Was ist Ransomware?
Der Begriff Ransomware bezeichnet eine Art von Malware-Angriff, bei dem wichtige Dateien eines Opfers verschlüsselt werden und ein Lösegeld (engl. „ransom“) für die Wiederherstellung des Zugriffs gefordert wird. Wenn keine Zahlung erfolgt, veröffentlicht der böswillige Akteur die Daten im Dark Web oder er blockiert den Zugriff auf die Dateien dauerhaft.
Eine Ransomware-Infektion erfolgt in der Regel mithilfe von Social Engineering, z. B. durch einen Phishing-Angriff, bei dem das Opfer zum Klicken auf einen gefährlichen E-Mail-Anhang aufgefordert wird.
Tipps zur Verhinderung von Ransomware-Angriffen
CrowdStrike hat über mehrere sehr effektive Sicherheitskontrollen und Praktiken berichtet, mit denen Sie das Risiko eines Ransomware-Ausbruchs in Ihrem Unternehmen drastisch senken können.
Die folgenden Tipps basieren auf den Erkenntnissen, die CrowdStrike aus der erfolgreichen Prävention und Bekämpfung von Ransomware gewonnen hat:
- Praktizieren Sie gute IT-Hygiene.
- Verbessern Sie die Resilienz von Anwendungen, die mit dem Internet kommunizieren.
- Implementieren und optimieren Sie E-Mail-Sicherheitsmaßnahmen.
- Stärken Sie die Endgeräte.
- Schützen Sie Ihre Daten durch Offline-Backups vor Ransomware.
- Beschränken Sie den Zugriff auf die Virtualisierungsmanagement-Infrastruktur.
- Implementieren Sie ein Identitäts- und Zugriffsverwaltungsprogramm (IAM).
- Entwickeln Sie einen Plan zur Reaktion auf Zwischenfälle und führen Sie einen Stresstest durch.
- Lassen Sie sich helfen, wenn es kompliziert wird.
Tipp 1: Praktizieren Sie gute IT-Hygiene.
Die Minimierung der Angriffsfläche ist für jedes Unternehmen äußerst wichtig. Verschaffen Sie sich zunächst einen Überblick über alle Endgeräte und Workloads in Ihrer Umgebung und gewährleisten Sie anschließend, dass alle potenziellen Angriffsflächen kontinuierlich aktualisiert und geschützt werden.
Mit guter IT-Hygiene erhalten Sie gleichzeitig umfassende Transparenz zu Ihrem Netzwerk. Sie erhalten einen Rundum-Überblick über die aktuelle Situation, können Details aufrufen und Ihre Umgebung proaktiv bereinigen. Mit dieser Transparenz können Sie leichter verstehen, „wer was und wo gemacht hat“, was enorme Vorteile für Ihr Unternehmen bietet, zum Beispiel:
- Erkennung von Lücken in Ihrer Sicherheitsarchitektur: Dank der zuverlässigen Informationen, die diese IT-Hygiene liefert, wissen Sie, welche Hosts in Ihrer Umgebung ausgeführt werden und ob sie geschützt sind. Diese vollständige Transparenz ermöglicht die effektive Bereitstellung der Sicherheitsarchitektur. Zudem können Sie gewährleisten, dass keine nicht autorisierten Systeme in Ihrem Netzwerk aktiv sind. Je größer und stärker verteilt Ihre Umgebung wird (z. B. durch immer mehr remote arbeitendes Personal), desto schwerer lässt sich die Transparenz für alle Endgeräte und Identitäten (menschliche Konten und Service Accounts) erreichen. Durch die Identifizierung der unverwalteten Assets in Ihrer Umgebung können Sie Schwachstellen gezielt beseitigen und wertvolle Assets schützen, bevor Angreifer sie erreichen.
- Überblick darüber, was in Ihrer Umgebung ausgeführt wird: Die proaktive Identifizierung veralteter und ungepatchter Anwendungen und Betriebssysteme ermöglicht die Verwaltung des gesamten Anwendungsbestands und die Behebung von Sicherheits- und Kostenproblemen durch ungepatchte Betriebssysteme und Anwendungen. Um den Angreifern immer einen Schritt voraus zu sein, müssen Sie wissen, welche Anwendungen in Ihrem Netzwerk ausgeführt werden und welche Anwendungen noch gepatcht werden müssen.
