Wie man Ransomware erkennt: Verständnis der Anzeichen einer Infektion

Mit zunehmender Sophistikation von Ransomware gehen Organisationen ständig unter die Bedrohung des Verlusts von Daten und Verletzungen. Laut Statista haben seit 2018 zunehmende Anzahl von Organisationen Ransomware-Angriffe pro Jahr erlebt und der Höhepunkt wurde 2021 erreicht, bei 68,5% der Firmen. Zusätzlich war die Zahl der erkannten Ransomware-Familien im Jahr 2020 um 34% größer als im Jahr 2019 (gegenüber 127 Familien im Jahr 2020).

In diesem Blogbeitrag definieren wir Ransomware und klären die Hauptinfektionskanäle und Ransomware-Erkennungstechniken auf. Außerdem gehen wir über die Lösungen, um Ransomware zu erkennen, zukünftige Infektionen zu vermeiden und die Widerstandskraft Ihrer Daten gegen Ransomware zu erhöhen.

Was ist Ransomware?

Ransomware ist bösartiges Software, das verwendet wird, um in persönliche/korporative IT-Umgebungen einzubrechen und Daten zu verschlüsseln oder zu sperren. Das Ziel von Ransomware-Angriffen besteht darin, eine Lösegeldsumme von Opfern zu erpressen, im Tausch für die Wiederherstellung des Zugriffs auf die verschlüsselten/gesperrten Daten.

Wie Systeme mit Ransomware infiziert werden: 5 Infektionsvektoren

Um Ihrer Organisationstechnologien durch Ransomware infiziert zu werden, sollten Sie sich mit den am häufigsten verbreiteten Wegen befassen, wie Malware sich verbreitet. Auf diese Weise können Sie erkennen, welche Systemkomponenten am exponiertesten und anfälligsten für Ransomware-Angriffe sind und wie Sie die Aktivität von Ransomware in Ihrer Infrastruktur rechtzeitig erkennen können.

Die Möglichkeiten, wie Ihre Organisation Opfer von Ransomware werden kann, sind zahllos. Hier sind jedoch die häufigsten Infektionsvektoren für Malware:

• Verdächtige E-Mail-Nachrichten, die den Empfänger auffordern, auf einen Link zu klicken oder einen Anhang herunterzuladen, der Malware enthält.
• Bösartige Websites, die darauf abzielen, Menschen dazu zu bringen, ihre Seiten zu durchsuchen und letztendlich durch das Anklicken bösartiger Hyperlinks mit Ransomware infiziert zu werden.
• Soziale Medien werden oft als vertrauenswürdige und legitime Plattformen angesehen, was Einzelpersonen dazu veranlasst, ihnen sofort zu vertrauen. Im Allgemeinen wird Malware über bösartige Anwendungen, Werbung, Plug-Ins und Links auf Social-Media-Plattformen verbreitet. Diese Apps, Anzeigen, Links und Browser-Anhänge überzeugen Benutzer dann, bösartige Inhalte wie Ransomware oder Kryptomining-Agenten herunterzuladen.
• Malvertising ist eine Form von Online-Werbung, die bösartigen Code enthält. Wenn Sie auf den Link auf einer scheinbar legitimen Website klicken, kann Ihr Computer automatisch mit Malware infiziert werden.
• Mobile Ransomware, die durch mobile Apps ausgeführt wird, die mit bösartigem Code injiziert wurden. Durch das Herunterladen solcher Apps können Sie Ihre mobile Telefon in Sekunden mit Malware infizieren und die Infektion dann beim nächsten Verbinden der beiden Geräte auf Ihren Computer übertragen.

Techniken zur Erkennung von Ransomware

Um Ransomware zu erkennen, die versucht, in Ihre IT-Umgebung einzudringen oder diese bereits zu stören, können Sie eine Reihe von Tools und Techniken verwenden, um bösartige Dateien und verdächtige Aktivitäten aufzudecken. IT-Spezialisten unterscheiden die folgenden Arten von Erkennungstechniken:

• Signaturbasierte
• Verhaltensbasierte
• Täuschung

Hier prüfen wir jede Ransomware-Erkennungstechnik im Detail.

Signaturbasierte Erkennung

SignaturbasierteMethoden vergleichen einen Beispielhash einer Ransomware-Variante mit zuvor gefundenen Signaturen. Dies ist eine gängige erste Technik für Antivirenlösungen und Sicherheitsplattformen. Sie überprüfen die Datenfragmente, die in einer ausführbaren Datei verpackt sind, bevor diese Datei gestartet wird. Die Technik besteht darin, ransomware-ähnliche Codefragmente frühzeitig zu erkennen und die Ausführung des infizierten Codes zu blockieren.

