Ransomware-Attacken auf Unternehmen steigen um 200 %

by Peter Leidwein | Jul 10, 2019

Nachdem im Mai 2019 ein großes IT-Magazin mit fachkundigem Personal von einer hartnäckigen Infektion mit dem Trojaner "Emotet" bedroht wurde und es allgemein einen hohen Anstieg von gezielten Attacken mit Schadsoftware auf Unternehmen gibt, möchte ich im Rahmen dieses Beitrags über die aktuelle Gefährdungslage informieren und mögliche Gegenmaßnahmen vorstellen. 

Oft ist leitenden Angestellten nicht bewusst, dass ein gutes Antiviren-Programm und eine Firewall als Schutz vor Hackern längst nicht mehr ausreichen. Auch der Hausverstand der eigenen Mitarbeiterinnen und Mitarbeiter wird von immer besser gefälschten E-Mail-Nachrichten ausgehebelt. Vorbei ist die Zeit schlecht übersetzter Spam-Nachrichten mit dem vertrauensvoll anmutenden kryptischen Link in Marineblau zum schlecht programmierten Trojaner.

Überall wo Geld zu holen ist, wird schlussendlich auch Geld gemacht. So auch in der lukrativen Hackerszene. Attacken werden mit der Zeit immer professioneller und häufiger. Zudem erleichtern Automatisierung und Machine Learning diesen gut organisierten Gruppen die Auswahl ihrer Opfer und die Infektion der Systeme.

Zielgerichtete Angriffe auf Unternehmen

Es ist zu beobachten, dass Angriffe immer öfter auf Firmen, Behörden und Organisationen abzielen, da hier mehr Geld zu holen ist, als bei Privatpersonen. Köder werden zunehmend zielgerichtet ausgelegt und sind kaum mehr von legitimen Interaktionen zu unterscheiden. Selten prüft jemand, ob  der E-Mail-Header einer aus der Vergangenheit aufgegriffenen Konversation über ein laufendes Projekt gefälscht ist oder das harmlos erscheinende Word-Dokument im Anhang.

Nach der Infektion läuft der Angriff zumeist automatisch im Hintergrund und sobald das Ziel als lohnend ausgemacht wurde, wird weiter manuell gebohrt. Diese Phase kann in extremen Fällen auch bis zu mehrere Monate dauern. Bei so einem Angriff wird versucht, möglichst viele Daten zu sammeln, den Zugang im Unternehmensnetz zu festigen und damit den Fuß in der Türe zu behalten. Erst nachdem der Unternehmenswert geschätzt und ausgeschlossen wurde, dass anderweitig Geld gemacht werden kann, sowie die sichtbaren Backups unbrauchbar gemacht wurden, erst dann kommt die gefürchtete Ransomware zum Einsatz - ein Verschlüsselungstool mit anschließendem Erpressungsversuch.

Aber kein Grund zur Sorge. Denn wirksame Maßnahmen in der IT-Sicherheit können Bösewichte zur Weißglut bringen, wenn sie versuchen, in Ihre Systeme einzudringen 

Moderne IT-Security geht davon aus, dass jede noch so gut implementierte Sicherheitslösung umgangen werden kann. Deswegen sind möglichst viele Layer und Maßnahmen notwendig. Selbst in den unwahrscheinlichsten Szenarien sollten nie alle Stricke zur gleichen Zeit reißen.

Was bedeutet das in der Praxis und was kann ich tun?

Lassen Sie mich auch die allseits bekannten, klassischen Methoden zum Schutz Ihres Firmennetzwerks anführen:

  • Einsatz einer Antiviren-Software, die mehrmals täglich Definitions-Updates bekommt und über eine gute Reporting-Funktion verfügt.

  • Verwendung einer im Ruleset perfekt gewartete Firewall mit Deep-Packet-Inspection.

  • Ausgeprägtes Bewusstsein für Kennwort-Sicherheit und Admin-Accounts. Damit meine ich nicht nur, dass man jeden Monat sein Kennwort ändern soll. Studien zufolge ist das sogar kontraproduktiv.  Vielmehr sollte man Offboarding Prozesse entwickeln, mit dem Reset aller Zugänge für ehemalige Mitarbeiterinnen und Mitarbeiter. Und  außerdem Standard-Kennwörter in Netzwerkkomponenten oder Serverhardware ändern, regelmäßig die Useraccounts durchsehen und kontrollieren sowie Kennwörter sicher kommunizieren.

  • Benutzung eines Admin-Accounts nur für administrative Tätigkeiten! Applikationen, welche nur mit Administrator-Rechten laufen, gehören hoffentlich bereits der Vergangenheit an. Die Maßnahme des Entzugs von Privilegien allein verhindert den Großteil aller Malware-Infektionen. 

  • Schulung der Mitarbeiterinnen und Mitarbeiter in den Grundlagen von IT-Security.

  • Umgang mit unternehmensfremdem Personal: Versperren der Server-Räume, Verifizierung telefonischer Anfragen, Sperren des PCs beim Verlassen des Arbeitsplatzes, Erkennen verdächtiger E-Mail-Nachrichten und Links etc.

