So schützen Sie Ihr Unternehmen und stellen es vor Ransomware wieder her

Die USA machen sich auf die vollen Auswirkungen einer globalen Ransomware-Epidemie gefasst, die auf dem Malware-Stamm Wanna Decryptor basiert. Es ist wichtig, Ihr Unternehmen und Ihre Daten vor dieser sich schnell ausbreitenden Bedrohung zu schützen, aber sobald wir damit fertig sind, müssen Sie sich daran erinnern, dass Wanna Decryptor nur das lauteste Beispiel für das Ransomware-Problem ist.

Es gibt drei Dinge, die man über Ransomware wissen sollte: Es ist beängstigend, es wächst schnell und es ist ein großes Geschäft. Nach Angaben des Internet Crime Complaint Center (IC3) des FBI gingen zwischen April 2014 und Juni 2015 mehr als 992 CryptoWall-bezogene Beschwerden ein, die zu Verlusten von mehr als 18 Millionen US-Dollar führten. Dieser bösartige Erfolg spiegelt sich in der Wachstumsrate von Ransomware mit dem Infoblox DNS Threat Index wider, der im ersten Quartal 2016 einen 35-fachen Anstieg neuer Domains für Ransomware verzeichnete (im Vergleich zum vierten Quartal 2015).

Im Allgemeinen lässt Ransomware eine verschlüsselte Mauer zwischen einem Unternehmen und den internen Daten und Anwendungen fallen, die das Unternehmen zum Betrieb benötigt. Diese Angriffe können jedoch weitaus schwerwiegender sein als die bloße Unzugänglichkeit der Daten. Wenn Sie nicht vorbereitet sind, könnte Ihr Geschäft zum Erliegen kommen.

Fragen Sie einfach das Hollywood Presbyterian Medical Center. Lange vor Wanna Decryptor lernte das Krankenhaus eine schmerzhafte Lektion, als die Mitarbeiter Anfang 2016 bei einem Ausbruch der Ransomware den Zugriff auf ihre PCs verloren. Das Krankenhaus zahlte das Lösegeld in Höhe von 17.000 USD, nachdem sich die Mitarbeiter 10 Tage lang auf Faxgeräte und Papierkarten verlassen hatten. Oder fragen Sie die Polizei von Tewksbury. Im April 2015 zahlten sie das Lösegeld, um wieder Zugang zu verschlüsselten Aufzeichnungen über Festnahmen und Zwischenfälle zu erhalten.

Wie infizieren sich Unternehmen?

Wenn es für Wanna Decryptor auf irgendeiner Ebene einen Silberstreifen gibt, dann dient dies zweifelsohne dazu, zu beweisen, dass die Bedrohung durch Ransomware real ist. Kein Unternehmen oder Mitarbeiter ist vor einem möglichen Ransomware-Angriff gefeit. Es ist wichtig zu verstehen, wie Ransomware Computer infiziert, bevor erläutert wird, wie Sie Ihr Unternehmen davor schützen oder wie Sie reagieren können, wenn Sie kompromittiert werden. Das Verstehen des Ursprungs und der Art der Infektion bietet Einblicke in die Sicherheit.

Ransomware stammt normalerweise aus einer von zwei Quellen: gefährdeten Websites und E-Mail-Anhängen. Eine legitime Website, die kompromittiert wurde, kann ein Exploit-Kit hosten, das Ihren Computer infiziert, normalerweise über einen Browser-Exploit. Dieselbe Methode kann auch von einer Phishing-Website verwendet werden. Ein Drive-By-Download installiert Ransomware und beginnt mit der Verschlüsselung Ihrer Dateien.

Im Fall eines böswilligen E-Mail-Anhangs werden Benutzer dazu verleitet, den Anhang zu öffnen. Anschließend wird Ransomware installiert. Dies kann so einfach sein wie eine gefälschte E-Mail-Nachricht mit einem ausführbaren Anhang, eine infizierte Microsoft Word-Datei, mit der Sie dazu gebracht werden, Makros zu aktivieren, oder eine Datei mit einer umbenannten Erweiterung, z. B. eine Datei, die auf "PDF" endet, aber in Wirklichkeit eine EXE-Datei ist (eine ausführbare Datei).

