Ihr 10 Punkte Plan gegen Ransomware
Haben Sie auch in den Nachrichten von den Cryptolocker Infektionen gehört? In diesem Artikel erfahren Sie mehr über diesen Malware Typ und erhalten außerdem Vorschläge und Tipps zum Schutz vor Ransomware. Lesezeit 5 Minuten
Was ist Ransomware?
Im Laufe der letzten Jahre wurden wir Zeuge des Trends, dass Hacker Geld von privaten Benutzern und seit kurzem auch von Unternehmen über die Verbreitung verschiedener Ransomware-Trojaner wie den CryptoLocker erpresst wird.
Diese Software-Familie ist so konzipiert, dass sie Daten und Dateien verschlüsseln können, indem sie ein private-public Schlüsselpaar erzeugen. Die Daten sind unmöglich zu entschlüsseln, ohne den privaten Schlüssel zu kennen, der normalerweise auf dem Server des Angreifers gespeichert wird, bis das Lösegeld bezahlt wird.
In vielen Fällen ist Lösegeld bezahlt worden und die Angreifer gaben den Schlüssel dennoch nicht an die Opfer, die dann ohne ihr Geld und Dateien dastanden.
Fortschritte in Verschlüsselungstechnologie und die Einfachheit seine Identitäten zu verbergen haben zu einer weiten Verbreitung der Nutzung geführt.
Es gibt „Anbieter“, die Kriminellen „Ransomware as a Service“ anbieten. Erpresser nutzen diese Dienste ohne eigene technische Expertise anonym über das Darknet um Unternehmen zu Erpressen oder um diesen zu Schaden.
Der Aufstieg und Fall vom CryptoLocker
Die aktuelle Welle der Ransomware-Bedrohungen begann Ende 2013 mit der wohl die bekannteste Ransomware Familie – dem CryptoLocker. Im Mai 2014 wurde der CryptoLocker Trojaner aufgrund einer gemeinsamen Operation durch Vollstreckungs- und Sicherheitsbehörden eliminiert. Dies gelang vor allem dank der Aushebelung des GameOver Zeus-Netzwerks, das zu den bedeutenden Vertriebswegen gehörte.
Obwohl der ursprüngliche CryptoLocker Trojaner eliminiert wurde, sehen wir immer noch Nachahmungen davon. Außerdem sind Gleichzeitig viele weitere Familien von Ransomware aufgetaucht. Die produktivsten sind CTBLocker, CryptoWall, TorrentLocker, und vor kurzem auch TeslaCrypt. Unabhängig vom Namen zielen alle darauf ab, dasselbe zu tun: Erpressung von Geld von den Opfern im Gegenzug für die vermeintliche Entschlüsselung ihrer Daten und Dateien.
Warum ist Ransomware ein so große Gefahr?
Diese Angreifer stellen aus mehreren Gründen eine beträchtliche Gefahr dar:
- Sie verwenden gerissene Techniken, um Sicherheitssoftware zu umgehen. Dies führt oft zur Schaffung von „Zero-Day Malware“. Dies bedeutet, dass der Trojaner Sicherheitsexperten unbekannt ist und nicht als Risiko von einer Sicherheitssoftware identifiziert werden kann.
- Sicherheitsexperten beobachten, dass verschlüsselte Daten teilweise nicht wiederherstellbar sind. Wie viele Opfer auch berichten, dass die Entschlüsselung nicht vorgesehen ist, auch wenn das Lösegeld bezahlt wurde. Es wird daher nicht empfohlen, die Forderungen des Hackers zu erfüllen.
- Durch die Nutzung des Tor-Netzwerks und der virtuellen Währungen wie Bitcoin sind Hacker, trotz Sicherheitsbehörden, unerreichbar.
- Die Angriffe richten sich zum größten Teil an Benutzer in wohlhabenderen Ländern – 2015 waren 50% aller CTBLocker-Angriffe in den USA und 35% in Europa.
- Speziell für Unternehmen ist Ende 2014 eine weitere Ransomware-Familie erschienen, die SynoLocker, die gezielt Massenspeicher, sowie Network Attached Storage (NAS) verschlüsseln. Diese Tendenz, „große Fische“ zu visieren, ist bereits erkennbar und wird weiter steigen.
