Anmelden


LogRhythm kommentiert: 5 Verteidigungsschritte bei Ransomware-Angriffen

Angriffe durch Verschlüsselungstrojaner mit hohen Bitcoin-Löseforderungen nehmen stetig zu. Regelmäßig werden neue, ausgeklügelte Methoden von Cyberkriminellen bekanntgegeben. Erst zuletzt warnte der BSI vor der Hacking-Methode Dynamite-Phishing als breit angelegte Spam-Kampagne. Grund genug, um den Ablauf eines Ransomware-Angriffs und notwendige Gegenmaßnahmen in Erinnerung zu rufen.

Ross Brewer, Vice President & Managing Director EMEA bei LogRhythm äußert sich folgendermaßen:

„Cyberkriminelle sind in der Lage innerhalb kürzester Zeit Systeme zu kompromittieren. Ist die Ransomware-Datei in das Netzwerk mithilfe von Phishing-Emails oder Exploit-Kits eingedrungen, setzt sie sich mittels Persistenz-Mechanismen im System fest, sodass der Verschlüsselungsprozess auch bei einem Neustart des Computers fortgeführt und beendet werden kann. Das dauert je nach Netzwerkgeschwindigkeit nur ein paar Sekunden. Weitere Sekunden später macht sich die Ransomware an die Sicherungsdateien und -ordner auf dem System und entfernt sie, um eine Wiederherstellung zu verhindern. Die meisten Ransomware-Varianten setzen alles daran, dem Opfer jede Chance zu entnehmen, sich von dem Angriff zu erholen, ohne das Lösegeld zu zahlen. Darauf folgt die Dateiverschlüsselung, in der verschiedene Ransomware-Varianten bei der Dateibenennung und -verschlüsselung unterschiedlich vorgehen, woraus sich die Art der Ransomware erkennen lässt. Je nach Netzwerkverzögerung, der Anzahl an Dokumenten und der angeschlossenen Geräte kann der Verschlüsselungsprozess von ein paar Minuten bis zu einigen Stunden dauern. Abschließend erfolgt die erpresserische Forderung und die Zahlungsanweisung mit einer häufigen Zahlungsfrist von ein paar Tagen, nach deren Ablauf die Lösegeldforderung steigt.“

Im Folgenden werden Ihnen fünf Verteidigungsschritte aufgezeigt:

Vorbereitung

  • Entdeckung
  • Einrichtung von Signaturen und IOCs in Ihrem IDS und anderen Netzwerkgeräten
  • Automatische Erkennung und Überprüfung von E-Mails mit bösartigen Anhängen durch entsprechende Tools
  • Ordner %APPDATA% und %TEMP% regelmäßig auf Dateien überprüfen, die von dort aus ausgeführt werden
  • Auf die Ausführung des Befehls ,vssadmin‘ achten, die von CryptoLocker ausgeht, die auf die Vernichtung von Sicherheitskopien hinweist
  • Ausschau nach Hinweisen auf Verschlüsselung achten, wie beispielsweise Dateien mit der Endung .locky oder bei CryptoWall nach zufälligen Dateinamenmustern suchen

Eindämmung

  • Einrichtung eines Endpunktschutzsystems, das nach der Verschlüsselungsausführung Ausschau halten und den Prozess abbrechen kann, indem der lokale Host blockiert und vom Netzwerk isoliert wird, sobald eine Infektion entdeckt wurde

Ausmerzung

  • Ersetzen der Geräte empfehlenswert, denn es ist schwierig herauszufinden, ob Restdateien auf dem System versteckt sind
  • Bei E-Mai-Fächern oder Filesharing ist es manchmal sinnvoller, sie ,nur‘ zu reinigen
  • Im Falle des Reinigens weiterhin auf Signaturen und andere IOCs achten

Wiederherstellung

  • Bei guten Backups die Systeme reinigen oder ersetzen und aus den Sicherungskopien die Dateien wiederherstellen (Ausfallzeit von Stunden mit einrechnen)
    Infektionsvektor, der gegen das System verwendet wurde, gründlich untersuchen und Maßnahmen einleiten