Unternehmen jeder Größe werden zunehmend durch Ransomware-Angriffe bedroht. Wenn nicht mehr auf wichtige Daten zugegriffen werden kann und dann auch noch eine Lösegeldforderung gestellt wird, ist das Chaos in vielen Unternehmen perfekt und an produktives Arbeiten kaum noch zu denken. Aber wie läuft ein solcher Angriff normalerweise ab? Und welche Lösungen sollten für eine bestmögliche Abwehr vorhanden sein? In diesem Whitepaper erklären wir, welche Verfahren zur Übertragung von Ransomware eingesetzt werden, beschäftigen uns mit der Frage, warum Ransomware-Angriffe erfolgreich sind, und geben Ihnen Sicherheitstipps zum Schutz vor Ransomware. Außerdem stellen wir Ihnen eine Reihe von Sicherheitstechnologien vor, die in keiner IT-Umgebung fehlen sollten.
Ransomware ist eine der am meistverbreiteten und gefährlichsten Bedrohungen für Internetbenutzer. 2013 tauchte der berühmt-berüchtigte CryptoLocker auf, und seitdem haben wir es mit einer neuen Ära dateiverschlüsselnder RansomwareVarianten zu tun, die durch Spam-Mails und Exploit-Kits eingeschleust werden, um von Privatpersonen und Unternehmen Geld zu erpressen. Die aktuelle Angriffswelle durch Ransomware-Familien hat ihren Ursprung in den Anfangstagen von FakeAV und ist durch die „Locker“-Varianten geprägt – die heutigen Varianten sind auf die Verschlüsselung von Dateien spezialisiert. Alle Kategorien von Schadsoftware haben ein Ziel – von den Opfern durch Social Engineering und direkte Einschüchterung Geld zu erpressen. Die Lösegeldforderungen sind mit jedem erneuten Auftauchen aggressiver geworden
Die meisten Unternehmen haben eine Sicherheitssoftware installiert. Warum gelingt es Ransomware trotzdem, auf Systeme zu gelangen?
Beinhaltet Netzwerk- und Endpoint-Techniken – vom Infizieren einer Website bis zur Bereitstellung eines Endpoint-Payloads und dem Verkauf der Ergebnisse.
Plattformübergreifend und nach der Agile-Methode entwickelt.
Exploits automatisch enthalten.
Ransomware-Angriffe beginnen entweder mit einem schädlichen E-Mail-Anhang oder über eine kompromittierte (oft seriöse Mainstream-) Website.
Kriminelle erstellen heutzutage Schad-E-Mails, die sich von echten E-Mails nicht mehr unterscheiden lassen. Sie sind grammatikalisch korrekt, enthalten keine Rechtschreibfehler und ihr Text ist gezielt auf Sie und Ihr Unternehmen abgestimmt.
Beim Öffnen scheint der ZIP-Ordner eine ganz normale Textdatei zu enthalten.
Wird die Datei jedoch ausgeführt, wird die Ransomware heruntergeladen und auf Ihrem Computer installiert. In diesem Beispiel handelt es sich um eine JavaScript-Datei, die als Textdatei getarnt wurde, aber tatsächlich ein Trojaner ist. Es gibt jedoch noch viele weitere Varianten von Schad-E-Mails, z. B. angehängte Word-Dokumente mit Makros und Verknüpfungsdateien (.lnk).
Ein weiterer Infektionsweg ist häufig der Besuch einer seriösen Website, die mit einem Exploit-Kit infiziert wurde. Selbst beliebte Mainstream-Websites können zeitweise kompromittiert sein. Exploit-Kits sind Schwarzmarkt-Tools, mit denen Hacker bekannte und unbekannte Schwachstellen (z. B. Zero-Day-Exploits) ausnutzen.
Sie browsen zur gehackten Website und klicken auf einen harmlos erscheinenden Link, fahren mit der Maus über eine Werbeanzeige oder sehen sich die Seite in vielen Fällen nur an. Das reicht schon, um die Ransomware-Datei auf Ihren Computer herunterzuladen und auszuführen – oft ohne sichtbare Anzeichen, bis es zu spät ist.
Nachdem die Ransomware per E-Mail oder über das Internet auf einen Computer gelangt ist, unternimmt sie weitere Schritte:
Um vor Ransomware geschützt zu bleiben, benötigen Sie nicht nur die neuesten Sicherheitslösungen. Auch IT Security Best Practices wie regelmäßige Mitarbeiterschulungen sind unerlässlich. Befolgen Sie unbedingt die folgenden neun Best Practices:
Ransomware ist nur eine Gefahr von vielen: Ihre Daten können auf diverse andere Arten abhanden kommen: z. B. durch Feuer, Hochwasser, Diebstahl, Beschädigung eines Laptops oder versehentliches Löschen. Verschlüsseln Sie Ihre Backups, damit Ihre Daten auch dann sicher bleiben, wenn Ihr Back-up-Gerät in die falschen Hände gerät.