- Überblick über die Benutzer in Ihrer Umgebung: Die Kontenüberwachung zeigt eine Übersicht der Benutzer in Ihrer Umgebung, sodass Sie sicherstellen können, dass keine Anmeldedatenberechtigungen verletzt werden. Das schließt die Erkennung von Tools und Verhaltensweisen ein, mit denen diese Richtlinien umgangen werden sollen. Systemadministratoren bleiben ein vorrangiges Ziel – und in Kombination mit unzureichenden Kennwortaktualisierungsrichtlinien ist der Diebstahl von Anmeldedaten bittere Realität. Mit Einblicken zu Kennwortaktualisierungen können Sie die Anmeldedatenverwaltung optimieren, indem Sie alte Administratorkonten entfernen oder sicherstellen, dass Benutzer ihre Kennwörter regelmäßig aktualisieren. Eine Übersicht der Benutzeraktivitäten zeigt Ihnen zudem ungewöhnliche administrative Verhaltensweisen oder Rechteerweiterungen. Wenn Ihr Sicherheitsteam bei ungewöhnlichen Ereignissen sofort alarmiert wird, lassen sich verborgene Angriffe verhindern.
- Gewährleistung von Benutzer-Compliance: Damit Administratoren und Benutzer Ihre Sicherheitsanforderungen einhalten, müssen Sie gewährleisten, dass Ihre Benutzer die aktuellsten Kennwortrichtlinien befolgen. Mit konsistenten und laufenden Benutzerschulungen können Sie sicherstellen, dass Best Practices zu Kennwörtern einhalten werden. Entfernen Sie außerdem alte Konten (einschließlich Service Accounts), sodass Anmeldedaten von früheren Mitarbeitern ungültig werden und kein Risiko mehr darstellen.
- Mehrstufiger Schutz: Implementieren Sie Echtzeit-Erkennungsrichtlinien, mit denen nach ungewöhnlichen Anmeldedaten-Verhaltensweisen gesucht wird, einschließlich lateralen Bewegungen auf Workstations ohne Falcon-Agenten. Aktivieren Sie zusätzlich risikobasierte bedingte Zugriffe, damit für menschliche Konten und Service Accounts MFA aktiviert wird, ohne Benutzer zusätzlich zu belasten. Auch dies sorgt für bessere Compliance.
Mit vollständiger Transparenz und einem umfassenden Überblick über Ihre gesamte Umgebung können Sie IT-Hygiene-bezogene Sicherheitsmängel identifizieren und sofort beheben. Ihre Sicherheitsteams können schnell reagieren und sich auf die wichtigen Endgeräteschutz-Elemente konzentrieren: Prävention, Detektion, Bedrohungssuche und Bedrohungsanalyse. Eine umfassende Lösung, die Ihr Unternehmen vor den motiviertesten und raffiniertesten Angreifern schützt, muss diese Funktionen enthalten. Mit einem auf IT-Hygiene ausgerichteten Ansatz und der richtigen Sicherheitslösung können Sie Ihr Unternehmen vor Ransomware-Angriffen schützen und Kompromittierungen stoppen.
Tipp 2: Verbessern Sie die Resilienz von Anwendungen, die mit dem Internet kommunizieren.
CrowdStrike beobachtet Cybercrime-Bedrohungsakteure, die die Ein-Faktor-Authentifizierung und ungepatchte, mit dem Internet verbundene Anwendungen ausnutzen. BOSS SPIDER war einer der ersten Ransomware-Bedrohungsakteure, die sich auf Big Game Hunting (BGH, engl. „Großwildjagd“) konzentriert haben. Er griff routinemäßig Systeme an, die dank RDP (Remote Desktop Protocol) über das Internet erreichbar waren. Weniger raffinierte Bedrohungsakteure mit Ransomware-Varianten wie Dharma, Phobos und GlobeImposter starten oft RDP-Brute-Force-Angriffe, um Zugriff zu erhalten.