"In beiden Fällen wird eine Art Social Engineering eingesetzt, um den Benutzer dazu zu bringen, sich selbst zu infizieren", sagt Luis Corrons, technischer Direktor von PandaLabs bei Panda Security. "Dies bietet Unternehmen eine großartige Gelegenheit, ihre Benutzer über das Vermeiden dieser Risiken aufzuklären. Leider vernachlässigen die meisten kleinen Unternehmen dies und verpassen die Chance, sich große Kopfschmerzen zu ersparen."

Derzeit gibt es kein Patentrezept, um die Sicherheit Ihres Unternehmens vor Ransomware zu gewährleisten. Es gibt jedoch fünf Schritte, die jedes Unternehmen unternehmen sollte, um das Risiko einer Infektion drastisch zu verringern - und die Schmerzen zu lindern, falls ein Angriff erfolgreich sein sollte.

Bereiten

Eine Schlüsselkomponente zur Vorbereitung auf einen Ransomware-Angriff ist die Entwicklung einer zuverlässigen Sicherungsstrategie und die Durchführung regelmäßiger Sicherungen. "Robuste Backups sind eine Schlüsselkomponente einer Anti-Ransomware-Strategie", sagte Philip Casesa, Produktentwicklungsstratege bei ISC2, einer globalen gemeinnützigen Organisation, die Sicherheitsexperten zertifiziert. "Sobald Ihre Dateien verschlüsselt sind, können Sie nur das Backup wiederherstellen. Sie können auch das Lösegeld bezahlen oder die Daten verlieren."

"Sie müssen über eine Art Backup verfügen, eine echte Backup-Lösung für die Assets, von denen Sie festgestellt haben, dass sie für Ihr Unternehmen unerlässlich sind", fuhr Casesa fort. "Echtzeit-Backup oder Dateisynchronisierung sichern nur Ihre verschlüsselten Dateien. Sie benötigen einen robusten Backup-Prozess, bei dem Sie ein paar Tage lang ein Rollback durchführen und lokale und Server-Apps und -Daten wiederherstellen können."

Die Corrons von Panda Security bieten noch eine weitere Warnung: "Backups sind wichtig, wenn Ihre Abwehrmaßnahmen fehlschlagen. Stellen Sie jedoch sicher, dass Sie die Ransomware vollständig entfernt haben, bevor Sie Backups wiederherstellen. Bei PandaLabs haben wir festgestellt, dass Ransomware Backup-Dateien verschlüsselt."

Eine gute Strategie ist eine gestufte oder verteilte Sicherungslösung, die mehrere Kopien von Sicherungsdateien an verschiedenen Speicherorten und auf verschiedenen Datenträgern aufbewahrt (ein infizierter Knoten hat also nicht sofort Zugriff auf die aktuellen Dateirepositorys und Sicherungsarchive). Solche Lösungen sind bei mehreren Anbietern von Online-Backups für kleine und mittelständische Unternehmen (SMB) sowie bei den meisten DRaaS-Anbietern (Disaster Recovery as a Service) erhältlich.

Verhindern

Wie bereits erwähnt, ist die Benutzererziehung eine leistungsstarke und dennoch häufig übersehene Waffe in Ihrem Arsenal gegen Ransomware. Trainieren Sie die Benutzer, um Social-Engineering-Techniken zu erkennen, Clickbait zu vermeiden und niemals Anhänge von unbekannten Personen zu öffnen. Anhänge von Personen, die sie kennen, sollten mit Vorsicht angezeigt und geöffnet werden.

"Wenn Sie verstehen, wie sich Ransomware verbreitet, erkennen Sie das Benutzerverhalten, das geändert werden muss, um Ihr Unternehmen zu schützen", sagte Casesa. "E-Mail-Anhänge sind das Infektionsrisiko Nummer eins, Drive-by-Downloads Nummer zwei und schädliche Links in E-Mails Nummer drei. Menschen spielen eine wichtige Rolle bei der Infektion mit Ransomware."

