So umgehen Ransomware-Angreifer die Sicherheitslösungen Ihres Unternehmens

How ransomware attackers evade your organization’s security solutions

Es wird Sie vielleicht überraschen, aber nahezu jedes vertrauenswürdige Antivirenprodukt kann zuverlässig vor den meisten Ransomware-Familien schützen. Viele Ransomware-Programmierer geben sich aber nicht einmal die Mühe, ihre Ransomware durch Packen oder sogenannte Obfuskation zu verstecken, was die Erkennung durch eine gute Antivirus-Lösung recht einfach macht.

Weshalb fallen dann so viele Unternehmen immer noch Ransomware zum Opfer? Das liegt weder an den Fähigkeiten ihrer Antivirus-Software noch an der Ransomware selbst, sondern daran, was die Angreifer alles tun können, sobald sie sich Zugriff auf ihr Netzwerk verschafft haben.

In diesem Blogartikel zeigen wir Ihnen, wie Ransomware-Angreifer Ihre Sicherheitslösungen umgehen, wie ein derartiger Angriff abläuft und was Sie selbst tun können, um Ihr Netzwerk abzusichern.

Zunehmende Verteilung erst nach Kompromittierung

Ransomware-Gruppen haben bei ihren Angriffen bisher eher einen direkten Ansatz verfolgt. Sie verteilten ihre Ransomware mithilfe von Spam-Kampagnen, gehackten Websites und Exploit Kits an so viele Ziele wie möglich, wobei sie zum Entschlüsseln der Dateien eher moderate Lösegelder in dreistelliger Höhe forderten. Die Angreifer verbrachten vor dem Verbreiten der Ransomware nicht viel oder gar keine Zeit damit, sich die Netzwerke ihrer Opfer näher anzusehen. Es ging also mehr um Menge als um Qualität.

Dies hat sich in den vergangenen Jahren jedoch erheblich geändert. Die Angreifer sind zunehmend wählerischer geworden und zu ausgeklügelten Angriffen nach der Kompromittierung übergegangen. Die Verbreitungsmethoden sind im Großen und Ganzen dieselben geblieben (neben einem erheblichen Anstieg der RDP-basierten Angriffe). Allerdings verbringen die Kriminellen nun vor dem Abladen ihrer Ransomware-Payloads wesentlich mehr Zeit damit, sich über das anvisierte Netzwerk zu informieren. Die durchschnittliche Malware-Verweildauer, also die Zeit zwischen der Infektion und deren Erkennung, beläuft sich laut einem Bericht des Cybersicherheitsunternehmens FireEye auf 56 Tage.

Durch sorgfältiges Auskundschaften können die Kriminellen mit ihrem Angriff eine größtmögliche Wirkung erzielen und ein entsprechend hohes Lösegeld fordern. Doch was genau tun die Angreifer während dieser 56 Tage?

Besonders erwähnenswert ist hier, dass die Kriminellen bei dieser Art des Angriffs auch Zugriff auf die Sicherheitssysteme des Opfers erhalten und diese vor dem Abladen des Ransomware-Payloads deaktivieren können. Sobald sie sich entsprechend hohe Berechtigungen verschafft haben, deaktivieren sie die Schutzprozesse über die zentrale Übersicht der Sicherheitssoftware oder sie erstellen Ausnahmen für die ausführbaren Dateien der Ransomware, damit diese nicht erkannt werden.

Die häufigsten Angriffsvektoren für Ransomware

Ransomware ist nur ein weiteres Symptom eines größeren, systematischen Problems und sollte als das gesehen werden, was es wirklich ist: eine derzeit beliebte Methode, um mit kompromittierten Netzwerken Geld zu machen, genauso wie zuvor schon mit Cryptojacking, gestohlenen Kennwörtern und Finanzbetrug.

Unternehmen ist daher geraten, sich auf das Aufspüren und Absichern des anfänglichen Angriffspunkts zu konzentrieren, anstatt nur in Ransomware-spezifischen Schutz zu investieren. Dabei gilt es, besonders auf die häufigsten Angriffsmethoden zu achten wie:

Schutz vor Ransomware-Angriffen nach einer Kompromittierung

Wie wir nun wissen, ist Ransomware nicht das Hauptproblem, weshalb es wenig Sinn hat, wenn sich Unternehmen allein auf eine auf Ransomware spezialisierte Schutzlösung verlassen. Stattdessen sollten sie sich darauf konzentrieren, mithilfe bewährter Cybersicherheitsmaßnahmen den Ausgangspunkt der Infektion abzusichern, um das Risiko einer Kompromittierung zu minimieren.

Im Folgenden haben wir eine Liste wesentlicher bewährter Cybersicherheitsmaßnahmen zusammengestellt, mit denen Sie Ihr Netzwerk vor Beeinträchtigungen und folglich auch vor daraufhin folgenden Ransomware-Angriffen schützen können.

Fazit

Moderne Ransomware kommt in der Regel erst nach einer Kompromittierung zum Einsatz. Auf diese Weise können sich Angreifer vorher Informationen über das Zielsystem verschaffen, vertrauliche Daten stehlen, Sicherheitsprozesse beenden und letztendlich mit ihrem Angriff größtmöglichen Schaden anrichten.

Wird das Risiko der Kompromittierung gesenkt, sinkt auch das Risiko eines Ransomware-Angriffs. Die wirkungsvollste und kostengünstigste Methode, um Ransomware vorzubeugen, ist also nicht der Kauf Ransomware-spezifischer Schutzlösungen, sondern das Aufspüren und Beheben möglicher Sicherheitslücken im Netzwerk.

Übersetzung: Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel

Leserkommentare