Threats & Co, Fachartikel

Abwehr von Ransomware - Vier Schritte für mehr Sicherheit

Abwehr von Ransomware - Vier Schritte für mehr Sicherheit

Maninder Singh, Corporate Vice President & Head of Cyber Security & GRC Business, HCL

WannaCry und Petya haben zuletzt die Öffentlichkeit aufgeschreckt. Doch mit einem pragmatischen Ansatz, der aus vier Schritten besteht, können sich Unternehmen in Zukunft vor Ransomware schützen. Am 12. Mai 2017 breitete sich die Erpressungssoftware WannaCry in vielen Ländern aus. Dies zeigte, wie schlecht viele Unternehmenssysteme abgesichert sind. Die bösartige Ransomware – „WannaCrypt 2.0“ oder WannaCry – befiel mehr als 200.000 Computer in über 150 Ländern und stellt weiterhin eine ernsthafte Bedrohung dar.

Die Folgen sind enorm. Viele der Global-2000-Unternehmen waren betroffen, bei einer unbekannten Dunkelziffer. Zu den wenigen bekannten Vorfällen gehören Beeinträchtigungen von Medizin- und Transportservices. Diese führten zu verschobenen Operationen in Großbritannien, verzögerten Postzustellungen in den USA, ausgefallenen Anzeigesystemen auf Bahnhöfen sowie Störungen bei einigen Behörden in Indien.

 

Der Hauptgrund für die weltweit erfolgreiche Verbreitung von WannaCry ist seine Fähigkeit, sich ohne Nutzer-Interaktionen über das gesamte Unternehmensnetzwerk zu verbreiten. Dies gelingt ihm durch die Ausnutzung einer bekannten Schwachstelle in Microsoft Windows.

 

Unternehmen müssen daher überdenken, welchen Fokus sie bei ihren Sicherheitslösungen setzen. Ansonsten riskieren sie den Verlust ihrer Daten sowie von Zeit, Geld und vor allem ihrer Glaubwürdigkeit. Solche Ransomware-Angriffe beweisen, dass die Prozesse für den Schutz vor Cyberbedrohungen niemals abgeschlossen sind. Sie müssen ständig weiterentwickelt werden, damit sich Unternehmen auf die künftig immer komplexeren Attacken vorbereiten.

 

Doch zuerst müssen Unternehmen verstehen, wie Ransomware funktioniert, bevor sie einen effektiven Schutz vor Bedrohungen implementieren.

 

So funktioniert Ransomware 

Der Eintrittspunkt für die Malware in ein Unternehmen ist in der Regel eine harmlos wirkende E-Mail, die per Social Engeneering mit Hilfe eines verlockenden Anhangs oder eines attraktiven Links den Mitarbeiter zum Anklicken animiert. Bei WannaCry führt dies zur Aktivierung des Schadprogramms, das den Server Message Block (SMB)-Exploit ausnutzt. Der Wurm kann die angreifbaren Systeme mit Hilfe von Scanning-Methoden über das Internet weltweit erkennen.

 

Ist WannaCry einmal eingedrungen, erzeugt er zwei Threads. Der eine untersucht Hosts auf dem LAN über den Port 445, der andere wird 128-mal erzeugt und durchsucht Hosts auf dem Internet durch die Erstellung zufälliger IP-Adressen. Falls der Port 445 irgendwo bei Hosts auf dem LAN oder auf IPs im Internet offen ist, wird versucht, dies auszunutzen. Kommt auf dem System eine ungepatchte Windows-Version zum Einsatz, ist der Exploit-Versuch erfolgreich und ähnliche Doppel-Threads werden auf jedem infizierten System erzeugt. Anschließend übernimmt WannaCry die vollständige Kontrolle des betroffenen Systems. Die Malware kann Programme installieren, Daten verändern oder löschen sowie neue Accounts mit umfassenden Nutzungsrechten erstellen.

<< Erste < Vorherige 1 2 3 Nächste > Letzte >>