Ransomware: Die Verteidigung beginnt hier

Originalbeitrag von Simon Walsh

In diesem Jahr gab es kaum einen Tag, an dem kein Ransomware-Vorfall Schlagzeilen machte. Diese heimtückischen Schadsoftware-Kampagnen, bei denen Nutzer von ihren Computern ausgesperrt werden, bis sie ein Lösegeld zahlen, mutieren zu der bevorzugten Verdienstmethode der Cyberkriminellen. Die Zahlen zeigen, dass Ransomware nahezu die Hälfte der Schadsoftwareangriffe des letzten Jahres ausmachten. Für Verbraucher sind diese Angriffe lästig, für Unternehmen können die Auswirkungen zum Desaster werden, weil sie zur Unterbrechung der Geschäftstätigkeiten führen und mit potenziell hohen Kosten verbunden sind.

Was ist Ransomware

Der Begriff Ransomware kann sich auf jede Art von Malware beziehen, die den PC und/oder die Daten eines Opfers in Geiselhaft nimmt, bis der Betroffene eine Gebühr bezahlt, um wieder einen normalen Zugang zu erhalten. Die ersten Varianten tauchten vor einigen Jahren auf und verschickten Nachrichten, die angeblich von einer lokalen Polizeibehörde kamen, die für das Entsperren der Maschine die Zahlung einer Strafe forderte.

Die neueren Beispiele verzichten auf die Polizeinachricht. Sie fordern einen bestimmten Betrag, zahlbar in einer gewissen Zeitspanne und in schwer nachzuvollziehenden Bitcoin-Transaktionen. Varianten wie CryptoWall und CryptoLocker sind berüchtigt für den Einsatz von starker Verschlüsselung für die Daten des Opfers. Manche Cyberkriminelle schicken nach der Bezahlung einen gültigen Entschlüsselungs-Key andere aber nicht.

Viele Nutzer stehen hilflos da und kommen deshalb der Forderung nach. Damit wird dieses kriminelle Geschäft noch attraktiver. Laut FBI-Zahlen vom Juni 2015 erzielte CryptoWall für seine Autoren innerhalb eines Jahres 18 Mio. $. Kein schlechter ROI für ein Geschäft.

Die Schadsoftware verbreitet sich in vielen Formen: als bösartige Werbung, Phishing- oder Spam-Mail oder sogar als bösartige App in nicht offiziellen Stores. Kein Betriebssystem ist heutzutage dagegen immun. Und die schlechte Nachricht für Unternehmen ist: Es bedarf nur eines einzigen falschen Klicks eines Mitarbeiters, um ganze Systeme zu infizieren. So musste die Belegschaft der Lincolnshire-Verwaltung auf Stift und Papier zurückgreifen, nachdem die IT-Systeme plötzlich offline waren. Ein Angestellter war auf einen Trick hereingefallen und hatte einen Mail-Anhang mit enthaltener Ransomware angeklickt. Die Auswirkungen können noch schlimmer sein. Ein Krankenhaus in Los Angeles und einige in Deutschland mussten aus dem gleichen Grund IT-Systeme herunterfahren und damit wichtige Apparate ausschalten.

Schutzmaßnahmen

Die Auswirkungen können vernichtend sein, doch ist es nicht unmöglich, sich gegen Ransomware zu schützen. Vorbereitung ist das A und O der Vorbeugung. Trend Micros Smart Protection Network schützt Unternehmen vor der Ransomware-Bedrohung, indem der Zugang zu Schlüsselstellen der Infektion geblockt werden – Erkennen bösartiger Sites, IP-Adressen, C&C-Server sowie Mail-Anhänge.

Die folgenden Produkte, die auf das Smart Protection Network setzen, unterstützen Anwender bei der Erkennung und Beseitigung von Ransomware-Varianten:

Endanwender sollten die folgenden Tools in Erwägung ziehen:

Auch empfiehlt es sich für Unternehmen, die folgenden Ratschläge zum Schutz vor Ransomware zu beherzigen:

  • Regelmäßige Backups der Dateien durchführen, damit die Daten für den Fall der Erpressung auch ohne Lösegeld zur Verfügung stehen.
  • Software-Patches so schnell wie möglich anbringen, denn einige Ransomware nutzt bekannte Sicherheitslücken.
  • Vertrauenswürdige Websites mit Lesezeichen versehen und auch darüber auf sie zugreifen, um das Risiko bösartigen Links zu folgen, zu minimieren.
  • Mail-Anhänge nur aus vertrauenswürdigen Quellen herunterladen und nicht angeforderte Mails mit Vorsicht behandeln.
  • Blocken potenziell gefährlicher Dateitypen (exe, scr, cab etc.) in Mail
  • Systeme regelmäßig mit aktueller Antimalware-Software scannen
  • Nutzen von Software Restriction Policies (konfigurierbar über Group Policy), um die Ausführung bestimmter Programme zu kontrollieren, beispielsweise Blockieren von ausführbaren Dateien, sodass diese nicht in bestimmten User Space-Regionen ausgeführt werden, die die Ransomware für den eigenen Start nutzt.
  • Schließlich ist das Training der Nutzer eminent wichtig für eine proaktive Verteidigung. Sie sollten immer doppelt prüfen, wer der Absender einer Mail ist, die Inhalte auf Grammatik- oder Schreibfehler und absichtlich mit einem Schreibfehler versehene URLs oder Domänen checken. Und sie sollen keine Links in den Mails anklicken.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*