Ransomware
Wie Unternehmen Ransomware-Forderungen abwenden können
Prävention ist immer noch die beste Strategie im Umgang mit moderner Ransomware. Für Unternehmen hängt eine gute Sicherheitsposition nicht von einer einzelnen Maßnahme ab, sondern von einer umfassenden, koordinierten Anstrengung.
Originalbeitrag von Trend Micro
Die jüngste Flut moderner Ransomware-Angriffe auf Unternehmen zeigt, wie Online-Erpresser weitreichende Betriebsunterbrechungen verursachen und globale Lieferketten stören können. Im Mai musste Colonial Pipeline, der Betreiber der größten Erdölpipeline in den USA, einige seiner Systeme vom Netz nehmen, um einen Ransomware-Ausbruch der Cybercrime-Gruppe DarkSide einzudämmen - eine Attacke, bei der 100 GB Daten gestohlen wurden. Der weltgrößte Rindfleischlieferant JBS wurde nur wenige Wochen später Opfer eines ähnlichen Angriffs der Gruppe REvil, die seine Computersysteme lahmlegte. Basierend auf dem neuesten Bericht von Trend Micro über moderne Ransomware gehören REvil und DarkSide zu den Ransomware-Akteuren, die die größten Datenmengen online gestohlen und weitergegeben haben.
Bild 1.Menge (in GB) der geleakten Daten, die pro Ransomware-as-a-Service (RaaS) online gehostet werden, Stand: 21. Februar 2021
Nicht nur so genannte Blue-Chip-Unternehmen wurden von den jüngsten Ransomware-Angriffen hart getroffen. Bedrohungen für die Aufrechterhaltung des Geschäftsbetriebs können sich auch auf die Verbraucher auswirken, wie beispielsweise das massive Horten von Treibstoff nach der vorübergehenden Abschaltung der Benzin-Pipeline von Colonial Pipeline zeigte. Ähnlich erging es dem Rindfleischproduzenten. Beide nahmen zwar schnell den Betrieb wieder auf, aber keiner von ihnen kam ungeschoren davon. Colonial Pipeline hatte zunächst 4,4 Millionen US-Dollar an DarkSide gezahlt, von denen sie einen Großteil zurückerhalten haben. JBS hingegen entschied sich, REvil 11 Millionen US-Dollar zu zahlen, um seine Kunden zu schützen, auch wenn sie den Großteil ihrer Systeme selbst wiederherstellen konnten.
Angesichts der anhaltenden Pandemie versprachen einige Bedrohungsakteure im letzten Jahr, Unternehmen des Gesundheitswesens weniger anzugreifen, trotzdem gab es immer wieder Angriffe auf Krankenhäuser und Gesundheitsdienstleister. Ransomware-Infektionen sind für Unternehmen nicht nur wegen der hohen Zahlungsforderungen kostspielig, sondern auch wegen der Umsatzeinbußen, die sie erleiden, ganz zu schweigen von den Produktivitätseinbußen während der resultierenden Ausfallzeiten. Diese Katastrophen sind jedoch vermeidbar, wenn Unternehmen Maßnahmen ergreifen, um ihre IT-Infrastruktur besser zu schützen.
Wir stellen einige Best Practices und Gegenmaßnahmen vor, die Cyberkriminelle von ihrem Vorhaben abhalten:
Entwickeln und testen eines formalen Reaktionsplan für Vorfälle
Cyberkriminelle Gruppen setzen darauf, ihre Opfer unvorbereitet zu erwischen. Daher sollten Unternehmen mit einem Playbook vorbereitet sein, das ihr Reaktionsteam im Falle eines Cyberangriffs anleitet. Dort sollten die Prozeduren, die das Team zur Validierung, Analyse und Eindämmung einer Infektion durchführt, detailliert beschrieben sein, damit das Unternehmen so schnell wie möglich wieder auf die Beine kommt. Viele haben ihre eigenen Anleitungen nach Incident-Response-Frameworks wie dem des National Institute of Standards and Technology (NIST) und SysAdmin, Audit, Network und Security modelliert. Unternehmen können ihre Playbooks auch testen, indem sie proaktiv Übungen durchführen, bei denen ihr Sicherheitsteam mit simulierten Sicherheitsverletzungen und anderen Notfallszenarien konfrontiert wird. Diese Übungen bewerten ihre Reaktionsbereitschaft und geben ihnen ausreichend Zeit, alternative Empfehlungen zu entwickeln, falls sich herausstellen sollte, dass Teile ihres Notfallplans unzureichend sind.
Implementieren eines Mindestprivilegien-Ansatzes
Um zu verhindern, dass unbefugte Benutzer in ihren Netzwerken herumschnüffeln, müssen Unternehmen eine Bestandsaufnahme der Zugriffsrechte ihrer Mitarbeiter, aber auch anderer wie Kunden und Lieferanten vornehmen. Die Einhaltung des Prinzips der geringsten Privilegien stellt sicher, dass die Zugriffsrechte der Mitarbeiter beim Einloggen in das Unternehmensnetzwerk auf das beschränkt sind, was sie für die Ausführung ihrer Aufgaben benötigen. Darüber hinaus ist es wichtig, routinemäßige Berechtigungsüberprüfungen durchzuführen, um im Auge zu behalten, wer Zugriff auf welche Systeme hat. Der Benutzerzugriff muss sorgfältig verwaltet werden, da die Berechtigungen je nach Rolle der Person im Unternehmen gewährt oder geändert werden müssen oder auch entzogen werden können, wenn die Person das Unternehmen verlässt.
