Home » News » Cybersecurity » Erfolgreiche Verteidigungsstrategien gegen Ransomware-Angriffe

Erfolgreiche Verteidigungsstrategien gegen Ransomware-Angriffe

Laut Global Threat Intelligence Report von NTT erfolgen inzwischen zwölf Prozent aller Cyberangriffe durch Ransomware. Entsprechende Angriffe haben sich somit in den letzten Jahren vervierfacht.

3 Min. Lesezeit
„Ransomware“ wird kunstvoll dargestellt, indem jeder Buchstabe in einem eigenen schwarzen Kästchen steht, vor einem lebhaften Hintergrund aus verschwommenen Vorhängeschlössern in Rot, Blau und Grün.
Quelle: ProSoft

Wer Ransomware einsetzt, will sich auf kriminelle Art schnell Geld verschaffen. Dringt die Schadsoftware in die Unternehmens-IT ein, verschlüsselt sie geschäftskritische Daten und macht diese unzugänglich. Der kombinierte Einsatz zweier unterschiedlicher Security-Ansätze soll das Eindringen der Schadsoftware zuverlässig verhindern.

Laut Global Threat Intelligence Report von NTT erfolgen inzwischen zwölf Prozent aller Cyberangriffe durch Ransomware. Entsprechende Angriffe haben sich somit in den letzten Jahren vervierfacht. Die finanziellen Schäden, die so ein Angriff verursacht, steigen ebenfalls rasant. ProSoft zeigt, wie mit DNS-Filtering und ReCoBs (Remote Controlled Browser System) zwei wirkungsvolle, aber vom Ansatz her grundsätzlich unterschiedliche Strategien, Ransomware-Angriffe sehr wirkungsvoll abwehren. Während ein DNS-Filter gefährliche Websites erkennt und blockiert, bevor Schadcode in das eigene Netzwerk gelangen kann, schirmt ein ReCoBS, also ein ferngesteuerter Web-Browser, das interne Netzwerk vom Internet ab und verhindert präventiv Angriffe, die etwaige Sicherheitslücken in Internetbrowsern ausnutzen.

Die Angreifer fordern im Nachgang für die Entschlüsselung teils beträchtliches Lösegeld. Aus Angst, sensible Firmendaten könnten veröffentlicht oder verkauft werden, zahlen die Opfer oft hohe Lösegeldsummen. „Ob die Angreifer die Daten nach Zahlungseingang wieder freigeben, ist jedes Mal ein Glücksspiel. Betroffen sind hiervon vor allem Unternehmen aus dem Mittelstand sowie mittlere Organisationen – einschließlich Behörden und Unternehmen aus dem Gesundheitssektor“, so Robert Korherr, Geschäftsführer der ProSoft, mit Bezug auf den Acronis Cyberthreats Report 2022. Gemäß Cybereason Report 2022 waren bei 70 Prozent der befragten deutschen Unternehmen die wiederhergestellten Daten teilweise oder ganz beschädigt. Und 80 Prozent der Organisationen, die Lösegeld bezahlt haben, werden ein zweites Mal durch Ransomware attackiert.

DNS-Filtering ist nicht gleich DNS-Filtering

Ungewöhnliche DNA-Aktivitäten sind ein untrügliches Anzeichen einer Ransomware-Attacke. DNS-Filter schützen hier dreifach: Drive-by-Downloads aktiver Inhalte von gefährlichen Webseiten werden häufig im Ansatz unterbunden. Das Nachladen von Malware-Komponenten von Command and Control Servern, sowie die typische Datenexfiltration vor der eigentlichen Datenverschlüsselung auf Server des Angreifers sind ebenfalls konkrete Anhaltspunkte für eine aktive Ransomware-Phase. Traditionelle, nach dem Blacklisting-Prinzip arbeitende DNS-Filter müssen täglich über 200.000 neue Internet-Domänen erfassen und klassifizieren. Für die Dauer ab der Erkennung bis zur Integration der IP-Adressen von gefährlichen Webseiten in die Blacklist ist die IT anfällig. Whitelisting bietet bei DNS-Filtern dagegen erhebliche Vorteile. Ein Whitelist-DNS-Filter blockiert zunächst alle unbekannten Webseiten und analysiert nur jene, die auch tatsächlich aufgerufen werden. Die eingesetzten Algorithmen und KI-gestützten Technologien eines cloudbasierten DNS-Schutzschilds analysieren, erkennen und blockieren Gefahren und Anomalien bei jedem Aufruf in Echtzeit. Erst bei entsprechender Qualifizierung wird die Domain auf die Whitelist gesetzt. Dabei müssen sich die Domains permanent weiter qualifizieren, um auf der Whitelist zu bleiben. Zur Qualifikation eignen Machine Learning aus historischen Daten, eine spezielle Sandbox und weltweite Kooperationen mit anderen Herstellern und Organisationen.