  • Patchen der Applikationen und Systeme: Nachdem Software fast nie fertig ist, wenn sie ausgeliefert wird, oder frappierende Sicherheitslücken aufweisen kann, müssen vom Hersteller bereitgestellte Fixes sehr zeitnah eingespielt werden! Denn der Großteil der Angreifer weiß erst nach der Analyse dieser bereitgestellten Patches, wie sie diese Lücken für ihre Zwecke ausnutzen können. Viele Hersteller bieten mehr oder weniger gute Tools an, um ihre Systeme automatisiert patchen zu können. Das spart dem IT Personal eine Menge Zeit und monotone Arbeit. Ein Tool möchte ich aufgrund seiner einfachen Bedienung und gleichzeitig wegen seines hohen Funktionsumfanges besonders hervorheben: Ivanti Patch. Hier können nebst vorzüglichem Reporting alle Windows Betriebssysteme, gängige Linux Distributionen, MacOS und viele 3rd Party Programme nach eigenem Zeitplan automatisiert auf Letztstand gebracht werden. 

  • Auch hier zu erwähnen - Backups: Diese gehen zwar nicht als proaktive Sicherheitsmaßnahme durch, aber es kann gar nicht oft genug betont werden, wie wichtig ein aktuelles, sauberes und sicher ausgelagertes Backup für die Wiederherstellung der Systeme und Daten ist - gerade dann, wenn der schlimmste Fall eingetreten ist. Backups sind auch bei anderen Katastrophenszenarien unabdingbar. Dies sollte die letzte nie versagende Instanz aller Layer darstellen!

Folgende erweiterte Security-Layer werden oft vernachlässigt und sollen hier näher beschrieben werden:

Application Hardening:
IT-Verantwortliche sollten hinterfragen, ob Dinge wie Office Makros (das derzeitige Einfallstor Nummer 1), Java Runtime oder Adobe Flash für die Firma relevant sind. Aus sicherheitstechnischer Sicht sind diese zugelassenen Funktionen oder etwaige Applikationen, die diese Technologien verwenden, nicht mehr zeitgemäß.

Application Whitelisting:
Mittels Application Whitelisting beugen Sie der Ausführung von Trojanern und anderer unerwünschter Applikationen vor. Erreicht wird dies, indem nur noch die von der IT genehmigte Software ausgeführt werden darf.

---
"Ohne Application Control müssten unsere Kunden für ihre User sehr restriktive Richtlinien anwenden. Mit  Ivanti AC ist  die User Experience gut und der Digitale Arbeitsplatz sicher."
Statement von Reinhard Travnicek, Managing Director bei ACP X-tech
---

Seit längerem hat sich hierbei Ivanti Application Control bewährt. Mittels Trusted Ownership Checking ist es möglich, relativ zeitnah einen guten Schutz vor Malware einzurichten. Hier wird das File Ownership-Prinzip von Windows verwendet, um die Programmausführung von unerwünschter Software zu verhindern. In Verbindung mit klassischen Black- und Whitelists und digitalen Signaturen haben Sie ein professionelles Werkzeug im Einsatz, das Ihnen auch die Möglichkeit bietet, tiefgehende Scans von im Unternehmen verwendeter Software zu erstellen und gleich im Ruleset zu verwenden.

Alexander Wallner von Saubermacher berichtet, dass mit dem Einsatz von Ivanti Produkten seit drei Jahren keine Ransomware mehr den Betrieb des Unternehmens stören konnte:

---
„Bevor wir Ivanti in Betrieb genommen haben, gab es trotz mehrschichtiger Security-Systeme drei unterschiedliche Typen an Ransomware-Attacken. Aufgrund unserer Backup-Strategie kam es aber nie zu Datenverlusten und wir konnten durch Restore die verschlüsselten Daten wiederherstellen.“
Statement von Alexander Wallner, Leiter Group IT Services bei Saubermacher Dienstleistungs AG

---

Sandbox Prinzip im Netz:
Der Citrix Secure Browser, der mit den viel verwendeten Citrix Cloud Services kostenlos mitgeliefert wird, schaltet ein oft benutztes Einfallstor für Schädlinge per Design aus. Stellen Sie sich diesen Browser als Einwegprodukt vor. Wenn Sie im Internet surfen möchten, wird der Browser in einer eigenen Sitzung vom restlichen System abgekapselt geöffnet. Nach dem Schließen wird dieser zurückgesetzt, damit bei einem fatalen Klick mit einer erfolgten Infektion des Systems die Schadsoftware nicht ins Host-Betriebssystem vordringen kann. Sie können sicher sein, dass bei der nächsten Benutzung Ihr System im gewünschten Zustand vorzufinden ist.

Ergänzend dazu sei auch bestätigt, dass nicht persistente Citrix-Umgebungen grundsätzlich hervorragend gegen die Auswirkungen von schlimmen Malware-Attacken gewappnet sind.

Fazit: Rüsten Sie sich!

IT-Verantwortliche wissen, dass es nur eine Frage der Zeit ist, bis ihr Unternehmen das Ziel einer Attacke ist. Daher empfehlen wir, sich für solche Ereignisse vorzubereiten. Es gibt nachweislich erfolgreiche Produkte, die Sie in Ihrem Unternehmen einsetzen können, um einer massiven Ransomware-Attacke keinesfalls ausgeliefert zu sein.

 

Guide Passwörter einfach merken!  jetzt herunterladen

 

Autor: Peter Leidwein

Gemäß seinem Motto “Highly effective and independent solutions for the digital workspace.” realisiert Peter Leidwein für seine Kundinnen und Kunden den funktionierenden und sicheren Digitalen Arbeitsplatz. Mit seinem sehr breitbandigen IT Know-How unterstützt er als IT Consultant bei ACP X-tech Unternehmen im Bereich von Citrix, Microsoft und VMware Umgebungen und beim Einsatz von Ivanti Produkten, wie u. a. Ivanti Application Control.