Die Schulung der Benutzer in Bezug auf die Ransomware-Bedrohung ist einfacher als Sie denken, insbesondere für KMUs. Sicher, es kann die traditionelle Form eines langen Inhouse-Seminars annehmen, aber es kann auch einfach eine Reihe von Gruppenmittagessen sein, bei denen die IT die Möglichkeit erhält, Benutzer über interaktive Diskussionen zu informieren - zum günstigen Preis für ein paar Pizzas. Sie könnten sogar in Betracht ziehen, einen externen Sicherheitsberater mit einigen ergänzenden Videos oder praktischen Beispielen für die Durchführung der Schulung zu beauftragen.

Schützen

Der beste Ort, um Ihr SMB vor Ransomware zu schützen, sind die folgenden vier Strategien: Whitelist für Apps, Patchen von Apps, Patchen von Betriebssystemen und Minimieren von Administratorrechten. Casesa wies schnell darauf hin, dass "diese vier Kontrollen mindestens 85 Prozent der Malware-Bedrohungen abwehren".

Für KMUs, deren Sicherheit immer noch auf individuellen PC-Antivirus (AV) beruht, kann die IT durch den Wechsel zu einer verwalteten Endpoint-Sicherheitslösung die Sicherheit für das gesamte Unternehmen zentralisieren und die vollständige Kontrolle über diese Maßnahmen übernehmen. Dies kann die Wirksamkeit von AV- und Anti-Malware-Programmen drastisch steigern.

Unabhängig davon, für welche Lösung Sie sich entscheiden, stellen Sie sicher, dass sie verhaltensbasierte Schutzfunktionen enthält. Alle drei Experten waren sich einig, dass signaturbasierte Anti-Malware nicht gegen moderne Software-Bedrohungen wirksam ist.

Zahlen Sie nicht

Wenn Sie sich nicht auf Ransomware vorbereitet und davor geschützt haben und infiziert werden, ist es möglicherweise verlockend, das Lösegeld zu bezahlen. Auf die Frage, ob dies ein kluger Schachzug sei, waren sich unsere drei Experten in ihrer Antwort einig. Corrons hat schnell darauf hingewiesen, dass "das Bezahlen riskant ist. Jetzt verlieren Sie mit Sicherheit Ihr Geld und erhalten Ihre Dateien möglicherweise unverschlüsselt zurück." Warum sollte ein Verbrecher ehrenwert werden, nachdem Sie ihn bezahlt haben?

Indem Sie Kriminelle bezahlen, geben Sie ihnen einen Anreiz und die Möglichkeit, bessere Ransomware zu entwickeln. "Wenn Sie zahlen, machen Sie es für alle anderen noch schlimmer", sagt Casesa. "Die Bösen verwenden Ihr Geld, um bösartigere Malware zu entwickeln und andere zu infizieren."

Der Schutz zukünftiger Opfer ist möglicherweise nicht das oberste Gebot, wenn Sie versuchen, ein Unternehmen mit als Geiseln gehaltenen Daten zu führen, sondern betrachten Sie es nur aus dieser Perspektive: Das nächste Opfer könnten Sie sein, diesmal kämpfen Sie noch mehr effektive Malware, deren Entwicklung Sie finanziell unterstützt haben.

Casesa weist darauf hin, dass "Sie durch die Zahlung des Lösegelds ein reiferes Ziel für die Kriminellen geworden sind, weil sie wissen, dass Sie zahlen werden." Sie werden im Verkaufsgespräch zu einem qualifizierten Lead. So wie es unter Dieben keine Ehre gibt, gibt es keine Garantie dafür, dass die Ransomware vollständig entfernt wird. Der Kriminelle hat Zugriff auf Ihren Computer und kann Ihre Dateien entschlüsseln und die Malware darauf belassen, um Ihre Aktivitäten zu überwachen und zusätzliche Informationen zu stehlen.

