In den unterschiedlichsten Umfragen sieht man immer wieder, das fast jedes 2 Unternehmen von Ransomware-Vorfällen betroffen waren. In einem großen Teil der Vorfälle gelang es Angreifern, Daten zu verschlüsseln.
Um sich effektiv vor Ransomware-Angriffen zu schützen, benötigen Sie korrekt konfigurierte Endpoint-Protection-Lösungen. In diesem Beitrag erfahren Sie, wie Ransomware-Angriffe ablaufen, wie man diese abwehrt und wie Sie durch die korrekte Konfiguration der Lösung optimal vor solchen Angriffen schützen.
Wie Ransomware-Angriffe ablaufen
In den vergangenen Jahren ändert sich der Trend bei Ransomware, weg von den groß angelegten Brute-Force-Angriffen hin zu gezielten, sorgfältig geplanten, manuell durchgeführten Angriffen, die man wesentlich schwerer erkennen und abwehren kann.
Gezielte Ransomware-Angriffe
Ein gezielter Ransomware-Angriff erfordert viel manuelle Arbeit: In der Regel konzentriert sich der Angreifer auf ein konkretes Opfer pro Angriff und stellt an diese horrende Lösegeldforderungen. Sie verschaffen sich Zugriff auf das Unternehmensnetzwerk und identifizieren dabei wichtige Systeme. Der eigentliche Angriff erfolgt dann meist, wenn die Verteidiger unter Umständen nicht zu 100% wachsam sind: nachts, am Wochenende oder an Feiertagen. Um mehrschichtige Schutzfunktionen zu umgehen und maximalen Schaden anzurichten, verwenden sie eine ganze Reihe von Angriffstechniken.
Die Folgen solcher Angriffe sind in der Regel schwerwiegend. Hacker werden immer dreister und fordern häufig sechsstellige Summen.
Bereitstellung über RDP
Desktop-Sharing-Tools, wie RDP (Remote Desktop Protocol) und VNC (Virtual Network Computing) sind eigentlich ungefährliche und nützliche Tools, die es einem Administrator erlauben remote auf Systeme zugreifen zu können und diese verwalten. Jedoch sind diese Tools nicht ausreichend geschützt, dann sind sie eine einladende Schwachstelle für gezielte Ransomware-Angriffe.
Wichtig ist, dass RDP und ähnliche Remote-Management-Protokolle hinter einem VPN (Virtual Private Network) ausrechend geschützt sind oder legen Sie zumindest fest, welchen IP-Adressen per RDP der Zugriff gestattet wird – sonst hat der Angreifer ein leichtes Spiel. Häufig verwendet der Angreifer Brute Force-Hacking-Tools, um die zahlreichen Kombinationen aus Benutzernahmen und Passwort ausprobieren, bis sie sich erfolgreich Zugriff verschaffen und Ihr Netzwerk kompromittieren.
Allgemeine Best Practices zum Schutz vor Ransomware
Die neusten und besten Sicherheitslösungen sind nicht ausreichend, um sich vor Ransomware zu schützen. Es gibt
einige Best Practices, wie regelmäßige Mitarbeiterschulungen sind unerlässlich. Hier haben wir 10 Best Practice zusammengefasst, die unbedingt befolgt werden müssen:
1. Installieren Sie Patches zeitig und regelmäßig
Patches schließen Sicherheitslücken in Software. Vorhandene Schwachstellen in beliebten Anwendungen werden häufig von der Malware ausgenutzt. Je früher Endpoints, Server, Mobilegeräte und Anwendungen gepatcht werden, desto weniger Lücken können von den Angreifern ausgenutzt werden.
2. Machen Sie regelmäßig Backups und verwahren Sie eine Kopie außerhalb des Büros
Mehr als die Hälfte der betroffenen Unternehmen konnten ihre verschlüsselten Daten mithilfe von Backups wiederherstellen. Verwahren Sie Ihre Backups nicht nur im Unternehmen auf sondern auch außerhalb des Büros.
Außerdem sollten Sie einen Wiederherstellungsplan für den Notfall erstellen.
3. Aktivieren Sie Dateierweiterungen
Unter Windows sind die Dateierweiterungen standardmäßig deaktiviert und nur über die Dateiminiaturansicht ersichtlich. Bei aktivierten Dateierweiterungen können Sie Dateitypen, die normalerweise nicht angezeigt werden, einfach erkennen.
4. Öffnen Sie JavaScript (.JS)-Dateien im Editor
Wenn Sie eine JavaScript-Datei in einem Editor (wie z.B.: Notepad öffnen, können keine Schadskripte ausgeführt werden und so können Sie den Inhalt der Datei überprüfen.
5. Aktivieren Sie keine Makros in Dokumentenanhängen, die Sie per Mail erhalten
Die automatische Ausführung von Makros wurde von Microsoft bereits vor Jahren aus Sicherheitsgründen deaktiviert. Viele Infektionen funktionieren nur, wenn Sie Makros aktivieren. Aktivieren Sie also keine Makros!
6. Vorsicht bei Anhängen, die Ihnen unaufgefordert zugesendet werden
Cyberkriminelle verlassen sich auf ein uraltes Dilemma: Benutzer wissen eigentlich, dass sie ein Dokument nicht öffnen sollten, wenn sie nicht sicher sind, dass es unbedenklich ist. Jedoch um festzustellen, ob ein Dokument unbedenklich ist, müssen Sie es öffnen. Öffnen Sie niemals einen Anhang, der Ihnen verdächtig erscheint.
7. Überwachen Sie Administratoren-Rechte
Überprüfen Sie regelmäßig lokale und Domänen-Administratoren. Behalten Sie immer im Blick, wer Administrator-Rechte hat und entziehen Sie diese Rechte, wenn sie nicht mehr benötigt werden. Melden Sie ich nur als Administrator an, wenn Sie diese Rechte benötigen. Bleiben Sie aber auch nur solange als Administrator angemeldet, solange Administratoren-Rechte benötigt werden. Vermeiden Sie währenddessen Surfen, Öffnen von Dokumenten und anderer regulärer Arbeitsschritte.
8.Halten Sie die Sicherheitsfunktionen in Ihren Geschäftsawendungen aktuell
Im Büro gibt es Steuerelemente „Ausführung von Makros in Office-Dateien aus dem Internet blockieren, mit dem Sie vor externen Schadinhalten schützen und Makros intern weiterhin nutzen können.
9. Kontrollieren Sie den externen Netzwerkzugriff
Lassen Sie Ports nicht für jeden offen. Sperren Sie den RDP Zugriff Ihres Unternehmens und andere Remote Management Protokolle. Nutzen Sie immer eine Multi-Faktor-Authentifizierung und stellen Sie sicher, dass sich Remote-Benutzer bei einem VPN authentifizieren.
10. Verwenden Sie sichere Passwörter
Ein schwaches und leicht zu erratendes Passwort können von Hackern in Sekundenschnelle Zugriff auf das Gesamte Netzwerk
Comments are closed