Was werden wir zukünftig sehen?
Die Verwendung von Ransomware ist weiter auf dem Vormarsch. Im ersten Quartal 2015 beobachteten wir einen Anstieg um 165%. McAfee Labs Forscher identifizierten dann mehr als 4 Millionen Exemplare von Ransomware in Q2, von denen 1,2 Millionen neu waren. Ein aktueller Bericht von SonicWall identifizierte über 638 Millionen Ransomware-Angriffe im Jahr 2016 – eine überwältigende Zunahme im Vergleich zu den Vorjahren.
Die dicken Fische
Angreifer suchen sich Ihre Opfer gezielt aus. Schwerpunkte sind aktuell Unternehmen aus dem Finanzsektor, Transport & Logistik, öffentlicher Sektor sowie Pharma und Healthcare.
Ihre 10 Punkte Checkliste
1 | Anti-Virus- und Sicherheitssoftware auf dem neusten Stand |
2 | Server Patchen, Sicherheitslücken schließen |
3 | User-Awareness Training für Trojaner & Phishing-E-Mails |
4 | Business Impact Analyse für IT Services |
5 | Bekannte Risiken bewerten, Maßnahmen planen um diese zu schließen |
6 | Sicherung durch Replikation mit Zerto (echtes Disaster Recovery) |
7 | Definition von Server Gruppen, die gemeinsam einen IT Service bilden |
8 | Erstellen der Dokumentation / Notfall Handbuch |
9 | Recovery und Failover-Tests |
10 | Üben, üben, üben |
Wie können wir uns vor einem Angriff schützen?
Da Cyberkriminelle immer intelligentere Angriffsmethoden nutzen, wird die Notwendigkeit, sich zu schützen, zunehmend größer.
Ausgangspunkt ist immer eine geeignete aktuelle Anti-Virus- und Sicherheitssoftware. Durch Zero-Day Malware ist AV-Software nicht unbedingt eine Garantie für den Schutz, aber ohne geht es natürlich nicht.
User-Education ist ein wichtiger Punkt, da viele Trojaner einen ersten Zugang zu Systemen durch Links erhalten, die in (oft sehr offiziell aussehenden) Phishing-E-Mails enthalten sind. Dennoch machen Menschen Fehler, sodass zusätzliche Schutzschichten erforderlich sind.
Server Patches schützen die IT vor bekannten Sicherheitslücken. Wer nicht patched spricht ebenso eine Einladung an Kriminelle aus.
Die Sicherung Ihrer Daten ist entscheidend. Aber Backup ist kein Selbstzweck. Denn das Ziel eines Backups ist das Wiederherstellen der Daten. Eigentlich sogar noch mehr – der IT Service muss schnell wieder zur Verfügung stehen. Häufig ist der zeitliche Abstand zwischen den Backups so groß, dass wenn ihre Systeme infiziert werden, sie möglicherweise Daten mehrerer Monate verlieren.
Risikominderung
Manchmal muss man akzeptieren, dass Prävention nicht immer möglich ist, und daher versuchen die Bedrohung zu weitestgehend einzudämmen.
Angenommen, Sie wären das unglückliche Opfer eines Ransomware-Angriffs. Ihre Dateien sind gesperrt, Ihnen bricht der Schweiß aus… Ihr letztes Backup könnte von letzter Nacht, letzte Woche oder vielleicht vom letzten Monat gewesen sein. Wie viele Daten stehen auf dem Spiel, sind verloren? Was kostet das Geschäft? Wie wird die Öffentlichkeit Ihre Unfähigkeit wahrnehmen, dieser Bedrohung entgegenzuwirken? Was passiert, wenn alle Ihre öffentlich zugänglichen Dienste offline sind, während Sie versuchen, das Problem zu beheben? Wie viel Zeit wird vergehen, um sie wieder in Betrieb zu nehmen? Wann wurde es das letzte mal (erfolgreich) getestet?
Was ist zu tun?
Folgen Sie unserer 10-Punkte Checkliste und erhalten Sie hier mehr Informationen zu wirksamem Schutz. Außerdem empfehlen wir unser Cybersicherheit Glossar.