So erkennen Sie Ransomware: Anzeichen einer Infektion verstehen

<>Da Ransomware immer raffinierter wird, sind Unternehmen einer ständigen Gefahr von Datenverlusten und Sicherheitsverletzungen ausgesetzt. Laut Statista hat seit 2018 eine steigende Anzahl von Unternehmen pro Jahr Ransomware-Angriffe erlebt, wobei der Höhepunkt im Jahr 2021 mit 68,5 % der Unternehmen erreicht wurde. Darüber hinaus war die Anzahl der im Jahr 2020 entdeckten Ransomware-Familien um 34 % höher als im Jahr 2019 (gegenüber 127 Familien im Jahr 2020).

In diesem Blogbeitrag definieren wir Ransomware und beleuchten die wichtigsten Infektionskanäle und Techniken zur Erkennung von Ransomware. Außerdem gehen wir auf Lösungen ein, mit denen Sie Ransomware identifizieren, weitere Infektionen verhindern und die Resilienz Ihrer Daten gegen Ransomware erhöhen können.

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Was ist Ransomware?

Ransomware ist eine bösartige Software, die dazu verwendet wird, in persönliche/unternehmerische IT-Umgebungen einzudringen und Daten zu verschlüsseln oder zu sperren. Das Ziel von Ransomware-Angriffen ist es, von den Opfern ein Lösegeld zu erpressen, um ihnen im Gegenzug wieder Zugriff auf die verschlüsselten/gesperrten Daten zu gewähren.

Wie Systeme mit Ransomware infiziert werden: 5 Infektionsvektoren

Um zu verhindern, dass die IT-Systeme Ihres Unternehmens mit Ransomware infiziert werden, sollten Sie sich über die gängigsten Verbreitungswege von Malware im Klaren sein. Auf diese Weise erfahren Sie, welche Systemkomponenten besonders gefährdet und anfällig für Ransomware-Angriffe sind und wie Sie Ransomware-Aktivitäten in Ihrer Infrastruktur umgehend erkennen können.

Es gibt unzählige Möglichkeiten, wie Ihr Unternehmen Opfer von Ransomware werden kann. Hier sind jedoch die häufigsten Infektionswege für Malware:

• Verdächtige E-Mail-Nachrichten die den Empfänger dazu auffordern, auf einen Link zu klicken oder einen Anhang herunterzuladen, der Malware enthält.
• Bösartige Websites , die darauf ausgelegt sind, Menschen dazu zu verleiten, ihre Seiten zu durchsuchen und sich schließlich von dem Anklicken bösartiger Hyperlinks mit Ransomware zu infizieren.
• Soziale Medien werden oft als vertrauenswürdige und legitime Plattformen angesehen, sodass Einzelpersonen ihnen sofort vertrauen. Im Allgemeinen wird Malware über bösartige Anwendungen, Werbeanzeigen, Plug-ins und Links auf Social-Media-Plattformen verbreitet. Diese Anwendungen, Anzeigen, Links und Browser-Anhänge verleiten die Nutzer dann dazu, bösartige Inhalte wie Ransomware oder Cryptomining-Agenten herunterzuladen.
• Malvertising ist eine Form der Online-Werbung, die bösartigen Code enthält. Wenn Sie auf den Link einer scheinbar legitimen Website klicken, kann Ihr Computer automatisch mit Malware infiziert werden.
• Mobile Ransomware wird über mobile Apps ausgeführt, die mit bösartigem Code infiziert sind. Durch das Herunterladen solcher Apps können Sie Ihr Mobiltelefon innerhalb von Sekunden mit Malware infizieren und die Infektion dann auf Ihren Computer übertragen, sobald Sie die beiden Geräte miteinander verbinden.

Techniken zur Erkennung von Ransomware

Um Ransomware zu erkennen, die versucht, in Ihre IT-Umgebung einzudringen oder diese bereits stört, können Sie eine Reihe von Tools und Techniken einsetzen, mit denen sich schädliche Dateien und verdächtige Aktivitäten aufdecken lassen. IT-Spezialisten unterscheiden zwischen folgenden Arten von Erkennungstechniken:

• Signaturbasiert
• Verhaltensbasiert
• Täuschung

Im Folgenden werden die einzelnen Ransomware-Erkennungstechniken im Detail beschrieben.

Signaturbasierte Erkennung

Signaturbasierte Methoden vergleichen einen Beispiel-Hash einer Ransomware-Variante mit zuvor gefundenen Signaturen. Dies ist eine gängige Technik für Antivirenlösungen und Plattformen für Sicherheit. Diese überprüfen die in einer ausführbaren Datei gepackten Datenfragmente, bevor sie diese Datei starten. Die Technik umfasst die frühzeitige Erkennung von ransomwareähnlichen Codefragmenten und die Blockierung der Ausführung des infizierten Codes.

