Lesezeit: 6 Minuten

Wie kann man Ransomware-Angriffe verhindern, bevor sie zuschlagen?


Superman hat seine Festung der Einsamkeit. Batman hat die Batcave. Selbst Doctor Strange hat sein unauffindbares Sanctum Sanctorum. Wenn Cyberkriminelle die digitalen Landschaften von heute durchstreifen, kann man gar nicht anders, als nach einer Datenfestung zu suchen, die das Schlimmste vom Schlimmsten abwehrt - Ransomware. 

Wenn Ransomware zuschlägt, hängt die Zukunft Ihres gesamten Unternehmens davon ab, was Sie wiederherstellen können und wie schnell Sie es wiederherstellen können. Das ist keine Übertreibung. 

Nach Angaben der National Archives & Records Administration in Washington waren 93 % der Unternehmen, die ihr Rechenzentrum für mehr als zehn Tage verloren hatten, innerhalb eines Jahres nach der Katastrophe bankrott. Die Hälfte dieser Unternehmen meldete sofort Konkurs an.

Ihr Unternehmen steht und fällt mit seiner Fähigkeit, auf seine Daten zuzugreifen, sie zu schützen und zu nutzen. Es ist zwar hilfreich, die Bedrohung zu kennen, aber viel wichtiger ist es, eine digitale Festung zu errichten, die Ihre Daten rund um die Uhr schützt. 

Das ist der Unterschied zwischen Vorbeugung und Schadensbegrenzung, und nur so können Sie sicherstellen, dass Sie nie die schwierige Entscheidung treffen müssen, entweder Millionen in Kryptowährung an einen zwielichtigen Kellerschurken zu zahlen oder sich von Ihren Daten (und Ihrem Unternehmen) für immer zu verabschieden. 

Um einen Vorsprung zu haben, ist es wichtig, die Landschaft der heutigen Ransomware-Angriffe und die gängigsten Lösungen zu verstehen und zu wissen, wie bat365 helfen kann, unvermeidliche Angriffe zu erkennen und zu neutralisieren.  

Die Cybersecurity-Landschaft: Das Aufkommen von Ransomware

Die US-Regierungsbehörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das Multi-State Information Sharing and Analysis Center (MS-ISAC) stufen Ransomware als Malware ein, die "darauf ausgelegt ist, Dateien auf einem Gerät zu verschlüsseln, wodurch alle Dateien und die Systeme, die auf ihnen basieren, unbrauchbar werden. Böswillige Akteure fordern dann Lösegeld im Austausch für die Entschlüsselung".

Cyberkriminelle machen keinen Unterschied zwischen unternehmenskritischen Diensten und lebensrettender Infrastruktur. Sie haben es auf Gelegenheitsziele abgesehen - diejenigen, die wahrscheinlich das Lösegeld zahlen werden. In der Tat schichten viele bösartige Akteure jetzt Erpressung auf den Datenverlust, indem sie drohen, gestohlene Daten öffentlich zu veröffentlichen, wenn ihre Forderungen nicht erfüllt werden. Laut CISA sind sie sogar dazu übergegangen, sich seitlich im Netzwerk zu bewegen, um ihre bösen Viren effektiver zu verbreiten. Dann löschen sie gezielt System-Backups, was die Wiederherstellung und Wiederbeschaffung noch schwieriger, wenn nicht gar unmöglich macht. Sie wollen, dass Sie ihnen ausgeliefert sind und keine andere Wahl haben, als ihnen Millionen zu zahlen.

Kriminelle sind in ihrer Domäne sehr widerstandsfähig. Sie wandern und verändern sich, wenn sich die Schatten bewegen - PayPal-Lösegelder werden durch Bitcoin ersetzt. Rabatte sind verhandelbar. Die Daten werden zwar freigegeben, aber sie haben wahrscheinlich eine Kopie für sich selbst angefertigt, die sie für zusätzliche Gewinne ausnutzen werden. Einige haben es im Zuge von COVID-19 sogar explizit auf das Gesundheitswesen abgesehen, da sich die Bürger zunehmend Sorgen um ihren Zugang zur Gesundheitsversorgung machen.

Wenn Sie sich ein paar Minuten Zeit nehmen, um die Berichte des SonicWall Capture Labs über die Bedrohungslandschaft durchzusehen, werden Sie feststellen, dass sich diese schnell weiterentwickelt - und zwar nicht zu Ihren Gunsten. Betrachten Sie die folgenden Beispiele: 

