Ransomware

Was ist das und wie funktioniert es?

Ransomware ist eine besonders perfide Form des modernen Malware-Angriffs, bei der ein Gerät in Geiselhaft genommen wird, indem entweder der Benutzer ganz ausgesperrt wird oder die Dateien verschlüsselt werden, damit sie nicht verwendet werden können. Durch diese Art von Angriff kann auf verschiedene Weisen Zugriff auf Ihr Gerät erlangt werden. Durch das Herunterladen einer schädlichen oder kompromitierten Website, durch Zustellung des Anhangs einer Phishing-E-Mail oder durch Ablegen von Exploit-Kits in verwundbaren Systemen, sperrt die im System ausgeführte Ransomware den Computer oder verchlüsselt bestimmte Dateien. Der Angreifer stellt in einer „offiziellen“ Lösegeldforderung detaillierte Anweisungen und Zeitpläne für eine Bezahlung vor, damit Zugriff auf das Gerät wieder möglicht wird oder, um den Entschlüsselungsschlüssel für die gesperrten Dateien zu erhalten.

Wie war das noch mit Petya 2.0?

Am 27. Juni 2017 begann eine weitere bösartige Ransomware-Variante mit hoher Ausbreitungsgeschwindigkeit weltweit Computer zu infizieren.Petya 2.0 (von manchen Forschern auch als NotPetya bezeichnet) wird in erster Linie anhand einer gefälschten Auftragsbestätigung als Anhang an eine Phishing-E-Mail verbreitet.Nachdem das erste Opfer infiziert wurde, verbreitet sich Petya 2.0 lateral durch das Netzwerk des Opfers und nutzt dieselbe EternalBlue-Sicherheitslücke (MS17-010) aus, wie die WannaCry-Ransomware-Variante sowie PsExec als auch WMIC.

Petya 2.0 funktioniert anders als herkömmliche Ransomware, da der Master Boot Record (MBR) auf dem Computer des Opfers verschlüsselt wird und nicht einzelne Dateien.Durch die Verschlüsselung von MBR wird das Opfer komplett aus dem Betriebssystem und den Dateien ausgesperrt.

Für Organisationen sind solche Neuigkeiten leider zur neuen Normalität geworden. WannaCry und Petya 2.0 sind in der Öffentlichkeit ausführlich diskutierte Angriffe, doch hinter der nächsten Ecke wartet bestimmt schon etwas Neues, von dem wir derzeit noch gar nichts wissen.Fazit: Ransomware ist eine kontinuierliche Bedrohung für Unternehmen aller Formen und Größen und die breite Diskussion in der Öffentlichkeit zeigt uns, wie wichtig die Übernahme eines mehrstufigen Ansatzes für die Sicherheit tatsächlich ist.Wie beispielsweise in unserem Q1 Internet Security Report erwähnt, gelangen 38 % aller Malware an veralteten Virenschutzprogrammen vorbei. Deswegen sind Services wie IPS, Sandboxing sowie Erkennung und Reaktion so kritisch.Keine einzelne Lösung kann eine 100%ige Abdeckung bieten.Es gibt keinen besseren Zeitpunkt für die Beschaffung der WatchGuard Total Security Suite!

Was machen Sie nun?

Der traditionelle Ratschlag zur Verteidigung gegen diese Art von Angriffen umfasst ständig wiederholte Erinnerungen zur Weiterbildung der Benutzer und die Durchführung regelmäßiger Software-Updates sowie ein Backup aller kritischen Geräte. Das sind alles ausgezeichnete Best Practices, die jedoch nur eine minimale, erste Abwehrlinie gegen einen modernen Angriff bieten. Experten sind sich auch einig, dass ein stufenweiser Sicherheitsplan der Schlüssel für aktive Abwehrmaßnahmen gegen Ransomware ist. WatchGuard Total Security Suite, erhältlich mit allen Firebox-Geräten, bietet starke Abwehrmaßnahmen gegen moderne Malware und Ransomware. Sicherheitskontrollen in der Total Security Suite umfassen WebBlocker, APT Blocker und Host Ransomware Prevention, damit übliche Methoden von Ransomware-Angriffen erkannt und verhindert werden können.