Inhaltsverzeichnis:
- So vermeiden Sie einen Ransomware-Angriff
- Warum Ransomware anders ist
- So schützen Sie sich
- Frühwarnungen und Schutzmaßnahmen
- Solltest du das Lösegeld bezahlen?
Video: Tipps gegen Erpressungstrojaner / Ransomware Angriffe: Backups!!! (November 2024)
Wir alle wissen, dass Ransomware eine der destruktivsten Malware-Varianten ist. Sie reden über das Klicken auf den falschen Link und das Verschwinden der Daten Ihres Unternehmens in einem Sumpf von verschlüsseltem Mist oder sogar dessen Serverbetriebssystemen (OS) und anderen kritischen Dateien, die eines Tages einfach verschwinden. Sie können das Lösegeld bezahlen, aber das kann nicht nur teuer sein, sondern bietet auch keine Garantie dafür, dass die Bösen Ihnen Ihre Daten zurückgeben.
So vermeiden Sie einen Ransomware-Angriff
Der erste Schritt ist das, was Israel Barak, Chief Information Security Officer (CISO) des Endpoint Detection- und Response-Software-Entwicklers Cybereason, als "IT- und Sicherheitshygiene" bezeichnet. Dies bedeutet, Schwachstellen zu vermeiden und E-Mail- und Webdatenverkehr zu filtern. Es bedeutet auch, Anwenderschulungen anzubieten und sicherzustellen, dass die Patches für Ihr Betriebssystem, Ihre Anwendungen und Sicherheitsprodukte vollständig auf dem neuesten Stand sind.
Der zweite Schritt ist eine Strategie für Geschäftskontinuität und Wiederherstellung. Dies bedeutet, einen Plan zu schmieden, wenn die Dinge schlecht laufen, anstatt nur zu hoffen, dass dies nicht der Fall ist. Barak sagte, dies beinhaltete, dass Backups vorhanden und getestet sind, dass Sie wissen, wie Sie betroffene Services wiederherstellen, wo Sie Rechenressourcen für die Wiederherstellung erhalten und dass Ihr vollständiger Wiederherstellungsplan funktioniert, weil Sie ihn tatsächlich getestet haben.
Der dritte Schritt ist die Einrichtung eines Malware-Schutzes. Barak sagte, dies schließe Schutz vor Malware ein, die in Ihr Netzwerk eindringt, und Schutz vor Malware, die auf Ihren Systemen ausgeführt wird. Glücklicherweise ist die meiste Malware relativ leicht zu erkennen, da Malware-Autoren häufig erfolgreiche Routinen verwenden.
Warum Ransomware anders ist
Leider ist Ransomware nicht wie andere Malware. Barak sagte, dass es nicht schwer ist, die Entdeckung zu vermeiden, bevor die Verschlüsselung abgeschlossen und die Ransomware-Nachricht gesendet wurde, da sich die Ransomware nur kurzzeitig auf einem Computer befindet. Darüber hinaus kann im Gegensatz zu anderen Arten von Malware die Malware, die die Dateiverschlüsselung tatsächlich durchführt, erst Momente vor Beginn der Verschlüsselung auf den Computern des Opfers eintreffen.
Zwei relativ neue Arten von Malware - Ryuk und SamSam - dringen unter der Anleitung eines menschlichen Bedieners in Ihre Systeme ein. Im Falle von Ryuk befindet sich dieser Betreiber wahrscheinlich in Nordkorea und bei SamSam im Iran. In jedem Fall beginnt der Angriff mit der Suche nach Anmeldeinformationen, die den Zugang zum System ermöglichen. Dort untersucht der Bediener den Inhalt des Systems, entscheidet, welche Dateien verschlüsselt werden sollen, erhöht die Berechtigungen, sucht und deaktiviert Anti-Malware-Software und verlinkt auf Backups, die ebenfalls verschlüsselt werden sollen, oder deaktiviert in einigen Fällen Backups. Nach möglicherweise monatelanger Vorbereitung wird die Verschlüsselungs-Malware geladen und gestartet. Es kann seine Arbeit in wenigen Minuten erledigen - viel zu schnell, als dass ein menschlicher Bediener eingreifen könnte.