Die Methode wird verwendet, um die grundlegende Verteidigung einer Organisation aufzubauen. Obwohl sie bekannte Ransomware-Varianten effektiv erkennen, können signaturbasierte Methoden bei neuen Malware-Varianten versagen. Darüber hinaus investieren Hacker viel Aufwand, um ihre Malware und Sicherheitsneutralisierungswerkzeuge zu aktualisieren, was die Erkennung von Signaturen erschwert.

Derzeit konkurrieren mehrere Malware-Erkennungssoftwareanbieter auf dem Markt. Jeder von ihnen bietet eine ausgewählte Reihe von Ransomware-Erkennungstools an, die bis zu einem gewissen Grad wirksam sein können. Laut dem Bericht von Sophos waren jedoch über 50% der Ransomware-Angriffe im Jahr 2021 erfolgreich, was bedeutet, dass kein Malware-Erkennungssystem Ransomware mit einer 100%igen Garantie aufdecken kann.

Verhaltensbasierte Erkennung

Verhaltensbasierte Ransomware-Erkennungsmethoden vergleichen historisch bekannte Verhaltensweisen mit neuen. Spezialisten und automatische Tools überwachen die Aktivitäten von Benutzern und Anwendungen innerhalb der Umgebung, um ungewöhnliche Änderungen im Dateisystem, ungewöhnlichen Datenverkehr, unbekannte Prozesse und API-Aufrufe sowie andere Anzeichen zu erkennen.

Prüfen und merken Sie sich die üblichen Verhaltensanzeichen für Ransomware-Angriffsversuche oder erfolgreiche Systeminfektionen:

• Spam- und Phishing-E-Mails: Phishing ist der gängigste Ansatz, den Hacker verwenden, um Ransomware zu verbreiten.
• Leistungseinbußen: Sollten die Knoten Ihrer IT-Infrastruktur langsamer funktionieren als erwartet, reagieren Sie auf einen möglichen Ransomware-Angriff.
• Dauerhaft verdächtige Login-Aktivitäten: Wenn Fehlversuche bei der Anmeldung regelmäßig und auf verschiedenen Konten von ungewöhnlichen Orten und Geräten auftreten, ist es sehr wahrscheinlich, dass jemand versucht, unbefugten Zugriff auf die IT-Systeme Ihrer Organisation zu erlangen.
• Nicht autorisierte Netzwerk-Scanner erkannt: Wenn Sie nicht wissen, wer das Netzwerk-Scan-Verfahren initiiert hat und wozu es dient, sollten Sie es überprüfen, da es sich um eine bösartige Aktivität handeln könnte.
• Mögliche Testangriffe: Hacker können einige leichte Angriffe auf einige Knoten initiieren, um die Resilienz und Reaktionszeit des Schutzsystems Ihrer Organisation vor dem Start eines großflächigen Angriffs zu testen.
• Sicherheitssoftware-Deaktivierung oder -Entfernung: Keine der Störungen im Schutzsystem sollte ignoriert werden, da selbst eine kurzfristige Fehlfunktion eine offene Sicherheitslücke für eine Ransomware-Infektion bedeutet.
• Datenverschlüsselung auf einigen Knoten: Erfolgreiche Datenverschlüsselung auf einem beliebigen Knoten in Ihrem System deutet auf eine Sicherheitsverletzung hin, die Hacker für einen ernsthafteren Angriff nutzen können.
• Erkannte bekannte Hacking-Tools: Wenn Sie solche Anwendungen wie Microsoft Process Explorer, MimiKatz, IOBit Uninstaller und PC Hunter in der Umgebung Ihrer Organisation bemerken, sollten Sie eine umfassende Sicherheitsüberprüfung jedes Knotens durchführen.
• Ungewöhnliche Aktivität rund um Active Directory: Es gibt einen bekannten Fall von Hackern, die das Remote Desktop-Protokoll (RDP) nutzen, um die geschützten AD-Server von Öl- und Gasanlagen zu erreichen und Ryuk-Ransomware direkt in das AD-Anmeldeskript einzuspeisen.
• Versuche zur Backup-Korruption: Backup-Speicherplattformen gehören zu den prioritären Zielen für Cyberangriffe. Jede verdächtige Aktivität rund um den Backup-Speicher, ob auf physischen Festplatten oder in der Cloud, kann ein Anzeichen für einen potenziellen oder laufenden Ransomware-Angriff sein.

