Laut dem Verizon Data Breach Report 2020 ist Ransomware der dritthäufigste Malware-Angriff. Der jüngste Beweis dafür wurde am 4. Oktober erbracht, als Universal Health Services (UHS), ein Fortune-500-Krankenhaus und Gesundheitsdienstleister, Berichten zufolge die Systeme in verschiedenen Gesundheitseinrichtungen in den USA herunterfuhr, nachdem ein Cyberangriff sein internes Netzwerk getroffen hatte.
Jede Art von Angriff auf das Gesundheitswesen kann tödlich sein, insbesondere angesichts der aktuellen Pandemie-Situation. Dies ist ein weiterer aktueller Cyberangriff, der damit endet, dass die Infrastruktur von IT aufgrund eines Ransomware-Angriffs abgeschaltet wird. In diesem Fall leitet das UHS einige Patienten an Krankenhäuser in der Nähe weiter.
Vielen Menschen ist jedoch nicht bewusst, dass die Aktivierung der Ransomware nur die letzte Phase eines Angriffs ist. Vor der Ausführung gibt es viele Phasen und Möglichkeiten, den Angriff zu stoppen.
Was genau ist Ransomware?
Ransomware ist eine bösartige Software, die darauf abzielt, die Nutzung von Computersystemdateien zu verhindern, indem sie die Zahlung eines Lösegelds fordert. Die meisten Varianten von Ransomware verschlüsseln die Dateien auf dem betroffenen Gerät, machen sie unzugänglich und verlangen eine Lösegeldzahlung, um den Zugriff auf sie wiederherzustellen.
Ransomware-Code ist oft ausgeklügelt, muss es aber nicht sein, denn im Gegensatz zu anderen Formen herkömmlicher Malware muss er in der Regel nicht lange Zeit unentdeckt bleiben, um sein Ziel zu erreichen. Diese relativ einfache Implementierung und das hohe Gewinnpotenzial machen Ransomware-Kampagnen sowohl für erfahrene Cyberkriminelle als auch für unerfahrene Akteure attraktiv.
"In 7 % der Ransomware-Threads, die in kriminellen Foren und auf Marktplätzen gefunden wurden, wurde "Service" erwähnt, was darauf hindeutet, dass die Angreifer nicht einmal in der Lage sein müssen, die Arbeit selbst zu erledigen." - 2020 Data Breach Investigations Report, S. 16.
Ransomeware ist so beliebt, dass man Dienste kaufen kann, die sich im Auftrag des Cyberkriminellen um die Implementierung kümmern. Bei einem derart florierenden Markt ist zu erwarten, dass Ransomeware und Ransomeware-Dienste nur noch zunehmen werden.
Wie findet Ransomware ihren Weg ins Netzwerk?
Die häufigste Methode für Angreifer, bösartige Dateien zu verbreiten, ist das Ausnutzen allgemeiner menschlicher Fehler, wie z. B. Phishing-Angriffe, bei denen der Angreifer eine E-Mail sendet, die scheinbar legitim ist, aber die Person dazu auffordert, auf Links zu klicken oder einen Anhang herunterzuladen. Der Anhang enthält oft eine Nutzlast, die die bösartige Software liefert. Die Angreifer nutzen in der Regel ungeschützte Schnittstellen wie RDP oder nicht gepatchte Webanwendungen aus. Ransomware wird auch auf kompromittierten oder bösartigen Websites über Drive-by-Download-Angriffe verbreitet. Einige Ransomware-Angriffe wurden auch über Nachrichten aus sozialen Medien versandt.
In der Regel wird Ransomware nach dem "Schrotflinten"-Prinzip eingesetzt, d. h. die Angreifer eignen sich E-Mail-Listen oder kompromittierte Websites an und verbreiten die Ransomware.
Schutz vor Ransomware
Während des Lebenszyklus eines Angriffs gibt es mehrere Stufen, um Malware zu stoppen. Die erste Stufe ist die Verhinderung des Eindringens in das Netzwerk; die zweite Stufe zum Stoppen von Ransomware (vorausgesetzt, sie ist nicht autonom) besteht darin, sie an der Kommunikation mit dem Command-and-Control-Server (C2) zu hindern; die dritte Stufe besteht darin, sie unmittelbar nach dem Beginn der Ausführung und vor einer seitlichen Bewegung innerhalb des Netzwerks zu stoppen.
Die erste Stufe - das Verhindern des Eindringens von Malware in das Netz - ist die wichtigste. Angreifer versuchen in der Regel, Phishing-Techniken einzusetzen oder ungesicherte Fernzugriffsverbindungen zu nutzen, z. B. falsch konfigurierte RDP-Verbindungen und über Endgeräte, die nicht den Unternehmensrichtlinien entsprechen. Diese Geräte können es der Ransomware ermöglichen, sich huckepack über die Verbindung in die Netzwerkorganisation einzuschleusen.
Die zweite Stufe - die Verhinderung der Kommunikation von Malware mit einem C2 - wird in der Regel durch die Implementierung einer FireWall und eines netzwerkbasierten Erkennungssystems erreicht, das nach Netzwerksignaturen sucht.
Die dritte Stufe - das Verhindern der Aktivierung und Ausbreitung der Ransomware im Netzwerk - ist zu diesem Zeitpunkt wesentlich komplizierter und ressourcenintensiver.
OPSWAT bietet präventive Lösungen, damit Sie sich vor Angriffen schützen können. Unsere Lösungen helfen Unternehmen, das Eindringen von Malware in Netzwerke zu verhindern, z. B. die E-Mail-Gateway-Sicherheitslösung zum Schutz vor Phishing, die Secure-Access-Lösung zur Unterstützung der Compliance-Validierung und
Datei-Upload-Sicherheit, die Deep CDR (Content Disarm and Reconstruction) mit MetaDefender Core. Dies sind nur einige der vielen Produkte, die OPWAST anbietet, um die Netzwerke kritischer Infrastrukturen vor Ransomware zu schützen. Wenn Sie weitere Informationen wünschen, kontaktieren Sie uns noch heute.
Referenzen
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