Tipp 3: Implementieren und optimieren Sie E-Mail-Sicherheitsmaßnahmen.
BGH-Ransomware-Gruppen verschaffen sich meist mit einer Phishing-E-Mail Zugang zum Unternehmen des Opfers. In der Regel enthalten diese E-Mails einen schädlichen Link, über den die Ransomware-Payload auf die Workstation des Empfängers übertragen wird.
CrowdStrike empfiehlt die Implementierung einer E-Mail-Sicherheitslösung, die URLs filtert und Anhänge per Sandbox analysiert. Diese Maßnahmen können mit einer automatischen Funktion optimiert werden, die bereits zugestellte E-Mails unter Quarantäne stellt – bevor der Benutzer mit ihnen interagiert. Darüber hinaus können Unternehmen festlegen, dass Benutzer keine kennwortgeschützten ZIP-Dateien, ausführbaren Dateien, JavaScripts oder Windows-Installationspaketdateien erhalten können, sofern keine legitime geschäftliche Notwendigkeit besteht. Die Kennzeichnung von unternehmensexternen E-Mails mit dem Zusatz-Tag „[Extern]“ und eine Warnmeldung am Anfang des Haupttexts der E-Mail kann Benutzer daran erinnern, solche E-Mails mit Vorsicht zu behandeln.
Tipp 4: Stärken Sie die Endgeräte.
Während des Lebenszyklus eines Angriffs, der die Installation einer Ransomware zum Ziel hat, nutzen Bedrohungsakteure oft mehrere Schwachstellen auf dem Endgerät aus. Dazu können fehlerhafte AD-Konfigurationen sowie fehlende Patches für Systeme oder Anwendungen gehören.
Stärken Sie die Sicherheit Ihrer Systeme mit den folgenden Maßnahmen. Bitte bedenken Sie, dass diese Liste keinen Anspruch auf Vollständigkeit erhebt und die Sicherheit von Systemen kontinuierlich optimiert werden muss.
- Stellen Sie sicher, dass alle Endgeräte in Ihrem Netzwerk von den Endgerätesicherheitsprodukten abgedeckt werden. Dies gilt auch für die Plattform für Endgeräte-Erkennung und Reaktion (EDR). Aktivieren Sie auf allen Endgerätesicherheitsplattformen strikte Manipulationsschutzfunktionen, damit Sie gewarnt werden, wenn ein Sensor ausfällt oder entfernt wird.
- Entwickeln Sie ein Programm für die Verwaltung von Schwachstellen und Patches. Dadurch stellen Sie sicher, dass alle Endgeräteanwendungen und Betriebssysteme immer auf dem neuesten Stand sind. Ransomware-Akteure nutzen Endgeräteschwachstellen für viele Zwecke, zum Beispiel für Rechteausweitungen und laterale Bewegungen. CrowdStrike Falcon-Kunden können mit der Schwachstellenverwaltung von CrowdStrike Falcon Spotlight™ eine Fast-Echtzeitanalyse durchführen, um die Anfälligkeit ihrer Umgebung für konkrete Schwachstellen festzustellen, ohne zusätzliche Agenten und Sicherheitstools installieren zu müssen.
- Befolgen Sie Best Practices für Active Directory-Sicherheit. Basierend auf AD-Problemen, die CrowdStrike-Services bei Ransomware-Projekten besonders häufig beobachtet haben, empfehlen wir folgende Schritte:
- Verwenden Sie bei schwachen Authentifizierungsmethoden keine Kennwörter, die sich leicht erraten lassen.
- Gewähren Sie normalen Domänenbenutzern keine lokalen Administratorrechte und stellen Sie sicher, dass lokale Administratorkonten nicht im gesamten Unternehmen oder in großen Teilen des Unternehmens dieselben Kennwörter verwenden.
- Schränken Sie die Kommunikation zwischen Workstations ein. Dies kann mit Gruppenrichtlinienobjekten (GPOs) oder verschiedenen Software-Optionen zur Mikrosegmentierung erreicht werden.
- Geben Sie keine Anmeldedaten weiter. Zu den schlechten Sicherheitspraktiken gehören gemeinsam genutzte Administratorkonten und die Nutzung von Administratorkonten für private Zwecke oder für firmenbezogene Aufgaben, die keine Administratorrechte erfordern.