  • Ransomware-as-a-Service (RaaS)-Entwickler wie DarkSide erhöhen die Zahl der bösartigen Akteure, indem sie die Hürde für technologisches Know-how senken und die unrechtmäßig erworbenen Gewinne mit "Partnern" teilen. Einige konzentrieren sich sogar auf die "Großwildjagd", d. h. auf Angriffe auf große, öffentliche, gut ausgestattete Organisationen, von denen sie wissen, dass sie es sich leisten können, zu zahlen. (Angeblich ist dies auch eine Art noble Geste aus Respekt vor den Krankenhäusern, Schulen, gemeinnützigen Einrichtungen und staatlichen Diensten, auf die es andere, weniger skrupellose Schurken abgesehen haben. Aber es ist immer noch eine digitale Waffe, die auf Ihre Daten gerichtet ist).
  • Darüber hinaus gibt es auch "Designer"-Ransomware, wie z. B. den Virus Black Basta von Fin7, der in nur sechs Monaten über 90 Unternehmen 1 Milliarde Dollar gestohlen hat.
  • Natürlich gibt es auch AtomSilo, das Ihre Dateien verschlüsselt, sensible Informationen (wie persönliche Daten von Mitarbeitern) abruft und dann ein 48-Stunden-Fenster für ein Lösegeld von 500.000 Dollar anbietet, das sich ohne Zahlung schnell auf 1 Million Dollar verdoppelt. Wird das Lösegeld dann immer noch nicht gezahlt, erhalten die Opfer eine Drohung, dass alle privaten Daten veröffentlicht werden.  

Das Schachspiel: Gemeinsame Lösungen und Weiterentwicklungen 

Dieses Katz-und-Maus-Spiel des Schwachstellenmanagements mag auf den ersten Blick so aussehen, als könnten Sie es mit den richtigen Talenten, hochmodernen Erkennungs- und Reaktionssystemen sowie strengen Sicherheitsrichtlinien und -verfahren gewinnen. 

Unabhängig von der Vorgehensweise sind sich die Experten für Cyberkriminalität, einschließlich CISA, MS-ISAC und FBI, in einem Ratschlag einig: ZAHLEN SIE NICHT DAS LÖSEGELD. Das Senden von Kryptowährung an irgendeinen Dark-Web-Trottel ist keine Garantie für irgendetwas. Es stellt nicht sicher, dass Ihre Daten entschlüsselt werden, und schützt nicht auf magische Weise davor, dass Daten kompromittiert werden, wenn und falls sie zurückgegeben werden.  

Diese Strafverfolgungsbehörden bieten stattdessen zahlreiche bewährte IT-Praktiken an, die dazu beitragen, das Risiko, dass Ransomware auf Ihre Daten zugreift, zu minimieren. Es beginnt damit, die häufigsten Angriffsvektoren zu verstehen:

  • Schwachstellen und Fehlkonfigurationen im Internet wie Webbrowser und Plug-ins, ungenutzte Ports und Protokolle wie Remote Desktop Protocol [RDP] oder Transmission Control Protocol [TCP] Port 3389 oder TCP Port 445, veraltete Versionen von Server Message Block wie v1 oder v2 und buchstäblich jede nicht gepatchte oder nicht aktualisierte Software oder jedes Betriebssystem.
  • Phishing über gefälschte oder modifizierte E-Mails von gültigen Domänen, Social Engineering und Makro-Skripte in eingebetteten Microsoft Office-Dateien
  • Vorläufer-Malware-Infektionen wie TrickBot, Dridex oder Emotet nutzen Command-and-Control-Aktivitäten, um Ihr Netzwerk zu infiltrieren, und setzen Ransomware oft nur als Deckmantel für andere, noch ruchlosere Missetaten innerhalb eines Systems ein
  • Dritte, wie z. B. Managed Service Provider, die die Backups Ihres Unternehmens speichern, sind anfällig für Infiltrationen oder Spoofing, selbst wenn diese über kompromittierte E-Mail-Konten erfolgen.

Das sind eine Menge potenzieller Zugangswege zu einem System. Um einen maximalen Schutz zu gewährleisten, müssen Sie alle Zugänge gleichzeitig abdecken. Im Folgenden finden Sie die wichtigsten Standards für die Ransomware-Abwehr, die Sie zum Schutz vor diesen unzähligen Angriffsmöglichkeiten einsetzen können:

  • Führen Sie alle notwendigen Software-Updates lieber früher als später durch. Dazu gehören Betriebssysteme, Anwendungen, Firmware usw.
  • Verlangt eine Multi-Faktor-Authentifizierung für jede Art von Netzzugang.
  • Nutzen Sie kontobasierte Sicherheitsrichtlinien, um den Zugriff auf einer granularen Ebene zu kontrollieren.
  • Seien Sie wachsam. Hören Sie nie auf, Ihre Systeme zu überwachen.

Mit anderen Worten: Wachsamkeit und Hingabe sind die wichtigsten Werkzeuge in Ihrem Arsenal zur Bekämpfung von Ransomware.

Ihr IT-Team muss unerbittlich gegen die dummen menschlichen Verhaltensweisen vorgehen, die Phishing und Social Engineering zu solchen Honeypots des digitalen Untergangs machen. Ihre Segmentierung und Kompartimentierung muss hieb- und stichfest sein, damit das Schiff nicht untergeht, wenn der Rumpf durchbrochen wird. 