Die Methode wird verwendet, um die grundlegende Verteidigung einer Organisation aufzubauen. Auch wenn sie bekannte Ransomware-Varianten effektiv erkennen, können signaturbasierte Methoden bei neuer Malware versagen. Darüber hinaus investieren Hacker viel Aufwand in die Aktualisierung ihrer Malware und ihrer Tools zur Neutralisierung von Maßnahmen zur Sicherheit, was die Erkennung von Signaturen erschwert.

Derzeit konkurrieren mehrere Anbieter von Malware-Erkennungssoftware auf dem Markt. Jeder von ihnen bietet eine Reihe von Tools zur Erkennung von Ransomware, die bis zu einem gewissen Grad wirksam sein können. Laut dem Bericht von Sophos waren jedoch über 50 % der Ransomware-Angriffe im Jahr 2021 erfolgreich, was bedeutet, dass kein Malware-Erkennungssystem Ransomware mit einer 100-prozentigen Garantie aufdecken kann.

Verhaltensbasierte Erkennung

Verhaltensbasierte Ransomware-Erkennungsmethoden vergleichen historisch bekannte Verhaltensweisen mit neuen. Spezialisten und automatische Tools überwachen die Aktivitäten von Benutzern und Anwendungen innerhalb der Umgebung, um unter anderem ungewöhnliche Änderungen in Dateisystemen, ungewöhnlichen Datenverkehr, unbekannte Prozesse und API-Aufrufe zu erkennen.

Überprüfen und merken Sie sich die üblichen Verhaltensmerkmale von Ransomware-Angriffsversuchen oder erfolgreichen Systeminfektionen:

• Spam- und Phishing-E-Mails: Phishing ist die häufigste Methode, mit der Hacker Ransomware verbreiten.
• Leistungsabfall: Wenn die Knoten Ihrer IT-Infrastruktur langsamer als erwartet funktionieren, sollten Sie auf einen möglichen Befall mit Ransomware reagieren.
• Anhaltende verdächtige Anmeldeaktivitäten: Wenn regelmäßig fehlgeschlagene Anmeldeversuche von ungewöhnlichen Standorten und Geräten aus auf verschiedenen Konten erfolgen, ist es sehr wahrscheinlich, dass jemand versucht, sich unbefugten Zugriff auf die IT-Systeme Ihres Unternehmens zu verschaffen.
• Unbefugte Netzwerkscanner erkannt: Wenn Sie nicht wissen, wer den Netzwerkscan initiiert hat und zu welchem Zweck, sollten Sie dies untersuchen, da es sich um böswillige Aktivitäten handeln könnte.
• Mögliche Testangriffe: Hacker können einige leichte Angriffe auf bestimmte Knoten starten, um die Resilienz und Reaktionszeit des Schutzsystems Ihres Unternehmens zu überprüfen, bevor sie einen groß angelegten Angriff starten.
• Deaktivierung oder Entfernung von Sicherheitssoftware: Keine der Störungen des Schutzsystems sollte ignoriert werden, da selbst eine kurzfristige Fehlfunktion eine offene Lücke für eine Ransomware-Infektion bedeutet.
• Datenverschlüsselung auf einigen Knoten: Eine erfolgreiche Datenverschlüsselung auf einem beliebigen Knoten in Ihrem System deutet auf eine Sicherheitslücke in Ihrer Datensicherheit hin, die Hacker für schwerwiegendere Angriffe ausnutzen können.
• Bekannte Hacking-Tools erkannt: Falls Sie Anwendungen wie Microsoft Process Explorer, MimiKatz, IOBit Uninstaller und PC Hunter in der Umgebung Ihres Unternehmens bemerken, sollten Sie eine vollständige Überprüfung der Sicherheit von jedem Knoten durchführen.
• Ungewöhnliche Aktivitäten im Zusammenhang mit Active Directory: Es gibt einen bekannten Verwendungsfall , in dem Hacker das Remote Desktop Protocol (RDP) nutzten, um auf die geschützten AD-Server von Öl- und Gasanlagen zuzugreifen und die Ransomware Ryuk direkt in das AD-Anmeldeskript einzuschleusen.
• Versuche, Backups zu beschädigen: Backup-Speicherplattformen gehören zu den bevorzugten Zielen für Cyberangriffe. Jede verdächtige Aktivität im Zusammenhang mit Backup-Speichern, sei es auf physischen Festplatten oder in der Cloud, kann ein Anzeichen für einen potenziellen oder laufenden Ransomware-Angriff sein.