Patchen aller Sicherheitslücken im Unternehmensnetzwerk
Ungepatchte Computer sind ein leichtes Ziel für Ransomware-Angreifer. Deshalb müssen Security Teams Updates, die für geschäftskritische Endgeräte und Server veröffentlicht werden, sofort implementieren, da diese die neuesten Korrekturen für alle entdeckten Lücken enthalten. Die Installation von Patches für Systeme auf Unternehmensebene könnte einige Wartungsausfälle mit sich bringen. Dennoch ist es wichtig zu beachten, dass jegliche Verzögerungen den Bedrohungsakteuren ein Zeitfenster bieten, um diese Schwachstellen auszunutzen. Virtuelles Patching kann auch eingesetzt werden, um Altsysteme abzusichern, für die noch keine Patches verfügbar sind.
Entfernen von veralteten Systemen
Unternehmen haben es einfacher, kritische Ressourcen zu schützen, wenn sie die Angriffsfläche ihres Netzwerks minimieren. Der Angriff auf Colonial Pipeline ließ sich auf ein inaktives VPN-Konto zurückführen, das kompromittiert wurde. Dies zeigt, wie leicht Angriffe auf veraltete Systeme unbemerkt bleiben, wenn Unternehmen nicht aufräumen. Ein Teil der Netzwerkhärtung besteht darin, alle möglichen Zugangspunkte zu den Systemen im Unternehmen genau zu überwachen: Alle, die veraltet, überflüssig oder nicht mehr in Gebrauch sind, müssen vom Rest des Netzwerks isoliert, wenn nicht sogar ganz entfernt werden, bevor böswillige Akteure sie ausnutzen können.
Anwenden der 3-2-1 Backup-Regel
Zu einer vielschichtigen Verteidigung gegen Ransomware gehört eine solide Backup-Strategie, für den Fall, dass es Cyberkriminellen gelingt, wichtige Informationen eines Unternehmens zu verschlüsseln und mit der Veröffentlichung zu drohen. Es ist mittlerweile Standard, dass Unternehmen mindestens drei Kopien ihrer Daten in zwei verschiedenen Formaten vorhalten, wobei sich eine ausgelagerte Kopie außerhalb des Unternehmens befindet. Die Speicherung mehrerer Kopien aktueller Daten ist unerlässlich, um sich von einem Sicherheitsverstoß zu erholen. Diese Strategien müssen jedoch routinemäßig getestet werden, um sicherzustellen, dass es keine Fehler oder Verzögerungen im Backup-Prozess gibt und dass die gesicherten Daten abrufbar und vollständig bleiben.
Absicherung des Setups der Heimarbeitsplätze von Mitarbeitern
Die Remote-Arbeitsweise von Mitarbeitern erfordert das Auf- und Durchsetzen von IT-Richtlinien, die auf diese verteilte Belegschaft zugeschnitten sind. Potenzielle Sicherheitslücken im Homeoffice, wie die Verwendung ungesicherter persönlicher Geräte oder privater Netzwerke, können ein ganzes Unternehmen dem Risiko von Datenverlust und -diebstahl aussetzen, die, wenn sie kompromittiert werden, als Angriffsvektoren genutzt werden können. Im Idealfall haben Mitarbeiter Zugang zu firmeneigenen Geräten und VPNs, die es ihnen erleichtern, Datenschutzstandards einzuhalten, während sie im Büro sind.
Verhindern von Phishing-Versuchen
Phishing, einer der am weitesten verbreiteten Online-Scams überhaupt, wird von Angreifern eingesetzt, um in das Netzwerk eines Unternehmens einzudringen. Phishing-Mails sollen den Empfänger dazu verleiten, auf bösartige Links und Anhänge zu klicken, über die heimlich Malware installiert oder Anmeldedaten gesammelt werden können, die Cyberkriminelle zur Infiltration eines Netzwerks nutzen. Mitarbeiter sollten dafür sensibilisiert werden, wie sie Anzeichen für eine betrügerische Mail erkennen können. Um ihre Abwehr zu stärken, können Unternehmen auch auf Sicherheitslösungen wie Trend Micro Cloud App Security zurückgreifen, die verdächtige E-Mails erkennen und blockieren können.
Letztendlich ist Prävention immer noch die beste Strategie im Umgang mit moderner Ransomware. Für Unternehmen hängt eine gute Sicherheitsposition nicht von einer einzelnen Maßnahme ab, sondern von einer umfassenden, koordinierten Anstrengung, die den sich ständig weiterentwickelnden Tools und Ressourcen, die den Bedrohungsakteuren zur Verfügung stehen, standhalten kann. Lösungen wie die Trend Micro Vision One™; Plattform können Sicherheitsteams dabei helfen, Cyberkriminelle frühzeitig in ihren Bemühungen zu stoppen.