Ferngesteuerter Webbrowser für höchste Internetsicherheit

ReCoBS verfolgen einen anderen Ansatz und schützen vor Ransomware, die versehentlich bereits heruntergeladen wurde. Das funktioniert etwa wie folgt: Der Webbrowser wird nicht mehr auf dem Arbeitsplatzrechner ausgeführt. Stattdessen übernimmt der dedizierte, in der demilitarisierten Zone (DMZ) aufgestellte Server die Ausführung des Browsers. Der Arbeitsplatzcomputer erhält lediglich die Bildschirmausgabe des Browsers als Videodatenstrom über ein funktionsspezifisches Protokoll. Aufgrund dieser physischen Trennung bleibt selbst der Aufruf einer kompromittierten Internetseite für das interne Netzwerk folgenlos.

Summe kombinierter Maßnahmen macht´s

Wie jede andere Malware, gelangt Ransomware über die üblichen Kanäle wie Phishing, Spoofing, ungepatchte Sicherheitslücken, Drive-by-Downloads und Schadsoftware in aktiven Internet-Inhalten ins Unternehmensnetzwerk. Technische Maßnahmen wie Antivirensoftware, Log-Management & SIEM, Firewalls, Patch-Management, Endpoint Detection & Response (EDR), Network Detection & Response (NDR) sind einige der Tools, die sich gegen Cyberangriffe bewährt haben. Sicher schützen werden sie jedoch nur, wenn Daten aus unterschiedlichen Quellen korreliert werden. Organisatorische Maßnahmen wie Sicherheitsschulungen und Verhaltensregeln für Mitarbeiter sind ebenfalls eine wirksame Maßnahme, weil eine gewisse Skepsis auch gegen Zero-Day Malware wirkungsvoll ist.

Die Infografik mit dem Titel „Top 10 Cyber-Bedrohungen und ihre Abwehr“ enthält ein Sicherheitsrahmendiagramm mit den Abschnitten „Analysieren“, „Schützen“, „Erkennen“, „Reagieren“ und „Wiederherstellen“. Dabei wird Ransomware unter den Symbolen für verschiedene Cyber-Bedrohungen wie Phishing und Malware hervorgehoben.
Quelle: ProSoft

Ransomware ist eine der Top-10-Cyberbedrohungen.

Andere interessante News

Foto: ©AdobeStock/Mirivox

Künstliche Intelligenz verändert Spielregeln – mobile Geräte jetzt Hauptangriffsziel

Mit Homeoffice und BYOD rücken Smartphones Tablets und allgemein vernetzte Geräte ins Zentrum der Cyberbedrohung. Die Vielfalt ihrer Anwendungen, Portabilität und Fragmentierung ma...

Digitale Souveränität

TeleTrusT aktualisiert Positionspapier – und fordert klare Impulse aus der Politik

Deutschlands digitale Sicherheit braucht einen Neustart – strategisch, europäisch und wertebasiert. Mit dem überarbeiteten Positionspapier „Cyber-Nation“ fordert der Bundesverband ...

Cyberkrimineller und die Gefahr

Russische Hacker attackieren Rüstungsfirmen in Osteuropa

Mit einer ausgeklügelten Spionagekampagne nimmt die russische Hackergruppe Sednit gezielt Unternehmen ins Visier, welche die ukrainische Armee versorgen. Im Fokus stehen Hersteller...