- Beachten Sie, dass die ersten beiden Punkte mit AD ohne oder mit nur geringen Zusatzkosten umgesetzt werden können. Wenn Sie mehr Skalierbarkeit und Zuverlässigkeit benötigen, können Sie in eine PAM-Lösung (Privileged Access Management) investieren. Sie wird später in diesem Blog-Post besprochen.
- Stellen Sie sicher, dass alle Endgeräte in Ihrem Netzwerk von den Endgerätesicherheitsprodukten abgedeckt werden. Dies gilt auch für die Plattform für Endgeräte-Erkennung und Reaktion (EDR). Aktivieren Sie auf allen Endgerätesicherheitsplattformen strikte Manipulationsschutzfunktionen, damit Sie gewarnt werden, wenn ein Sensor ausfällt oder entfernt wird.
- Entwickeln Sie ein Programm für die Verwaltung von Schwachstellen und Patches. Dadurch stellen Sie sicher, dass alle Endgeräteanwendungen und Betriebssysteme immer auf dem neuesten Stand sind. Ransomware-Akteure nutzen Endgeräteschwachstellen für viele Zwecke, zum Beispiel für Rechteausweitungen und laterale Bewegungen. CrowdStrike Falcon-Kunden können mit der Schwachstellenverwaltung von CrowdStrike Falcon Spotlight™ eine Fast-Echtzeitanalyse durchführen, um die Anfälligkeit ihrer Umgebung für konkrete Schwachstellen festzustellen, ohne zusätzliche Agenten und Sicherheitstools installieren zu müssen.
- Befolgen Sie Best Practices für Active Directory-Sicherheit. Basierend auf AD-Problemen, die CrowdStrike-Services bei Ransomware-Projekten besonders häufig beobachtet haben, empfehlen wir folgende Schritte:
- Verwenden Sie bei schwachen Authentifizierungsmethoden keine Kennwörter, die sich leicht erraten lassen.
- Gewähren Sie normalen Domänenbenutzern keine lokalen Administratorrechte und stellen Sie sicher, dass lokale Administratorkonten nicht im gesamten Unternehmen oder in großen Teilen des Unternehmens dieselben Kennwörter verwenden.
- Schränken Sie die Kommunikation zwischen Workstations ein. Dies kann mit Gruppenrichtlinienobjekten (GPOs) oder verschiedenen Software-Optionen zur Mikrosegmentierung erreicht werden.
- Geben Sie keine Anmeldedaten weiter. Zu den schlechten Sicherheitspraktiken gehören gemeinsam genutzte Administratorkonten und die Nutzung von Administratorkonten für private Zwecke oder für firmenbezogene Aufgaben, die keine Administratorrechte erfordern.
- Beachten Sie, dass die ersten beiden Punkte mit AD ohne oder mit nur geringen Zusatzkosten umgesetzt werden können. Wenn Sie mehr Skalierbarkeit und Zuverlässigkeit benötigen, können Sie in eine PAM-Lösung (Privileged Access Management) investieren. Sie wird später in diesem Blog-Post besprochen.
Tipp 5: Schützen Sie Ihre Daten durch Offline-Backups vor Ransomware.
In den letzten Jahren und insbesondere seit dem Aufstieg zur primären Monetarisierungsmethode bei Angriffen wurde Ransomware erheblich weiterentwickelt. Der Schadcode ist inzwischen sehr effektiv darin, die Entschlüsselung der betroffenen Daten durch Opfer und Sicherheitsexperten zu verhindern, sodass der Druck steigt, das Lösegeld für den Entschlüsselungsschlüssel zu zahlen. Bei der Entwicklung einer Ransomware-sicheren Backup-Infrastruktur müssen Sie zudem bedenken, dass Bedrohungsakteure zuerst Online-Backups angreifen und dann die Ransomware in der eigentlichen Umgebung aktivieren.
