\n<\/em><\/h3>\n
Wenn Malware erfolgreich die IT infiltriert, dann ist das Ziel die Erbeutung von Daten, wie z. B. Zugangsdaten, um in der Folge damit Kasse zu machen. Der Begriff Ransomware<\/strong> bezeichnet eine Schadsoftware, die das Ziel hat, Daten von Unternehmen und Organisationen zu verschl\u00fcsseln und im Nachgang f\u00fcr die Entschl\u00fcsselung der Daten L\u00f6segeld zu fordern. Oft wird gedroht, die Gesch\u00e4ftsdaten im Darknet zu ver\u00f6ffentlichen, was nur durch L\u00f6segeldzahlung zu verhindern sei. Diese Vorgehensweise macht Ransomware f\u00fcr den Angreifer schnell hochprofitabel.<\/p>\n Laut Global Threat Intelligence Report<\/em><\/span> von NTT<\/em> erreichte Ransomware bis Ende 2021 einen Anteil von 12 % bezogen auf alle Malware-Angriffe. Das ist viermal mehr, als in den zwei Jahren zuvor. Experten gehen davon aus, dass diese Dynamik weiter zunehmen wird. Laut dem Acronis Cyberthreats Report 2022 geh\u00f6rte Deutschland Ende 2021 zu den drei am h\u00e4ufigsten durch Malware angegriffenen L\u00e4ndern. Dieser Report sieht Ransomware als \u00abdie gr\u00f6\u00dfte Bedrohung f\u00fcr mittlere Organisationen, einschlie\u00dflich Beh\u00f6rden und Unternehmen im Gesundheitssektor und in anderen wichtigen Branchen<\/em>\u00bb. Alles Gr\u00fcnde, die daf\u00fcr sprechen, sich n\u00e4her mit dieser Form von Malware zu besch\u00e4ftigen.<\/p>\n <\/p>\n Da Angreifer sofort einen hohen Profit aus einem erfolgreichen Angriff ziehen k\u00f6nnen, werden Taktiken und Technologien st\u00e4ndig weiterentwickelt. Es gibt jedoch ein grunds\u00e4tzliches Schema, an dem man Ransomware-Angriffe erkennen kann:<\/p>\n <\/p>\n [\/et_pb_text][et_pb_divider divider_weight=“5px“ _builder_version=“4.17.3″ _module_preset=“default“ width=“60%“ module_alignment=“left“ custom_padding=“||40px||false|false“ global_colors_info=“{}“][\/et_pb_divider][et_pb_text admin_label=“Was hilft?“ _builder_version=“4.17.5″ text_font=“|300|||||||“ text_text_color=“#000000″ z_index_tablet=“500″ text_text_shadow_horizontal_length_tablet=“0px“ text_text_shadow_vertical_length_tablet=“0px“ text_text_shadow_blur_strength_tablet=“1px“ link_text_shadow_horizontal_length_tablet=“0px“ link_text_shadow_vertical_length_tablet=“0px“ link_text_shadow_blur_strength_tablet=“1px“ ul_text_shadow_horizontal_length_tablet=“0px“ ul_text_shadow_vertical_length_tablet=“0px“ ul_text_shadow_blur_strength_tablet=“1px“ ol_text_shadow_horizontal_length_tablet=“0px“ ol_text_shadow_vertical_length_tablet=“0px“ ol_text_shadow_blur_strength_tablet=“1px“ quote_text_shadow_horizontal_length_tablet=“0px“ quote_text_shadow_vertical_length_tablet=“0px“ quote_text_shadow_blur_strength_tablet=“1px“ header_text_shadow_horizontal_length_tablet=“0px“ header_text_shadow_vertical_length_tablet=“0px“ header_text_shadow_blur_strength_tablet=“1px“ header_2_text_shadow_horizontal_length_tablet=“0px“ header_2_text_shadow_vertical_length_tablet=“0px“ header_2_text_shadow_blur_strength_tablet=“1px“ header_3_text_shadow_horizontal_length_tablet=“0px“ header_3_text_shadow_vertical_length_tablet=“0px“ header_3_text_shadow_blur_strength_tablet=“1px“ header_4_text_shadow_horizontal_length_tablet=“0px“ header_4_text_shadow_vertical_length_tablet=“0px“ header_4_text_shadow_blur_strength_tablet=“1px“ header_5_text_shadow_horizontal_length_tablet=“0px“ header_5_text_shadow_vertical_length_tablet=“0px“ header_5_text_shadow_blur_strength_tablet=“1px“ header_6_text_shadow_horizontal_length_tablet=“0px“ header_6_text_shadow_vertical_length_tablet=“0px“ header_6_text_shadow_blur_strength_tablet=“1px“ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ global_colors_info=“{}“]<\/p>\n Ransomware-Erpresser haben eigentlich kein Interesse an Ihren Daten. Es geht ihnen einzig und allein um den Erhalt von