Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. [...]
Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung von Dateien und Ordnern auf lokalen Festplatten, verbundenen lokalen Speicherorten und gegebenenfalls anderen Computerknoten, die sich im selben Netzwerk befinden.
Die Infektion bleibt in der Regel unbemerkt, bis entweder der Zugriff auf Daten verweigert oder eine Nachricht an das Opfer gesendet wird, die Lösegeld im Austausch gegen einen Decryption-Key fordert. Doch den Forderungen der Erpresser sollten Unternehmen keinesfalls nachzukommen, denn eine Entschlüsselung der Daten ist dadurch nicht garantiert: Die Ransomware-Variante GermanWiper beispielsweise überschreibt Dateien endgültig mit Nullen, statt sie wiederherstellbar zu verschlüsseln, wodurch sie permanent zerstört sind. Darüber hinaus ermutigt eine Lösegeldzahlung Kriminelle, das Unternehmen zukünftig erneut anzugreifen.
Grundlegende Best Practices zur Prävention
Die Auswirkungen eines Ransomware-Angriffs können verheerend sein: Vom Verlust vertraulicher, unternehmenskritischer Daten über finanzielle Einbußen durch Störungen der Geschäftsprozesse bis hin zu hohen Reputationsschäden. Im Folgenden daher einige grundlegende Maßnahmen, um das Risiko für Ransomware-Angriffe einzudämmen:
- Erstellung einer Whitelist für Anwendungen: Dadurch können nur bestimmte Programme auf einem Computer ausgeführt werden. Die Maßnahme sollte auch das Deaktivieren von Macro-Skripten aus Microsoft Office-Dateien beinhalten, die per E-Mail übertragen werden.
- Regelmäßige Datensicherung: Dies muss in einer nicht verbundenen Umgebung geschehen, und die Integrität der Backups sollte regelmäßig überprüft werden.
- Sicherheitsschulungen: Mitarbeiter sollten umfassend über die Risiken von Ransomware aufgeklärt und darin geschult werden, wie man Spear-Phishing-Angriffe erkennt.
- Regemäßige Aktualisierung der Antiviren- und Antimalwareprogramme mit den neuesten Signaturen
Zero Trust-Ansatz gegen Malware-Angriffe und Kontenmissbrauch
Neben der Befolgung grundlegender Sicherheitsmaßnahmen, können Unternehmen zudem durch die Implementierung einer Privileged Access Management-Lösung (PAM) mit Zero-Trust-Ansatz sowohl die heutige Hauptursache für Sicherheitsverstöße – den Missbrauch privilegierter Konten und Anmeldedaten – verhindern, als auch die Auswirkungen eines Ransomware-Angriffs minimieren. Denn hierdurch wird Malware an der Ausführung gehindert oder zumindest ihre Verbreitung über das Netzwerk eingeschränkt. Zu den Schutzmechanismen gehören:
Aufbau einer sicheren Admin-Umgebung
Verbindet sich beispielweise ein Administrator mit Servern, gilt es, während dieser Sitzung eine Malware-Infektion zu verhindern. Deshalb darf der Zugang nur von einer sauberen Quelle aus erfolgen. PAM mit Zero-Trust-Ansatz verhindert hier den Zugriff von Benutzerarbeitsplätzen, die auch Zugang zum Internet und zu E-Mails haben, da diese besonders anfällig für Malware-Infektionen sind. Stattdessen wird der Zugriff nur über gesicherte privilegierte Administratorkonsolen gewährt, wie etwa eine administrative Jump Box.
Sicherung des Fernzugriffs
Eine gut konzipierte Zero-Trust-Privilege-Admin-Umgebung ermöglicht es Mitarbeitern nicht nur, rund um die Uhr sicher aus der Ferne auf Ressourcen zuzugreifen; sie eignet sich auch für ausgelagerte IT- oder Entwickler-Teams, da sie den Bedarf an einem VPN reduziert und die gesamte Transport-Sicherheit zwischen den Gateways sicherer Clients und verteilter Server-Konnektoren übernimmt. Ohne angemessenen Schutz kann sich Ransomware im Netzwerk verbreiten, sobald sich ein infizierter Endbenutzer per VPN verbindet.
Zoneneinteilung für privilegierte Zugriffe
Durch die Einteilung von Systemen und Organisationseinheiten in Zonen kann sich Ransomware zwar noch verbreiten, jedoch nicht auf Systemen, die eine zusätzliche Benutzerverifizierung erfordern. PAM mit Zero-Trust-Ansatz erlaubt eine benutzerspezifische Steuerung privilegierter Zugriffe auf Systeme. Die Zone, in der sich ein Nutzer befindet, ist somit die einzige Reichweite der Ransomware, solange sich ein Schutzmechanismus zwischen Nutzer und dessen Zugriff auf eine weitere Zone befindet. Dieser Zugriff wird über die PAM-Lösung gesteuert und durch Multi-Faktor-Authentifizierung (MFA) auf Legitimität überprüft. Ohne eine MFA-Response kann die Ransomware nicht ins nächste System überspringen.
Minimierung der Angriffsfläche
Ransomware benötigt nicht immer Privilegien, doch wenn es der Schadware gelingt, erweiterte Berechtigungen zu erlangen, sind ihre Auswirkungen umso größer. Durch Absicherung gemeinsam genutzter lokaler Konten, können Unternehmen die Angriffsfläche minimieren. PAM-Lösungen mit Zero Trust-Ansatz verwalten diese von mehreren Usern verwendeten Alternate-Administrator-Konten und Dienst-Konten und bieten einen Just-in-time-Zugriff für MFA-autorisierte Benutzer. Hierbei werden erforderliche Privilegien nur für einen begrenzten Zeitraum und/oder einen begrenzten Bereich vergeben, der für die jeweilige Aufgabe nötig ist.
Einschränkung der Privilegien
PAM mit Zero-Trust-Ansatz ermöglicht zudem eine detaillierte Kontrolle darüber, welchen Zugriff ein privilegierter Benutzer hat und welche Befehle er ausführen darf. Hierdurch wird auch für Schadware die Möglichkeit, Dateien zu installieren oder Berechtigungen zu erhöhen, eingegrenzt.
Ransomware bleibt eine Bedrohung für sensible Daten und für die Geschäftskontinuität von Unternehmen. Durch einen mehrschichtigen Ansatz aus Security-Best-Practices und Technologien mit Zero-Trust-Ansatz können die Auswirkungen der Erpressungssoftware jedoch erheblich eingeschränkt werden.
*Martin Kulendik ist Regional Sales Director DACH bei Centrify.
Be the first to comment