Deshalb können Sie Daten bei einem Ransomware-Angriff nur dann retten, wenn die Backups Ransomware-sicher sind. Das können zum Beispiel Offline-Backups Ihrer Daten sein, die sich im Notfall schnell wiederherstellen lassen. Beachten Sie beim Aufbau einer Ransomware-sicheren Offline-Backup-Infrastruktur Folgendes:
- Offline-Backups und die Indizes (die beschreiben, welche Datenträger welche Daten enthalten) müssen vollständig vom Rest der Infrastruktur isoliert werden.
- Der Zugriff auf solche Netzwerke muss über strikte Zugriffskontrolllisten (ACLs) gesteuert werden und alle Authentifizierungen müssen per Multi-Faktor-Authentifizierung (MFA) erfolgen.
- Administratoren mit Zugriff auf Offline- und Online-Infrastrukturen dürfen Kontokennwörter nicht mehrfach verwenden und müssen eine Jump Box nutzen, wenn sie auf die Offline-Backup-Infrastruktur zugreifen.
- Cloud-Speicherdienste mit strikten ACLs und Regeln können auch als Offline-Backup-Infrastruktur dienen.
- Die Offline-Infrastruktur darf nur in Notfällen wie bei einem Ransomware-Angriff eine Verbindung zum laufenden Netzwerk herstellen.
Tipp 6: Beschränken Sie den Zugriff auf die Virtualisierungsmanagement-Infrastruktur.
Wie bereits erwähnt, erfinden sich BGH-Ransomware-Akteure ständig neu, um die Effektivität ihrer Angriffe zu steigern. Die neueste Entwicklung ist die Fähigkeit, virtualisierte Infrastrukturen direkt anzugreifen. Dieser Ansatz erlaubt Angriffe auf Hypervisor, die virtuelle Maschinen bereitstellen und speichern (VMDK). Diese Angriffe bleiben unerkannt, weil böswillige Aktionen auf dem Hypervisor für die auf den virtualisierten Maschinen installierten Endgerätesicherheitsprodukte unsichtbar sind.
Um Ihnen die Vorgehensweise dieses Angriffs zu demonstrieren, orientieren wir uns an VMware, dem derzeit häufigsten Virtualisierungsprodukt in Unternehmensumgebungen.
In vielen ESXi-Systemen (VMware-Hypervisor) wird das SSH-Protokoll (Secure Shell) nicht standardmäßig aktiviert, sondern über vCenter verwaltet. Wenn SSH deaktiviert ist, wird es mit zuvor gestohlenen Administrator-Anmeldedaten auf allen ESXi-Systemen aktiviert. Anschließend wird ein gültiges Konto verwendet, um über SSH in jedes angegriffene ESXi-System einzudringen. Bevor der Bedrohungsakteur die Linux-basierte Ransomware bereitstellt, werden auf dem ESXi gehostete VMDKs gestoppt, damit die binäre Ransomware-Datei für die Verschlüsselung auf die Dateien zugreifen kann. Systeme, die auf diese Weise von Ransomware angegriffen werden, gehen komplett offline und sind für die Benutzer nicht mehr erreichbar.
Tipp 7: Implementieren Sie ein robustes Identitätsschutzprogramm.
Unternehmen können ihre Sicherheit verbessern, indem sie ein robustes Identitätsschutzprogramm für die lokalen und cloudbasierten Identitätsspeicher (z. B. Active Directory, Azure AD) implementieren. Identifizieren Sie Lücken, analysieren Sie Verhaltensweisen und suchen Sie nach Abweichungen bei allen Mitarbeiterkonten (menschliche Benutzer, privilegierte Konten, Service-Konten). Suchen Sie auch nach lateralen Bewegungen und implementieren Sie einen risikobasierten adaptiven Zugriff, um Ransomware-Angriffe zu erkennen und zu stoppen.
Tipp 8: Entwickeln Sie einen Plan zur Reaktion auf Zwischenfälle und führen Sie einen Stresstest durch.
Gelegentlich stoßen Unternehmen auf Aktivitäten von Bedrohungsakteuren in ihrer Umgebung, verfügen jedoch nicht über die erforderlichen Übersichten und Informationen, um das Problem beheben oder die Art der Bedrohung verstehen zu können. Die Erkennung der Bedrohung und die schnelle sowie effektive Reaktion können darüber entscheiden, ob sich daraus ein ernster Zwischenfall entwickelt oder ob Sie mit einem blauen Auge davonkommen.