L\u00f6segeld. In der nicht virtuellen Welt kann die Anzahl der installierten Bewegungsmelder, Zusatzschl\u00f6sser, Gitter und Alarmanlagen dazu f\u00fchren, dass Einbrecher sich einfachere Ziele suchen. Virtuelle Angreifer ticken genauso! Ziele gibt es ausreichend und wenn Ihre IT besser gesch\u00fctzt ist, als die Ihrer Mitbewerber, mag das schon einen gewissen Schutz darstellen. Aber es gibt auch noch jene Angreifer, die ohne technische Kenntnisse \u00abRansomware-as-a-Service<\/strong>\u00bb f\u00fcr Malware-Attacken nutzen. Vorgegangen wird dabei dann eher nach dem Trial-and-Error Prinzip<\/em>.<\/p>\n Hinter Ransomware-Angriffen stecken zwielichtige Organisationen wie REvil, Conti und BlackByte. Wo viel Geld zu verdienen ist, findet man auch Experten, die Technologien st\u00e4ndig verfeinern und neue Sicherheitsl\u00fccken in k\u00fcrzester Zeit ausnutzen. Technische Ma\u00dfnahmen<\/strong> wie Antivirensoftware, Log-Management<\/a> & SIEM, Firewalls, Patch-Management, Endpoint Detection & Response (EDR), Network Detection & Response (NDR) sind hilfreich. Aber wirklich sch\u00fctzen werden sie Sie nur, wenn Daten aus unterschiedlichen Quellen korreliert werden. Dazu ben\u00f6tigen Sie ein konfiguriertes SOC<\/strong> (Security Operations Center) oder ISMS<\/strong> (Information Security Management System) in denen die Informationen aus unterschiedlichen Quellen erfasst werden. Ransomware-Angriffe schlummern oft \u00fcber mehrere Tage in Ihrem Netzwerk und die Angriffstechniken ver\u00e4ndern sich st\u00e4ndig. Das macht die Erkennung mit rein technischen Ma\u00dfnahmen komplex. Zus\u00e4tzliche organisatorische Ma\u00dfnahmen<\/strong> wie Sicherheitsschulungen und Verhaltensregeln f\u00fcr Mitarbeiter sind hier mehr als w\u00fcnschenswert, weil eine gewisse Skepsis auch gegen Zero-Day Malware wirkungsvoll sein kann.<\/p>\n Lesen Sie dazu auch unseren Blogbeitrag Cybersecurity & Schwachstelle Mensch<\/a>.<\/p>\n <\/p>\n [\/et_pb_text][et_pb_divider divider_weight=“5px“ _builder_version=“4.16″ _module_preset=“default“ width=“60%“ module_alignment=“left“ custom_padding=“||40px||false|false“ global_colors_info=“{}“][\/et_pb_divider][et_pb_text admin_label=“Sandbox und DNS“ _builder_version=“4.17.5″ text_font=“|300|||||||“ text_text_color=“#000000″ z_index_tablet=“500″ text_text_shadow_horizontal_length_tablet=“0px“ text_text_shadow_vertical_length_tablet=“0px“ text_text_shadow_blur_strength_tablet=“1px“ link_text_shadow_horizontal_length_tablet=“0px“ link_text_shadow_vertical_length_tablet=“0px“ link_text_shadow_blur_strength_tablet=“1px“ ul_text_shadow_horizontal_length_tablet=“0px“ ul_text_shadow_vertical_length_tablet=“0px“ ul_text_shadow_blur_strength_tablet=“1px“ ol_text_shadow_horizontal_length_tablet=“0px“ ol_text_shadow_vertical_length_tablet=“0px“ ol_text_shadow_blur_strength_tablet=“1px“ quote_text_shadow_horizontal_length_tablet=“0px“ quote_text_shadow_vertical_length_tablet=“0px“ quote_text_shadow_blur_strength_tablet=“1px“ header_text_shadow_horizontal_length_tablet=“0px“ header_text_shadow_vertical_length_tablet=“0px“ header_text_shadow_blur_strength_tablet=“1px“ header_2_text_shadow_horizontal_length_tablet=“0px“ header_2_text_shadow_vertical_length_tablet=“0px“ header_2_text_shadow_blur_strength_tablet=“1px“ header_3_text_shadow_horizontal_length_tablet=“0px“ header_3_text_shadow_vertical_length_tablet=“0px“ header_3_text_shadow_blur_strength_tablet=“1px“ header_4_text_shadow_horizontal_length_tablet=“0px“ header_4_text_shadow_vertical_length_tablet=“0px“ header_4_text_shadow_blur_strength_tablet=“1px“ header_5_text_shadow_horizontal_length_tablet=“0px“ header_5_text_shadow_vertical_length_tablet=“0px“ header_5_text_shadow_blur_strength_tablet=“1px“ header_6_text_shadow_horizontal_length_tablet=“0px“ header_6_text_shadow_vertical_length_tablet=“0px“ header_6_text_shadow_blur_strength_tablet=“1px“ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ global_colors_info=“{}“]<\/p>\n Die meisten Ransomware-Frameworks sind stark auf DNS-Tunneling angewiesen. Beim DNS-Tunneling wird ein anderes Protokoll \u00fcber DNS \u201egetunnelt\u201c. Dieser DNS-Tunnel kann f\u00fcr \u00abCommand and Control<\/strong>\u00bb (C2), Datenexfiltration<\/strong> oder dem Tunneln des IP-Verkehrs genutzt werden. DNS-Tunneling wird u.a. bei Frameworks und Organisationen wie DNS-Beacon, SUNBURST und der APT-Gruppe OilRig verwendet. Das gemeinsame Merkmal dieser Frameworks sind DNS-Aktivit\u00e4ten.<\/p>\n Sowohl beim Nachladen von Funktionen als auch bei der Datenexfiltration werden URL- oder DNS-Adressen verwendet, die ein DNS-Filter als gef\u00e4hrlich einstufen und die Verbindung ablehnen wird. Damit wird die Kompromittierung durch Ransomware zwar nicht verhindert, wohl aber die Auswirkungen. Ohne dem Nachladen von Funktionen und ohne Datenexfiltration wird ein entsprechender weitgehend wirkungslos verpuffen.<\/p>\n Wir empfehlen hier einen Whitelist DNS-Filter. Whitelisting hat bei DNS Filter erhebliche Vorteile. T\u00e4glich werden \u00fcber 200.000 neue Webseiten ver\u00f6ffentlicht und gesch\u00e4tzt 70 % davon sind gef\u00e4hrlich. Traditionelle DNS-Filter m\u00fcssen nach dieser Sch\u00e4tzung t\u00e4glich 140.000 Dom\u00e4nen erfassen und klassifizieren. Ein Whitelist DNS-Filter<\/a> hingegen muss nur jene Webseiten analysieren, die auch tats\u00e4chlich aufgerufen werden. Blue Shield Umbrella des \u00f6sterreichischen Herstellers Blue Shield Security GmbH bietet genau diese Funktion. KI-Unterst\u00fctzung (Machine Learning und Supervised Learning in Zusammenarbeit mit weltweit f\u00fchrenden NOCs) und eine eigens entwickelte Sandbox Umgebung machen Blue Shield Umbrella (BSU) zum vermutlich derzeit wirkungsvollsten DNS-Filter in der IT-Szene.<\/p>\n Die Verwendung einer Sandbox<\/a> ist ebenfalls ein probates Mittel gegen alle Arten von Malware. Aber auch Malware wird zunehmend intelligenter. Intelligente Malware erkennt Sandbox-Umgebungen an gefakten IT-, OT und ICS-Profilen. Malware zerlegt sich daher in kleine Fragmente und wird so nicht mehr sofort erkannt. Die Defragmentierung nach Verlassen der Malware im Netzwerk macht aus Fragmenten wieder Schadsoftware. Oftmals tarnt sich Malware auch mittels eines Schlafmodus, der erst bei Erreichen des Netzwerks beendet wird. Hier empfiehlt sich die Inbetriebnahme\u00a0 intelligenter Sandbox-Umgebungen. Die OPSWAT Sandbox<\/a> bspw. ist in der Lage, rasch auf ge\u00e4nderte Malware-Strategien zu reagieren und funktioniert wirkungsvoll auch wirkungsvoll gegen immer intelligentere Malware.<\/p>\n Lesen Sie dazu auch unseren Beitrag Gef\u00e4hrliche Sandkastenspiele – Warum Sandboxing nicht mehr ausreicht<\/a>.<\/p>\nWie gelangt Ransomware in Ihre IT-Infrastruktur?<\/em><\/h3>\n
\n
Summe kombinierter Abwehrma\u00dfnahmen kann sch\u00fctzen
<\/em><\/h3>\n![\"Fazit\"](\"https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2018\/12\/fazit.svg\")
Viel hilft viel: Miteinander kombinierte technische Sicherheitsma\u00dfnahmen und eine Portion gesunder Menschenverstand bieten bereits einen guten Schutz vor Angriffen mit Ransomware. Dennoch: durch neue Angriffstechniken k\u00f6nnen die Abwehrma\u00dfnahmen oder der Mensch vor dem PC rasch versagen. Das schw\u00e4chste Glied Ihre Abwehrkette kann Ihre IT rasch zu Fall bringen, sofern nicht alle m\u00f6glichen Gegenma\u00dfnahmen ausgesch\u00f6pft werden. Dieses Risiko ist bei der steigenden Anzahl von Ransomware-Angriffen und den m\u00f6glichen Kosten nicht ausreichend abgesichert! <\/strong><\/p>\nWas wirklich hilft: DNS-Filter & Sandbox
<\/em><\/h3>\n