Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Neue Python-Ransomware zielt speziell auf ESXi-Server und virtuelle Maschinen

Mit einer neuen, Python-basierten Ransomware greifen Cyberkriminelle virtuelle Maschinen auf VMware ESXi-Hypervisoren an und verschlüsseln sie. Das Ganze geschieht im Ultra-High-Speed-Modus.

Im Report mit dem Titel „Python Ransomware Script Targets ESXi Server for Encryption“ beschreiben Experten der Sophos Labs eine High-Speed-Attacke, die weniger als drei Stunden vom Einbruch bis zur Verschlüsselung benötigte. „Dies ist eine der schnellsten Ransomware-Attacken, die Sophos je untersucht hat, und sie scheint genau auf die ESXi-Plattform abzuzielen“, so Andrew Brandt, Principal Researcher bei Sophos. „Python ist eine Programmiersprache, die üblicherweise nicht für Ransomware verwendet wird. Allerdings ist Python auf Linux-basierten Systemen wie ESXi vorinstalliert, so dass Python-basierte Angriffe auf solche Systeme möglich sind. ESXi-Server sind ein attraktives Ziel für Ransomware-Kriminelle, da sie in der Lage sind, mehrere virtuelle Maschinen mit möglicherweise geschäftskritischen Anwendungen oder Diensten gleichzeitig anzugreifen. Angriffe auf Hypervisoren können sowohl schnell als auch äußerst desaströs sein. Ransomware-Gruppen wie DarkSide und REvil haben es bei ihren Angriffen auf ESXi-Server abgesehen.“ 

Hinweis für mehr Sicherheit 

„Administratoren, die ESXi oder andere Hypervisoren in ihren Netzwerken betreiben, sollten bewährte Sicherheitspraktiken befolgen. Dazu gehört die Verwendung von sicheren Passwörtern und der Einsatz einer Multi-Faktor-Authentifizierung, wo immer dies möglich ist“, so Brandt. „Die ESXi-Shell kann und sollte immer dann deaktiviert werden, wenn sie von den Mitarbeitern nicht für routinemäßige Wartungsarbeiten verwendet wird, zum Beispiel während der Installation von Patches. Das IT-Team kann dies entweder über die Steuerelemente der Server-Konsole oder über die vom Hersteller bereitgestellten Software-Management-Tools steuern.“ 

Endpoint-Produkte schützen Systeme, indem sie die Aktionen und Verhaltensweisen von Ransomware und anderen Angriffen erkennen. Der Versuch, Dateien zu verschlüsseln, wird entsprechend blockiert. Spezielle Sicherheitshinweise für ESXi-Hypervisoren sind hier online verfügbar. Sophos empfiehlt außerdem die folgenden Standard-Best-Practices zum Schutz vor Ransomware und damit verbundenen Cyberattacken: 

Sicherheit auf strategischer Ebene

Einsatz eines mehrschichtigen Schutzes

Es ist wichtiger denn je, Angriffe von vornherein fernzuhalten oder sie so frühzeitig zu entdecken, dass sie keinen Schaden anrichten können. Ein mehrschichtiger Schutz hilft, Attacken an möglichst vielen Stellen im Unternehmen zu erkennen und zu blockieren. 

Kombination von menschlichen Experten und Anti-Ransomware-Technologie

Der Schlüssel ist eine umfassende Verteidigung, die eine spezielle Anti-Ransomware-Technologie und eine von Menschen geführte Bedrohungsjagd kombiniert. Die Technologie inkludiert den Umfang und die Automatisierung, die ein Unternehmen heute zum Schutz benötigt und kombiniert dies mit menschlichen Experten, die in der Lage sind, die verräterischen Taktiken, Techniken und Verfahren der Angriffe zu erkennen. Unternehmen, deren eigenes IT- oder Sicherheitsteam nicht über diese speziellen Fähigkeiten verfügt, können auf die Unterstützung von externen Cybersicherheitsspezialisten zählen. 