Playbooks sowie Pläne zur Reaktion auf Zwischenfälle ermöglichen schnelle Entscheidungen. Die Pläne müssen alle Aspekte der Reaktion im gesamten Unternehmen abdecken. Sie müssen dem Sicherheitsteam als Entscheidungshilfe dienen, damit Einsatzkräfte beim Sichten der Alarmmeldungen keine wichtigen Details übersehen. Darüber hinaus müssen sie definieren, wie weit die Befugnisse des Sicherheitsteams zur Einleitung wirksamer Maßnahmen (z. B. Herunterfahren unternehmenskritischer Services) reichen, wenn von einem Ransomware-Angriff ausgegangen werden kann.
Für das Krisenmanagement-Team müssen die Pläne definieren, wer hinzugezogen wird und welche Rollen und Zuständigkeiten diese Personen übernehmen. Außerdem müssen sie wichtige Entscheidungen vorgeben, z. B. wann ein Incident Response Retainer-Service in Anspruch genommen wird, ob die Versicherung informiert werden soll, wann und wie interne oder externe Berater hinzugezogen werden und wie Lösegeldforderungen mit den Führungskräften besprochen werden.
Planen Sie regelmäßige Tabletop-Übungen, um den Zwischenfall-Reaktionsplan und die zugehörigen Prozesse zu testen. Einige Unternehmen profitieren unter Umständen von simulierten Übungen wie „Purple Team“-Tests, bei denen das Red Team Aktionen von Ransomware-Betreibern auf Zielen simuliert (einschließlich Datenexfiltrationen und Ransomware-Installation). Darüber hinaus empfiehlt CrowdStrike regelmäßige – angekündigte und unangekündigte – Übungen zur Anwendung des Zwischenfall-Reaktionsplans, z. B. den Einsatz eines Red Teams, das einen fingierten Angriff durchführt.
Tipp 9: Lassen Sie sich helfen, wenn es kompliziert wird.
Wenn Sie glauben, dass Ihr Unternehmen von Ransomware angegriffen wurde, kann das Hinzuziehen von Experten zur Untersuchung, zur Verbesserung und besseren Erfassung der Situation darüber entscheiden, ob es bei einem kleinen Zwischenfall bleibt oder sich eine ernste Kompromittierung entwickelt. Gelegentlich stoßen Unternehmen auf Aktivitäten von Bedrohungsakteuren in ihrer Umgebung, verfügen jedoch nicht über die erforderlichen Übersichten und Informationen, um das Problem beheben oder die Art der Bedrohung verstehen zu können. Wenn Sie sich immer über die neuesten Bedrohungen informieren und sich Hilfe durch ein Zwischenfall-Reaktionsteam oder einen Retainer-Service (z. B. von CrowdStrike) dazuholen, können Sie das Problem unter Umständen erkennen und beheben, noch bevor der Bedrohungsakteur Ransomware verteilt oder Daten aus der Umgebung exfiltriert.
Es ist immer besser, sich Hilfe von Experten zu holen, bevor Sie sie tatsächlich brauchen. Eine technische Analyse kann Ihnen helfen, proaktiv solche Netzwerkfaktoren zu identifizieren und zu bewerten, die die Wahrscheinlichkeit künftiger Ransomware-Zwischenfälle erhöhen oder verringern. Je nach Ihren aktuellen Anforderungen und dem Reifegrad Ihrer Sicherheitsmechanismen kann diese Analyse auf verschiedene Weise durchgeführt werden. Wenn Sie zum Beispiel einen Angriff erleben, der sich auf ein bestimmtes Netzwerksegment oder einen konkreten Geschäftsbereich beschränkt, können Sie sich mit einer unternehmensweiten Kompromittierungsanalyse vergewissern, dass der Angreifer nach der ersten Prüfung nicht in weitere Teile der Umgebung vorgedrungen ist. Alternativ kann eine Analyse der IT-Hygiene schwache Kennwörter, Active Directory-Konfigurationen oder fehlende Patches identifizieren, die die Tür für den nächsten Angreifer öffnen können.