\/span><\/p>\n\n\n\n

Um\nPrivilegien beziehungsweise Zugriffsrechte zu erh\u00f6hen, nutzen Angreifer leicht\nverf\u00fcgbare Exploits wie EternalBlue. Auf diese Weise kann der Angreifer\nProgramme wie Remote Access Tools (RATs) installieren, Daten anzeigen, \u00e4ndern\noder l\u00f6schen sowie neue Konten mit vollen Benutzerrechten erstellen und\nSicherheitssoftware deaktivieren.<\/p>\n\n\n\n

Bewegung im Netz<\/span><\/p>\n\n\n\n

Angreifer\nnutzen die seitliche Bewegung bei ihrer Jagd im Netzwerk nach Datei- und\nBackup-Servern, um die volle Wirkung des Ransomware-Angriffs zu entfalten.\nDabei bleiben sie unter dem Radar, quasi unbemerkt. Innerhalb einer Stunde\nk\u00f6nnen Angreifer ein Skript erstellen, um die Ransomware auf vernetzten\nEndpunkten und Servern zu kopieren und auszuf\u00fchren. <\/p>\n\n\n\n

Fernangriffe<\/span><\/p>\n\n\n\n

Dateiserver\nsind oft nicht mit der Ransomware infiziert. Stattdessen l\u00e4uft die Attacke\ntypischerweise auf einem oder mehreren kompromittierten Endpunkten, wobei ein\nprivilegiertes Benutzerkonto missbraucht wird. Der Zugriff kann auch \u00fcber das\nRemote Desktop Protocol (RDP) oder via Remote Monitoring and Management\n(RMM)-L\u00f6sungen erfolgen.<\/p>\n\n\n\n

Dateiverschl\u00fcsselung und Umbenennung<\/span><\/p>\n\n\n\n

Es\nexistiert eine Reihe von unterschiedlichen Methoden zur Dateiverschl\u00fcsselung,\neinschlie\u00dflich des einfachen \u00dcberschreibens des Dokuments. Die meisten Methoden\nwerden durch das L\u00f6schen des Backups oder der Originalkopie erg\u00e4nzt, um den\nWiederherstellungsprozess zu verhindern.<\/p>\n\n\n\n

Tipps\nzum Ransomware-Schutz<\/strong><\/p>\n\n\n\n