Ransomware stellt sogar eine Bedrohung für Anlagen der Betriebstechnologie (OT) und Kontrollsysteme dar, wodurch sich das zu verteidigende Gebiet noch weiter ausdehnt und Sie mehr mögliche Wege für tödliche digitale Angriffe abdecken müssen.

Das ist eine schwere Last, die Sie zu tragen haben. Ihre Backups müssen makellos sein. Ihre Reaktionszeit muss auf die Tausendstelsekunde genau stimmen. Sie können es sich nicht leisten, einen Fehler zu machen, nicht ein einziges Mal. Cyberkriminelle hingegen müssen nur ein einziges Mal Glück haben, egal wie viele Versuche es braucht, um eine Schwachstelle in Ihrer Rüstung zu finden. Leider sind die Chancen nie zu Ihren Gunsten.

Es muss doch etwas Besseres geben als verschlüsselte Offline-Backups, die jede Nacht in einem Banktresor mit Netzhautscan-Zugang gespeichert werden. Ganz im Ernst: Sich auf Hardware-Backups zu verlassen, um die Integrität der Daten zu schützen, die das Lebenselixier Ihres Unternehmens sind, ist überhaupt nicht präventiv.

Was Sie brauchen, ist eine Möglichkeit, um zu verhindern, dass Ransomware irgendeine Macht über Ihr System hat. Beenden Sie die Bedrohung, bevor sie Ihr System berührt, und Sie haben gewonnen. 

Verschiebung des Kräfteverhältnisses im Kampf gegen Ransomware.

bat365-Datenblatt-Detect-and-rescue-header-min (1)

Die unerwartete Antwort: Mehr als Schadensbegrenzung

Automatisierte Widerstandsfähigkeit. Diese beiden Wörter lösen die Ransomware-Prävention in der heutigen Bedrohungslandschaft. Aufgrund der Unveränderlichkeit von CloudFS im Backend stellt bat365 sicher, dass alle Dateien in einer Bereitstellung effektiv immun gegen Ransomware sind. Im Falle eines Angriffs stellt bat365 Ihre Dateien einfach in einer nicht infizierten Version wieder her und markiert die betroffenen Dateien als schreibgeschützt. Dann können Ihre Antiviren-Tools sie problemlos erkennen und entfernen.

bat365Unser Ansatz zur Cybersicherheit zielt nicht darauf ab, alle Ransomware-Angriffe zu stoppen, denn sie werden passieren. Stattdessen konzentrieren wir uns auf die Wiederherstellung nach einer Infektion ohne Datenverlust. Diese Art von unveränderlicher Sicherheit stellt sicher, dass Ihre Daten vom Edge über den Core bis hin zur Cloud ohne Leistungseinbußen zugänglich sind, während sie gleichzeitig vor Verlust geschützt sind.

Wir bieten eine robuste Datenarchitektur, die einen integrierten Schutz vor versehentlicher Datenlöschung oder -beschädigung bietet, sei es durch Malware, Ransomware oder einen verärgerten Mitarbeiter. Das von uns für die Objektspeicherung verwendete "Write Once, Read Many"-Format ist wirklich unveränderlich, d. h. die Daten können nicht geändert werden. Neue Dateien oder durch Dateibearbeitungen erstellte Daten werden als neue, verbundene Datenblöcke gespeichert. Nichts wird jemals überschrieben.

Häufige System-Snapshots erfassen jeden Speicherort im CloudFS, so dass Sie jede Datei zu jedem beliebigen Zeitpunkt nahtlos wiederherstellen können. Und da sie schreibgeschützt sind, können sie nach der Erfassung nicht mehr geändert werden. Sie können einfach nicht kompromittiert werden. bat365 ist grundlegend resistent gegen Ransomware. Keine einzelne Lösung kann Angriffe verhindern oder alle Wege abwehren. bat365 sorgt dafür, dass Ihre Daten in Ihren Händen bleiben. Wir haben die Spielregeln für die Speicherung von Objekten in der Cloud geändert, und keine Phishing-Attacke, keine vernachlässigten Ports und keine veralteten Software-Patches können den Cyberkriminellen einen Einfluss auf Ihre Daten verschaffen. Mit über 34 Patenten (Tendenz steigend) ist unser Ansatz wirklich einzigartig.

Ransomware wird sich auch weiterhin weiterentwickeln. Da KI-gestützte Systeme zur Erkennung von Bedrohungen immer besser in der Lage sind, die zahllosen Angriffsvektoren zu überwachen, die selbst die Fähigkeiten des fortschrittlichsten IT-Teams übersteigen, werden die finsteren Gesellen, die hinter diesen Datengeiselnahmen stecken, neue Wege finden, um Ihre Daten zu infiltrieren, zu beschädigen und zu erbeuten. Die einzige Lösung, in die sie nicht eindringen können, ist eine, die ihr Spiel nicht mitspielt.

Unveränderliche Daten sind die Antwort auf Ransomware. Und nur so können Sie sicherstellen, dass Sie nie wieder darüber nachdenken müssen, ob Sie das Lösegeld zahlen sollen oder nicht.