Täuschungsbasierte Erkennung

Genau wie Hacker regelmäßig versuchen, die digitalen Bedrohungserkennungssysteme eines Unternehmens zu täuschen, haben IT-Sicherheitsexperten Wege gefunden, um böswillige Akteure zu locken. Eine der gebräuchlichsten Lockmittel ist der sogenannte Honeypot: ein Server oder Bereich in der IT-Umgebung eines Unternehmens, der Daten enthält, die für Hacker scheinbar von Wert sind. Diese Umgebung ist jedoch vollständig von der Hauptwebsite isoliert und kann genutzt werden, um Angriffstaktiken zu überwachen und zu analysieren.

Die sich entwickelnden Bedrohungen zwingen Unternehmen, jede verfügbare Sicherheitsoption zu nutzen, um Datenverletzungen und -verluste zu verhindern, weshalb die Kombination von Methoden zur Erkennung von Ransomware eine gängige Praxis ist. Darüber hinaus ist eine gute Strategie zur Erkennung und aktiven Bekämpfung von Ransomware-Angriffen das Verständnis der Angriffstaktiken der Angreifer und die Verhinderung der Infiltration. Folgende Empfehlungen helfen Ihnen, Angriffe zu identifizieren und zu verhindern.

Wie man einen Angriff identifiziert und verhindert

Wir empfehlen Ihnen, die folgenden Praktiken zur Verhinderung von Ransomware-Angriffen zu übernehmen. Wir haben auch Tipps zur Reduzierung des Risikos von Datenverlusten im Falle einer Ransomware-Infiltration in die IT-Umgebung des Unternehmens hinzugefügt.

• Ermutigen Sie Mitarbeiter, folgendes zu tun:
  • Die häufigsten Anzeichen von Ransomware und anderen Schadprogrammen zu erkennen
  • Starke Passwörter zu verwenden und diese regelmäßig zu aktualisieren
  • Links und Dateianhänge genau zu prüfen, bevor man sie anklickt
  • Das Phishing zu verstehen und E-Mail-Adressen von eingehenden Nachrichten zu überprüfen

• Aktualisieren Sie Ihr System regelmäßig

Sie sollten Ihr Betriebssystem und wichtige Anwendungen auf dem neuesten Stand halten und Patches anwenden. Installieren Sie Updates, sobald sie veröffentlicht werden. Systemupdates und Sicherheitsupdates dienen im Allgemeinen dazu, Probleme der vorherigen Versionen zu beheben und bekannte Schwachstellen Ihres Systems abzudecken.

• Drittanbieter-Software überprüfen

Bevor Sie Drittanbieter-Software installieren, stellen Sie zunächst sicher, dass der Softwarehersteller echt und vertrauenswürdig ist. Dazu installieren Sie Software zur Whitelisting (z. B. Bit9, Velox, McAfee, Lumension), die identifizieren kann, ob eine neue Anwendung sicher genug ist, um in Ihrem System installiert und ausgeführt zu werden.

• Regelmäßig Ihre Infrastruktur scannen

Installieren und verwenden Sie Anti-Malware-Software, die Ihnen bei möglichen Bedrohungen benachrichtigt, potentielle Schwachstellen identifiziert und Ransomware-Aktivitäten in Ihrer Infrastruktur erkennt. Moderne Anti-Ransomware-Tools ermöglichen es Ihnen, Ihr gesamtes System auf vorhandene Viren und aktive Malware-Bedrohungen zu scannen. Darüber hinaus können solche Computer-Scans entweder auf Anforderung oder basierend auf einem von Ihnen eingerichteten Zeitplan ausgeführt werden, wodurch der Management-Eingriff auf Ihrer Seite minimiert wird.

• Honigfässer erstellen

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

• Zugriff auf kritische Systeme und Anwendungen einschränken

Wenden Sie das Prinzip des geringsten Privilegs an, wenn Sie Mitarbeitern Berechtigungen für Systeme erteilen. Das Prinzip besteht darin, einem Mitarbeiter nur Zugriff auf diejenigen Dateien und Systemressourcen zu gewähren, die erforderlich sind, um effizient zu arbeiten. Jegliche Aktion oder Zugriff, der nicht notwendig ist, um die Aufgaben eines Mitarbeiters auszuführen, sollte vom Administrator untersagt werden, um versehentliche Infektionen zu vermeiden.