Täuschungsbasierte Erkennung

Genauso wie Hacker regelmäßig versuchen, die digitalen Bedrohungserkennungssysteme einer Organisation zu täuschen, haben IT-Sicherheitsspezialisten eine Methode entwickelt, um böswillige Akteure in die Falle zu locken. Eine der gängigsten Methoden ist der sogenannte Honeypot: ein Server oder Bereich in der IT-Umgebung einer Organisation, der Daten enthält, die für Hacker wertvoll erscheinen. Diese Umgebung ist jedoch vollständig von der Website isoliert und kann zur Überwachung und Analyse von AngriffsTaktiken verwendet werden.

Aufgrund der sich ständig weiterentwickelnden Bedrohungen nutzen Unternehmen jede verfügbare Option zur Sicherheit, um Verstöße und Datenverluste zu verhindern. Daher ist die Kombination verschiedener Methoden zur Erkennung von Ransomware gängige Praxis. Darüber hinaus ist es eine gute Strategie zur Erkennung und proaktiven Bekämpfung von Ransomware-Angriffen, die Taktiken der Angreifer zu verstehen und eine Infiltration zu verhindern. Im Folgenden finden Sie einige Empfehlungen zur Identifizierung und Verhinderung von Angriffen.

So identifizieren und verhindern Sie einen Angriff

Wir empfehlen Ihnen, die folgenden Maßnahmen zu ergreifen, um Ransomware-Angriffe zu verhindern. Außerdem haben wir Tipps hinzugefügt, wie Sie das Risiko von Datenverlusten verringern können, falls Ransomware in die Umgebung Ihres Unternehmens eindringt.

• Ermutigen Sie Ihre Mitarbeiter dazu:
  • Lernen Sie die häufigsten Anzeichen von Ransomware und anderer Malware kennen
  • Verwenden Sie sichere Passwörter und aktualisieren Sie diese regelmäßig
  • Überprüfen Sie Links und Anhänge, bevor Sie darauf klicken
  • Verstehen Sie, wie Phishing funktioniert, und überprüfen Sie die E-Mail-Adressen eingehender Nachrichten.

• Aktualisieren Sie Ihr System regelmäßig

Sie sollten Ihr Betriebssystem und wichtige Anwendungen mit Patches versehen und auf dem neuesten Stand halten. Installieren Sie Updates, sobald sie veröffentlicht werden. System-Updates und Sicherheitspatches dienen in der Regel dazu, Probleme früherer Versionen zu beheben und bekannte Schwachstellen Ihres Systems zu schließen.

• Überprüfen Sie Software von Drittanbietern

Bevor Sie Software von Drittanbietern installieren, überprüfen Sie zunächst, ob der Anbieter authentisch und vertrauenswürdig ist. Installieren Sie zu diesem Zweck eine Whitelisting-Software (z. B. Bit9, Velox, McAfee, Lumension), mit der Sie feststellen können, ob eine neue Anwendung sicher genug ist, um auf Ihrem System installiert und ausgeführt zu werden.

• Scannen Sie Ihre Infrastruktur regelmäßig

Installieren und verwenden Sie Anti-Malware-Software, die Sie über mögliche Bedrohungen informiert, potenzielle Schwachstellen identifiziert und Ransomware-Aktivitäten in Ihrer Infrastruktur erkennt. Mit modernen Anti-Ransomware-Tools können Sie Ihr gesamtes System auf vorhandene Viren und aktive Malware-Bedrohungen scannen. Darüber hinaus können solche Computerscans entweder auf Anfrage oder nach einem von Ihnen festgelegten Plan ausgeführt werden, wodurch sich der Verwaltungsaufwand für Sie minimiert.

• Erstellen Sie Honeypots

Ein Honeypot ist eine der effektivsten Sicherheitsmaßnahmen, mit denen Cyberkriminelle verwirrt und ihre Aufmerksamkeit von kritischen Dateien abgelenkt werden kann. Durch die Einrichtung eines Honeypots erstellen Sie ein gefälschtes Datei-Repository oder einen Server, der für Außenstehende wie ein legitimes Ziel aussieht und für Ransomware-Angreifer besonders verlockend erscheint. Auf diese Weise können Sie nicht nur Ihre Dateien schützen und einen Ransomware-Angriff schnell erkennen, sondern auch erfahren, wie Cyberkriminelle vorgehen. Nutzen Sie diese Daten und Erfahrungen dann, um den Schutz Ihres Systems vor zukünftigen Cyberangriffen zu verbessern.

• Beschränken Sie den Zugriff auf kritische Systeme und Anwendungen

wenden Sie das Prinzip der geringsten Privilegien an, wenn Sie Mitarbeitern Berechtigungen für Systeme erteilen. Dieses Prinzip besagt, dass einem Mitarbeiter nur Zugriff auf die Dateien und Systemressourcen gewährt werden sollte, die er für die effiziente Ausübung seiner Tätigkeit benötigt. Alle Aktionen oder Zugriffe, die für die Ausübung der Tätigkeit eines Mitarbeiters nicht erforderlich sind, sollten vom ADMIN untersagt werden, um versehentliche Infektionen zu vermeiden.

• Datensicherheit und Testen von Backups

Erstellen Sie Datenbackups und aktualisieren Sie diese regelmäßig. Verwenden Sie die 3-2-1-Regel , um den Schutz zu verbessern und eine erfolgreiche Wiederherstellung verschlüsselter Daten nach einem Ransomware-Angriff sicherzustellen. Die Regel besagt, dass Sie drei Kopien Ihrer Daten haben und diese auf zwei verschiedenen Medien speichern sollten, wobei eine davon außerhalb des Standorts aufbewahrt werden sollte. Führen Sie nach der Datensicherung Tests durch, um zu überprüfen, ob Ihre Backups funktionsfähig und wiederherstellbar sind. So können Sie Fehler vermeiden, die sonst während der Wiederherstellung des Systems aufgetreten wären.

Wie NAKIVO Ihnen helfen kann, Ihre Daten vor Ransomware zu schützen

Heute ist ein Ransomware-Angriff, der die Daten eines Unternehmens unzugänglich macht, nicht nur eine weitere Wahrscheinlichkeit, sondern eine Frage der Zeit. Der effizienteste Weg, um Datenverluste zu verhindern und Produktionsausfälle nach erfolgreichen Ransomware-Angriffen zu vermeiden, ist die Bereitstellung gültiger Backups für die Wiederherstellung.

Einige 93 % der Unternehmen, die keine Backups und Disaster Recovery-Pläne implementieren, gehen innerhalb eines Jahres nach einem globalen Datenverlust aus dem Geschäft. Auf der anderen Seite konnten 96 % der Unternehmen, die über eine zuverlässige Backup- und Wiederherstellungsstrategie verfügen, sich erfolgreich von Ransomware-Angriffen wiederherstellen.

NAKIVO Backup & Replikation ist eine Lösung für die Datensicherheit, mit der Sie einen zuverlässigen Schutz vor Ransomware implementieren und die Resilienz Ihres Unternehmens gegenüber Angriffen erhöhen können:

1. Erstellen Sie zuverlässige und anwendungskonsistente Backups Ihrer Daten.
2. Speichern Sie Backups vor Ort, senden Sie sie außerhalb des Standorts oder in der Cloud, um die 3-2-1-Regel zu befolgen und einen Single Point of Failure zu vermeiden.
3. Aktivieren Sie die Unveränderlichkeit für Backups, die in lokalen Linux-basierten Repositorys und/oder in der Cloud gespeichert sind, um sicherzustellen, dass Ihre Backup-Daten auch dann unverändert und verfügbar bleiben, wenn Ransomware die Backup-Infrastruktur angreift.
4. Aktivieren Sie die Verschlüsselung Ihrer Backup-Daten während der Übertragung und im Ruhezustand. Die Lösung verwendet den Verschlüsselungsstandard AES-256, um den Zugriff Dritter auf Ihre Backup-Daten zu verhindern.
5. Verwenden Sie Rollenbasierte Zugriffskontrolle (RBAC), um Zugriffsrechte für Mitarbeiter festzulegen und die Sicherheit von Backups zu verbessern.
6. Wenn ein Ransomware-Angriff die Originaldaten verschlüsselt, verwenden Sie Backups zur Wiederherstellung. Sie können vollständige VMs und physische Maschinen sofort als VMs wiederherstellen. Verwenden Sie Instant Granular Recovery , um einzelne Dateien und Anwendungsobjekte an ihren ursprünglichen oder benutzerdefinierten Standorten wiederherzustellen und so die Ausfallzeit noch weiter zu verkürzen.
7. Nutzen Sie Replikation, Automatisiertes Failover und Disaster Recovery-Orchestrierung für eine schnelle Verfügbarkeit von Systemen und Anwendungen.

Mit der NAKIVO-Lösung können Sie Backup- und Wiederherstellungsprozesse von einer einzigen Oberfläche aus steuern und automatisieren. Führen Sie Backups bis zu einmal pro Minute durch, um Datenverluste zu minimieren. Mit relevanten unveränderlichen Backups können Sie vermeiden, Lösegeld an Hacker zu zahlen, selbst wenn Ransomware Ihre Sicherheitssysteme umgeht und die Originaldaten erfolgreich verschlüsselt.

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition