Wie sich ausgefeilte Ransomware-Angriffe stoppen lassen

Vor einem Ransomware-Angriff ist kaum mehr ein Unternehmen gefeit, wie das aktuelle Beispiel der Attacken auf die Mainzer Stadtwerke und den Darmstädter Energieversorger Entega zeigt. Auch der jüngst erschienene WatchGuard Internet Security Report für das erste Quartal 2022 unterstreicht die Dringlichkeit der Gefahr in aller Deutlichkeit: Nicht nur stellt die EMEA-Region weiterhin einen Hotspot für Malware-Bedrohungen dar, weltweit wurden allein im ersten Quartal 2022 doppelt so viele Angriffe registriert wie im gesamten Jahr zuvor.

Betroffene Unternehmen tragen in der Regel gleich mehrfach Schaden davon: Neben dem Lösegeld für die digital in Geiselhaft genommenen Daten und Systeme müssen sie auch die entstehenden Wiederherstellungskosten (und damit verbundenen Ausfallzeiten) tragen, die bis zu 10- bis 15-mal höher sein können – dazu kommt noch das verloren gegangene Vertrauen bei Kunden und Lieferanten. Umso wichtiger sind eine umfassende Aufklärung zu diesem Thema und praktische Handlungsempfehlungen für den Fall der Fälle. Einen tiefen Einblick in die Komplexität des Themas sowie wichtige Fakten und Erkenntnisse dazu liefert das neue E-Book "Entkommen Sie dem Ransomware-Labyrinth" von WatchGuard.

In der Publikation wird unter anderem beschrieben, welche ausgeklügelten Taktiken Hacker heutzutage einsetzen, um herkömmliche Maßnahmen zur Erkennung von Ransomware zu umgehen, und auf welche Weise sie gängige Prozesse für den Einbruch in Systeme nutzen. Denn bei Ransomware-Attacken bewegen sich die Kriminellen „seitlich“ durch das Netzwerk und suchen nach Möglichkeiten, um Daten zu stehlen oder zu verschlüsseln. Anschließend drohen sie damit, die erbeuteten Daten oder Authentifizierungsinformationen zu verkaufen oder weiterzugeben, falls kein Lösegeld gezahlt wird. Das E-Book zeigt auf, welche Schritte böswillige Cyber-Akteure dafür in der Regel unternehmen:

1. Die Hacker verschaffen sich zunächst über einen der folgenden Angriffsvektoren Zugang zum Unternehmen: Kennwortdiebstahl, Brute-Force-Angriffe, Software-Schwachstellen oder Phishing.
   
    
2. Sobald sie sich im internen Netzwerk befinden, versuchen die Angreifer, wichtige Identitäten innerhalb des Unternehmens ausfindig zu machen. Das Ziel sind Zugangsdaten, mit denen sie noch weiter vordringen und dadurch herkömmliche Maßnahmen der Cybersicherheit umgehen.
   
    
3. Im nächsten Schritt kommen verschiedene Werkzeuge zum Einsatz: Entweder wird Malware verwendet, die bereits ein Softwarepaket mit allen erforderlichen Tools enthält, oder die benötigten „Helferlein“ werden über einen Command-and-Control-Server heruntergeladen.
   
    
4. In der letzten Phase des Cyberangriffs, wenn die Ransomware bereits heruntergeladen und auf dem System installiert wurde, beginnt deren eigentlicher Auftrag: Sie deaktiviert Cybersicherheitsmaßnahmen, extrahiert sensible Daten, zerstört Sicherungskopien, setzt Systeme außer Kraft und verschlüsselt nach und nach sämtliche Daten des Unternehmens.

Festzuhalten ist: Ransomware stellt mittlerweile eine Herausforderung für jedes Unternehmen dar. Umso hilfreicher sind konkrete Informationen dazu, wie sich entsprechende Angriffe abwehren lassen. Das E-Book liefert anhand mehrerer Best Practices konkrete Antworten auf eine Vielzahl drängender Fragen: Wie lassen sich geschützte Backups implementieren, die vom restlichen Netzwerk des Unternehmens getrennt sind? Auf welche Weise kann sichergestellt werden, dass Systeme und Software von Drittanbietern jederzeit vollständig mit den neuesten Patches aktualisiert werden? Was ist für eine effektive Verwaltung von Passwörtern und Zugriffsberechtigungen innerhalb des Unternehmens notwendig?

Im E-Book bleibt aber auch nicht unerwähnt, dass diese Maßnahmen zwar präventiv wirken, aber nicht unfehlbar sind. Denn sie müssen mit einer umfassenden Cybersicherheitslösung kombiniert werden, um fortgeschrittene Bedrohungen erkennen und darauf reagieren zu können. Im Mittelpunkt des Schutzkonzepts steht dabei ein Zero-Trust-Modell, das von Technologien wie einer Endpoint Protection Platform (EPP), Endpoint Detection and Response (EDR)- sowie DNS-Filter-Lösung flankiert wird. Über das regelmäßige Patchen bekannter Schwachstellen lassen sich potenzielle Angriffsflächen weiter reduzieren. Außerdem kommen im Bereich des Identitätsmanagements Multifaktor-Authentifizierung (MFA), Anti-Phishing-, Anti-Exploit- und Anti-Manipulations-Funktionen sowie ein automatischer Klassifizierungsdienst für Prozesse und Anwendungen zusammen mit einem Threat Hunting Service zum Einsatz, um selbst anspruchsvolle Bedrohungen proaktiv erkennen und bekämpfen zu können.