• Datenschutz und Testen von Backups

Erstellen und regelmäßige Aktualisierung von Datenbackups. Verwenden Sie die 3-2-1-Regel, um den Schutz zu verbessern und eine erfolgreiche Wiederherstellung von verschlüsselten Daten bei Ransomware sicherzustellen. Die Regel besagt, dass Sie 3 Kopien Ihrer Daten haben sollten und dass Sie sie auf 2 verschiedenen Medien speichern sollten, wobei 1 davon extern gespeichert wird. Nachdem die Daten gesichert sind, führen Sie Tests durch, um zu überprüfen, ob Ihre Backups funktionsfähig und wiederherstellbar sind. Auf diese Weise können Sie Ausfälle verhindern, die sonst während der Systemwiederherstellung hätten auftreten können.

Wie NAKIVO dazu beitragen kann, Ihre Daten vor Ransomware zu schützen

Heutzutage ist ein Ransomware-Angriff, der die Daten einer Organisation unzugänglich macht, nicht nur eine weitere Möglichkeit, sondern eine Frage der Zeit. Und der effizienteste Weg, Datenverlustvorfälle zu verhindern und Produktionsausfälle nach Störungen durch erfolgreiche Ransomware-Angriffe zu vermeiden, besteht darin, gültige Backups bereitzuhalten, die zur Wiederherstellung bereitstehen.

Etwa 93% der Unternehmen, die keine Backups und Notfallwiederherstellungspläne implementieren, gehen innerhalb eines Jahres nach einer globalen Datenverlustkatastrophe bankrott. Andererseits konnten 96% der Unternehmen, die über eine zuverlässige Backup- und Wiederherstellungsstrategie verfügen, erfolgreich von Ransomware-Angriffen wiederherstellen.

NAKIVO Backup & Replication ist eine Datensicherungslösung, die Sie verwenden können, um eine zuverlässige Ransomware-Schutzstrategie zu implementieren und die Widerstandsfähigkeit der Organisation gegen Angriffe zu erhöhen:

1. Erstellen Sie zuverlässige und anwendungsübergreifende Backups Ihrer Daten.
2. Speichern Sie Backups vor Ort, senden Sie sie extern oder in die Cloud, um die 3-2-1-Regel zu befolgen und einen einzelnen Ausfallpunkt zu vermeiden.
3. Aktivieren Sie die Unveränderlichkeit für Backups, die in lokalen Linux-basierten Repositories und/oder in der Cloud gespeichert sind, um sicherzustellen, dass Ihre Backup-Daten unverändert und verfügbar bleiben, selbst wenn Ransomware die Backup-Infrastruktur trifft.
4. Aktivieren Sie die Verschlüsselung Ihrer Backup-Daten während der Übertragung und im Ruhezustand. Die Lösung verwendet den Verschlüsselungsstandard AES-256, um den Zugriff Dritter auf Ihre Backup-Daten zu verhindern.
5. Verwenden Sie rollenbasierte Zugriffskontrolle (RBAC), um Zugriffsrechte für Mitarbeiter festzulegen und die Sicherheit von Backups zu verbessern.Wenn ein Ransomware-Angriff erfolgt und die Originaldaten verschlüsselt, verwenden Sie Backups zur Wiederherstellung. Sie können vollständige VMs und physische Maschinen sofort als VMs wiederherstellen. Verwenden Sie Instant Granular Recovery, um einzelne Dateien und Anwendungsobjekte an Original- oder benutzerdefinierten Speicherorten für eine noch kürzere Ausfallzeit wiederherzustellen.
6. Wenn ein Ransomware-Angriff eintritt und die ursprünglichen Daten verschlüsselt, verwenden Sie Backups zur Wiederherstellung. Sie können vollständige VMs und physische Maschinen als VMs sofort wiederherstellen. Verwenden Sie Instant Granular Recovery, um einzelne Dateien und Anwendungsgliederungen an ursprünglichen oder benutzerdefinierten Orten für sogar kürzere Ausfallzeiten wiederherzustellen.
7. Verwenden Sie Replikation, automatisierte Ausfallsicherung und Disaster-Recovery-Orchestrierung für eine schnelle Verfügbarkeit von Systemen und Anwendungen.

Die NAKIVO-Lösung ermöglicht es Ihnen, Backup- und Wiederherstellungsprozesse von einer einzigen Oberfläche aus zu steuern und zu automatisieren. Führen Sie Backups in Minutenschritten durch, um den Datenverlust zu minimieren. Mit relevanten unveränderlichen Backups zur Verfügung können Sie Lösegeld an Hacker nicht bezahlen, auch wenn Ransomware Ihre Sicherheitssysteme umgeht und erfolgreich die ursprünglichen Daten verschlüsselt.