Emsisoft
Ransomware zum Mieten: 3 Schritte, wie Ihre Daten trotzdem sicher bleiben
Die meisten Menschen bekommen eine Gänsehaut, wenn Sie an den Verlust all ihrer Daten denken. Auch für Unternehmen, die auf einen Schlag mehrere Jahre wertvolles Wissen verlieren würden, wenn sie keinen Zugriff mehr auf ihre digital gespeicherten Unterlagen hätten. Und doch wird dieser Albtraum tagtäglich für tausende Firmen dank moderner Malware der Kategorie „Ransomware“ zur bitteren Realität.
Nicht umsonst spricht man von Sicherheitsmechanismen, die nur so stark sind, wie das schwächste Glied einer Kette. Allzu oft handelt es sich dabei um einen motivierten Mitarbeiter mit besten Absichten, der bestrebt ist, seinen Job möglichst schnell zu erledigen – aber nicht unbedingt im Sinne der Datensicherheit. Schauen wir uns also die neue Ransomware, „Ransom32“ und drei empfehlenswerte Präventivmaßnahmen etwas genauer an.
Als wir begannen, uns genauer mit Ransom32 und dem Ransomware-als-Service-Modell auseinanderzusetzen, wurde schnell klar, dass wir es mit einer neuen Liga von Ransomware zu tun hatten. Ransom32 nutzt das NW.js Framework und ist komplett in JavaScript geschrieben. Dies ermöglicht umfangreichen Zugriff auf den Computer und erleichtert die Interaktion mit dem zugrundeliegenden Betriebssystem ungemein. Denn plötzlich wird aus einer Web-Applikation ganz schnell eine funktionstüchtige Desktopanwendung, die sich nicht mehr an die sonst üblichen Sicherheitsbeschränkungen des Webbrowsers halten muss und mit der selben JavaScript-Basis grundsätzlich auf verschiedenen Systemen lauffähig ist.
Im Handumdrehen kann also eine auf NW.js basierende Anwendung sowohl auf Windows, als auch Linux und MacOS X verwendet werden. Es ist demnach nur eine Frage der Zeit, bis Ransom32 sich auch auf diesen Plattformen an den Dateien, Bildern etc. nichtsahnender Benutzer vergreift. Beim nächsten Start des Computers sieht der Benutzer dann nur noch einen Hinweis, dass all seine Daten verschlüsselt wurden und in welcher Höhe er eine Bitcoin-Zahlung veranlassen möge, um seine Daten wiederzuerlangen. Damit es gar nicht erst so weit kommt, können Sie sich an folgende Präventivmaßnahmen halten:
- Machen Sie regelmäßige Backups Ihrer Daten
Für die einen ist es so selbstverständlich wie das tägliche Zähneputzen, für die anderen eine Qual. Sie wissen, dass es dazu gehört, und Sie es öfter tun sollten, aber Sie haben keine Lust, keine Zeit oder eine andere Ausrede. Immer noch zählen Backups auf externen Festplatten oder dedizierten Rechnern zur besten Verteidigung. Oftmals hat es Ransomware bewusst auf Backups abgesehen, daher ist es besonders wichtig, dass Ihre Backups nicht im eigenen Netzwerk liegen sondern an einem sicheren, nicht leicht erreichbaren Ort. Auch ein Backup in der Cloud wäre eine Option. Egal welchen Weg Sie einschlagen, bevorzugt tägliche Backups sind derzeit die einzige günstige Alternative bei einer Infektion und Verschlüsselung durch Ransom32. Bitte denken Sie auch daran, den Datenwiederherstellungsprozess im Vorfeld zu testen, damit im Fall des Falles das Einspielen des Backups auch tatsächlich wie erwartet funktioniert. - Verlassen Sie sich nicht ausschließlich auf Malware-Signaturen
Durch den Einsatz des NW.js-Frameworks haben Sicherheitsanwendungen ihre liebe Not, vernünftige Signaturen für die Malware-Erkennung zu generieren. Denn jede Ransom32-Variante kann ein bisschen anders konfiguriert werden und würde bei einem Scan einfach durch das Netz gehen. Selbst jetzt, zwei Wochen nach dem ersten Ransom32-Fund, finden sich nur wenige brauchbare Signaturen für die Erkennung. Das ist wohl einer der Gründe, warum Ransomware uns dieses Jahr bestimmt noch öfter plagen wird und bereits jetzt als eine der größten Gefahren bezeichnet wird. Um nicht auf die (immer nachhinkende) Erkennung auf Basis von Signaturen angewiesen zu sein, können Sie auf Sicherheits-Lösungen setzen, die Malware anhand ihres Verhaltens erkennen. Derlei Verhaltensanalysen erkennen Ransomware nicht an bekannten Fingerabdrücken im Code sondern, wie der Name vermuten lässt, anhand ihres Verhaltens. - Echtzeitschutz
Gefahren kommen nicht nur von außen, sondern gerade im Unternehmensbereich auch von innen und haben einen Namen: unachtsame Mitarbeiter. Egal ob als vermeintliche Zustellinformationen, gefälschte Mahnungen oder Erinnerungen anderer Art, Ransom32 setzt darauf, dass Spam-Emails nicht immer entlarvt oder gar ohne überhaupt nachzudenken geöffnet werden. Selbst der geschulte Mitarbeiter ist nicht davor gefeit, einer überzeugend verfassten Spam-Nachricht in die Falle zu tappen und schon ist die Malware heruntergeladen und nistet sich ins System ein. Dabei kann Ransom32 noch viele andere Wege auf einen Computer nehmen, wie beispielsweise Malvertising, Exploit Kits oder Phishing. Es ist unbestritten, dass Ransomware eine Gefahrenquelle darstellt, doch sind sich viele Mitarbeiter dessen gar nicht bewusst. Der Einsatz von Software mit Scans in Echtzeit und automatischer Quarantäne ist aber weniger eine Infragestellung der „Awareness“ eines Mitarbeiters, als eine sinnvolle und unterstützende Maßnahme im Kampf gegen Ransomware. Ransom32 ist nicht nur eine x-beliebige Ransomware, sondern kommt fix und fertig mit einer Laufzeitumgebung und NW.js in einer ausführbaren Datei und ist somit unabhängig davon, ob am Zielrechner ein passendes Framework vorhanden wäre. Ransomware wird erwachsen, und zu einer immer größeren Gefahr. Selbst Rick Holland, Vizepräsident und leitender Analyst bei Forrester Research, sagte unlängst, dass nicht eine Woche vergehe, in der er nicht mit einem Kunden über einen Ransomware-Vorfall sprechen würde.
Ein chinesisches Sprichwort besagt, dass man Bäume am besten vor 20 Jahren pflanzen sollte. In diesem Sinne ist es jetzt an der Zeit, sich für die Zukunft zu wappnen. Warten Sie nicht darauf, bis sich Ransom32 als solide Grundlage für schnelle Adaptionen in kriminellen Kreisen etabliert hat und neue Ransomware-Schöpfungen wie Pilze aus dem Waldboden sprießen. Schützen Sie sich, Ihre Daten und Angehörigen proaktiv. Behalten Sie obige einfache Präventionsmaßnahmen im Kopf und lassen Sie es gar nicht erst so weit kommen.