"In SamSam haben sie kein herkömmliches Phishing eingesetzt", erklärte Carlos Solari, Vice President des Entwicklers von Cybersecurity-Lösungen, Comodo Cybersecurity und ehemaliger CIO des Weißen Hauses. "Sie benutzten Websites und gestohlene Zugangsdaten von Personen und setzten brachiale Gewalt ein, um an die Passwörter zu gelangen."
Solari sagte, dass diese Eingriffe häufig nicht erkannt werden, da bis zum Ende keine Malware involviert ist. Aber er sagte, dass es, richtig gemacht, Möglichkeiten gibt, den Angriff an diesem Punkt zu stoppen. Normalerweise, so sagte er, werden die Kriminellen die Verzeichnisdienste für das Netzwerk durchsuchen und diese angreifen, damit sie die Administratorrechte erhalten, die für die Durchführung des Angriffs erforderlich sind. Zu diesem Zeitpunkt kann ein Intrusion Detection System (IDS) die Änderungen erkennen. Wenn die Netzwerkbetreiber wissen, wonach sie suchen müssen, können sie das System sperren und die Eindringlinge rausschmeißen.
"Wenn sie aufpassen, werden sie feststellen, dass sich jemand im Inneren befindet", sagte Solari. "Es ist wichtig, interne und externe Bedrohungsinformationen zu finden. Sie suchen nach Anomalien im System."
So schützen Sie sich
Für kleinere Unternehmen schlägt Solari vor, dass Unternehmen ein Managed Detection and Response (MDR) -Sicherheits-Operations-Center (SOC) als Service suchen. Er fügte hinzu, dass größere Unternehmen möglicherweise einen Managed Security Services Provider (MSSP) suchen möchten. Beide Lösungen ermöglichen es, Sicherheitsereignisse im Auge zu behalten, einschließlich des Staging vor einem größeren Ransomware-Angriff.
Neben der Überwachung Ihres Netzwerks ist es auch wichtig, Ihr Netzwerk so zu gestalten, dass es für Kriminelle so unwirtlich wie möglich ist. Laut Adam Kujawa, Director von Malwarebyte Labs, besteht ein wichtiger Schritt darin, Ihr Netzwerk so zu segmentieren, dass sich ein Eindringling nicht einfach in Ihrem Netzwerk bewegen und auf alles zugreifen kann. "Sie sollten nicht alle Ihre Daten am selben Ort aufbewahren", sagte Kujawa. "Sie brauchen ein tieferes Maß an Sicherheit."
Wenn sich jedoch herausstellt, dass Sie die invasiven Phasen vor dem Ransomware-Angriff nicht erkannt haben, gibt es eine andere Ebene oder Reaktion, nämlich die Verhaltenserkennung der Malware, wenn sie beginnt, Dateien zu verschlüsseln.
"Was wir hinzugefügt haben, ist ein Verhaltensmechanismus, der sich auf das für Ransomware typische Verhalten stützt", erklärt Barak. Er sagte, solche Software beobachte, was Ransomware tun könnte, wie zum Beispiel das Verschlüsseln von Dateien oder das Löschen von Backups, und ergreife dann Maßnahmen, um den Prozess abzubrechen, bevor er Schaden anrichten könne. "Es ist wirksamer gegen noch nie dagewesene Erpressersoftware."
Frühwarnungen und Schutzmaßnahmen
Um eine Form der Frühwarnung zu bieten, unternimmt Cybereason laut Barak einen weiteren Schritt. "Wir haben einen Ausnahmemechanismus verwendet", sagte er. "Wenn die Cybereason-Software auf einem Endpunkt ausgeführt wird, erstellt sie eine Reihe von Basisdateien, die in Ordnern auf der Festplatte abgelegt sind. Dadurch würde Ransomware versuchen, sie zuerst zu verschlüsseln." Er sagte, dass Änderungen an diesen Dateien sofort erkannt werden, Die Cybereason-Software oder eine ähnliche Software von Malwarebytes bricht den Prozess dann ab und stoppt in vielen Fällen die Malware, sodass sie keinen weiteren Schaden anrichten kann.
Es gibt also mehrere Verteidigungsebenen, die einen Ransomware-Angriff verhindern können. Wenn Sie alle funktionsfähig und vorhanden haben, müsste ein erfolgreicher Angriff eine Reihe von Fehlern nach sich ziehen, um erfolgreich zu sein. Und Sie können diese Angriffe überall entlang der Kette stoppen.
Solltest du das Lösegeld bezahlen?
Angenommen, Sie möchten das Lösegeld zahlen und die Operationen sofort wiederherstellen? "Für einige Organisationen ist dies eine praktikable Option", sagte Barak.
Sie müssten die Kosten für die Betriebsunterbrechung bewerten, um festzustellen, ob die Kosten für die Wiederinbetriebnahme unter Berücksichtigung aller Faktoren besser sind als die Kosten für die Wiederherstellung. Barak sagte, dass bei Business-Ransomware-Angriffen "in den meisten Fällen die Dateien zurückgegeben werden".
Aber Barak sagte, dass, wenn das Bezahlen des Lösegelds eine Möglichkeit ist, Sie andere Überlegungen haben. "Wie bereiten wir uns im Voraus auf den Mechanismus vor, mit dem die Kosten für die Rückerstattung der Dienstleistungen ausgehandelt werden können? Wie bezahlen wir sie? Wie bilden wir den Mechanismus für die Vermittlung dieser Zahlungsart?"
Laut Barak beinhaltet fast jeder Ransomware-Angriff ein Mittel zur Kommunikation mit dem Angreifer, und die meisten Unternehmen versuchen, einen Deal auszuhandeln, für den Ransomware-Angreifer normalerweise offen sind. Beispielsweise können Sie entscheiden, dass Sie nur einen Teil der Maschinen benötigen, die verschlüsselt wurden, und nur über die Rückgabe dieser Maschinen verhandeln.
- Der beste Ransomware-Schutz für 2019 Der beste Ransomware-Schutz für 2019
- SamSam Ransomware Hackers Rake in Höhe von 5, 9 Millionen US-Dollar SamSam Ransomware Hackers Rake in Höhe von 5, 9 Millionen US-Dollar
- 2 Iraner hinter SamSam-Ransomware-Angriffen, US-Ansprüche 2 Iraner hinter SamSam-Ransomware-Angriffen, US-Ansprüche
"Der Plan muss im Voraus festgelegt werden. Wie werden Sie reagieren, wer wird kommunizieren, wie werden Sie das Lösegeld bezahlen?" Sagte Barak.
Obwohl das Bezahlen eine praktikable Option ist, bleibt es für die meisten Organisationen eine letzte Option und keine Antwort. Es gibt viele Variablen, die Sie in diesem Szenario nicht kontrollieren können, und wenn Sie einmal bezahlt haben, können Sie niemals garantieren, dass Sie in Zukunft nicht mehr für Geld angegriffen werden. Ein besserer Plan ist die Verwendung einer soliden Verteidigung, die schwierig genug ist, um die meisten Malware-Angriffe abzuwehren und die wenigen zu besiegen, die erfolgreich sind. Was auch immer Sie sich entscheiden, denken Sie daran, dass praktisch jede Lösung eine religiöse Absicherung erfordert. Tun Sie es jetzt, tun Sie es oft und testen Sie es auch oft, um sicherzustellen, dass die Dinge im Notfall reibungslos funktionieren.