Bleiben Sie produktiv

Wenn der Schaden, der durch Ransomware verursacht wird, eine Störung Ihres Geschäfts ist, warum sollten Sie dann nicht Schritte unternehmen, um die Geschäftskontinuität durch den Wechsel in die Cloud zu erhöhen? "Das Schutzniveau und die allgemeine Sicherheit, die Sie durch die Cloud erhalten, sind weitaus höher als das, was sich ein kleines Unternehmen leisten kann", betont Brandon Dunlap, Global CISO von Black & Veatch. "Cloud-Anbieter verfügen über Malware-Scanning, erweiterte Authentifizierung und zahlreiche andere Schutzfunktionen, wodurch die Wahrscheinlichkeit, dass sie unter einem Ransomware-Angriff leiden, sehr gering ist."

Verschieben Sie zumindest E-Mail-Server in die Cloud. Dunlap weist darauf hin, dass "E-Mail ein riesiger Angriffsvektor für Ransomware ist. Verschieben Sie diese in die Cloud, in der Anbieter mehrere Sicherheitskontrollen wie Malware-Scanning und DLP in den Dienst einbinden." Zusätzliche Sicherheitsebenen, wie die Proxy-basierte Reputation von Websites und das Scannen des Datenverkehrs, können über viele Cloud-Dienste hinzugefügt werden und können Ihr Risiko für Ransomware weiter einschränken.

Dunlap ist begeistert von dem Schutz, den die Cloud gegen Ransomware bietet. "Wir befinden uns in einem fantastischen Moment in der Technologiegeschichte mit einer Vielzahl reibungsarmer Lösungen für viele der Probleme, mit denen kleine Unternehmen konfrontiert sind", sagte Dunlap. "Dies macht kleine Unternehmen aus IT-Sicht wendiger."

Wenn Ihr lokaler Computer mit Ransomware infiziert wird, spielt es möglicherweise keine Rolle, ob sich Ihre Daten in der Cloud befinden. Löschen Sie Ihren lokalen Computer, erstellen Sie ein neues Image, stellen Sie die Verbindung zu Ihren Cloud-Diensten wieder her, und Sie sind wieder im Geschäft.

Warten Sie nicht, bis der Schuh herunterfällt

Dies ist keine der Situationen, in denen Abwarten die beste Taktik ist. Wanna Decryptor zeigt deutlich, dass Ransomware da draußen ist. Es wächst rasant, sowohl was die Raffinesse als auch die Popularität der Bösewichte betrifft - und es sucht auf jeden Fall nach Ihnen. Auch nach der Überwindung dieser aktuellen Bedrohung ist es von entscheidender Bedeutung, dass Sie Maßnahmen ergreifen, um Daten und Endpunkte vor Infektionen zu schützen.

Erstellen Sie regelmäßige Backups, schulen Sie Mitarbeiter, um Infektionen zu vermeiden, patchen Sie Apps und Betriebssysteme, beschränken Sie Administratorrechte und führen Sie nicht signaturbasierte Anti-Malware-Software aus. Wenn Sie diesen Rat befolgen, können Sie alle bis auf die neuesten Infektionen verhindern (und diese richten sich wahrscheinlich nicht an KMUs). Für den Fall, dass ein Angriff Ihre Abwehrkräfte überwindet, haben Sie einen klaren, getesteten Plan für die IT, um die Infektion zu bereinigen, Backups wiederherzustellen und den normalen Geschäftsbetrieb wieder aufzunehmen.

Wenn Sie diese bewährten Methoden nicht befolgen und sich infizieren, wissen Sie, dass das Bezahlen des Lösegelds nicht garantiert ist, qualifizieren Sie sich als Schwächling für die Kriminellen und geben ihnen die Möglichkeit, noch heimtückischere Ransomware (und den Anreiz) zu entwickeln um es so oft wie möglich bei Ihnen anzuwenden). Sei kein Opfer. Nehmen Sie sich stattdessen jetzt die Zeit, um die Vorteile später zu nutzen: vorbereiten, verhindern, schützen und produktiv bleiben.