Sicherheit auf taktischer Ebene 

Überwachung und Reaktion auf Warnungen

Unternehmen sollten sicherstellen, dass Tools, Prozesse, Ressourcen und Experten zur Verfügung stehen, um Bedrohungen in der Umgebung zu überwachen, zu untersuchen und darauf zu reagieren. Ransomware-Gruppen planen ihre Angriffe oft außerhalb der Stoßzeiten, an Wochenenden oder in den Ferien, da sie davon ausgehen, dass nur wenige oder gar keine Mitarbeiter aufpassen. 

Sichere Passwörter im gesamten Unternehmen

Passwörter sollten einmalig oder komplex sein und nie mehrfach verwendet werden. Die Organisation von Passwörtern lässt sich mit einem Passwort-Manager leichter bewerkstelligen. 

Einsatz der Multifaktor-Authentifizierung (MFA)

Selbst starke Passwörter können kompromittiert werden. Jede Form der Multifaktor-Authentifizierung ist besser als gar keine, um den Zugang zu wichtigen Ressourcen wie E-Mail, Remote-Management-Tools und Netzwerkressourcen zu sichern. 

Dienste für Zugänge sperren

Mit Netzwerk-Scans lassen sich Ports, die häufig von VNC, RDP oder anderen Fernzugriffstools verwendet werden identifizieren und anschließend sperren. Wenn ein Rechner über ein Remote-Management-Tool erreichbar sein muss, sollte dieses Tool mit einem VPN oder einer Netzwerkzugangslösung, die MFA als Teil der Anmeldung verwendet, eingerichtet werden. 

Segmentierung und Zero-Trust

Kritische Server sollten voneinander und von Workstations getrennt sein, indem separate VLANs eingebunden werden und konsequent auf das Zero-Trust-Netzwerkmodell hingearbeitet wird. 

Erstellen von Offline-Backups von Informationen und Anwendungen

Es gilt, Backups auf dem neuesten Stand zu halten und die Wiederherstellbarkeit sicherzustellen. Zudem sollte eine Kopie offline aufbewahrt werden. 

Inventarisierung von Vermögenswerten und Konten

Unbekannte, ungeschützte und nicht gepatchte Geräte im Netzwerk erhöhen das Risiko und schaffen eine Situation, in der bösartige Aktivitäten unbemerkt bleiben könnten. Eine Bestandsaufnahme aller angeschlossenen Recheninstanzen ist unerlässlich. Nützlich dafür sind Netzwerk-Scans, IaaS-Tools und physische Überprüfungen, um alle Komponenten zu lokalisieren, zu katalogisieren und um einen Endpoint-Schutz auf allen Rechnern, die nicht geschützt sind, einzurichten. 

Korrekte Konfiguration der Sicherheitslösungen

Unzureichend geschützte Systeme und Geräte sind anfällig. Es ist wichtig sicherzustellen, dass die Sicherheitslösungen ordnungsgemäß konfiguriert sind und die Sicherheitsrichtlinien regelmäßig überprüft, validiert und aktualisiert werden. Neue Sicherheitsfunktionen werden nicht immer automatisch aktiviert. Der Manipulationsschutz sollte nie deaktiviert werden und es sollten keine umfassenden Erkennungsausschlüsse konfiguriert werden, die einem Angreifer die Arbeit erleichtern. 

Prüfen des Active Directory

Wichtig ist eine regelmäßige Prüfung aller Konten im Active Directory sowie sicherzustellen, dass keine Konten über mehr Zugriffsberechtigungen verfügen, als für den jeweiligen Zweck erforderlich. Konten von ausscheidenden Mitarbeitern sollten deaktiviert werden, sobald diese das Unternehmen verlassen. 

Patchen

Windows und andere Betriebssysteme und Software sollten immer auf dem neuesten Stand sein. Zudem ist es wichtig, dass Patches sowohl korrekt installiert wurden als auch für kritische Systeme wie Rechner mit Internetanschluss oder Domänencontroller überhaupt vorhanden sind.

 

 

Teaserfoto: © Adobe Stock/santiago silver