Dateierweiterungen sind in Windows standardmäßig deaktiviert und nur über die Dateiminiaturansicht ersichtlich. Bei aktivierten Dateierweiterungen können Sie Dateitypen, die normalerweise nicht an Sie und Ihre Benutzer gesendet werden (z. B. JavaScript), einfach erkennen.
Wenn Sie eine JavaScript-Datei in Notepad öffnen, können keine Schad-Skripte ausgeführt werden und Sie können den Inhalt der Datei überprüfen.
Microsoft hat die automatische Ausführung von Makros schon vor Jahren aus Sicherheitsgründen deaktiviert. Viele Infektionen funktionieren nur, wenn Sie Makros aktivieren. Aktivieren Sie also keine Makros!
Cyberkriminelle machen sich das Dilemma zunutze, dass Sie erst dann mit Sicherheit sagen können, ob ein Dokument seriös ist, nachdem Sie es geöffnet haben. Lassen Sie im Zweifel lieber die Finger von einem Attachment, das Ihnen verdächtig erscheint.
Mit diesen Viewer-Anwendungen können Sie sich den Inhalt von Dokumenten anzeigen lassen, ohne sie in Word oder Excel zu öffnen. Die Viewer-Software unterstützt keine Makros. Es besteht also keine Gefahr, Makros versehentlich zu aktivieren.
Malware, die nicht über ein Dokument eingeschleust wird, ist meist auf Sicherheits-Bugs in beliebten Anwendungen wie Microsoft Office, Browsern oder Flash angewiesen. Je eher Sie Patches installieren, desto weniger Schwachstellen können ausgenutzt werden.
In Office 2016 gibt es beispielsweise nun das Steuerelement „Ausführung von Makros in Office-Dateien aus dem Internet blockieren“, mit dem Sie sich vor externen Schadinhalten schützen und Makros intern weiterhin nutzen können.
Um Ransomware zuverlässig abwehren zu können, müssen Sie für jede Phase eines Angriffs effektive Abwehrmaßnahmen ergreifen. Beginnen Sie auf Ihren Endpoints mit unserer einmaligen CryptoGuard-Technologie in Sophos Intercept X, die Ransomware stoppt, bevor es zu spät ist. CryptoGuard ist auf Ihren Endpoints und Servern aktiv und erkennt und stoppt Dateiverschlüsselungen durch Ransomware. Es ergänzt Ihre bestehende Sicherheit und blockiert Prozesse, die versuchen, unbefugte Änderungen an Ihren Daten vorzunehmen.
Die beste Waffe gegen Schad-E-Mails ist Ihr E-Mail-Gateway. Anti-Spam-Technologien stoppen Ransomware-E-Mails. Antivirus scannt auf E-Mail-Bedrohungen und blockiert diese. Durch das Blockieren von E-Mails mit Makro-Attachments können Sie einer weiteren weitverbreiteten Ransomware-Technik vorbeugen. Die Time-of-Click-Technologie verhindert, dass Sie und Ihre Benutzer zu infizierten Websites navigieren – auch wenn diese noch unbedenklich waren, als sie in Ihren Posteingang gelangten.
Web-Bedrohungen werden von der Firewall und dem Web-Gateway neutralisiert. Eine URL-Filterung blockiert Ransomware-hostende Websites sowie deren Command-and-Control-Server. Mittels Durchsetzung strenger Kontrollen können Sie zudem dafür sorgen, dass mit Ransomware in Verbindung stehende Dateien gar nicht erst heruntergeladen werden.
Cloud Sandboxing sowohl auf E-Mail- und Web-Gateway-Ebene blockiert komplexe Zero-Day-Bedrohungen wie Ransomware. Diese Technologie können Sie sich als Ihr eigenes privates Malware-Labor vorstellen, in dem verdächtige Dateien ausgeführt werden, um ihr Verhalten zu analysieren.
Server Whitelisting und Lockdown sorgen dafür, dass Ihre Server sicher bleiben – zugelassene Anwendungen werden auf eine Whitelist gesetzt und Änderungen und Updates nur eingeschränkt erlaubt. Alle anderen Versuche, Änderungen vorzunehmen, werden automatisch blockiert. Ransomware wird daher bereits gestoppt, bevor sie aktiv werden kann. Malicious Traffic Detection verhindert, dass Ransomware Command-and-Control-Server kontaktiert und seinen Payload herunterlädt.
Ihre Sicherheitsprodukte sind für sich genommen zwar durchaus leistungsfähig, sollten für eine optimale Leistung jedoch zusammenarbeiten können. Wenn Sie Ihren Endpoints und Ihrer Firewall ermöglichen, Sicherheitsinformationen auszutauschen und proaktiv auf Bedrohungen zu reagieren, erhalten Sie besseren Schutz vor komplexen Bedrohungen als je zuvor.
Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, Server, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren.