Ein Sicher­heits­un­ter­nehmen [1] hat das Verhalten tausender Samples von weit verbrei­teter Ransom­ware unter­sucht und identi­sche Muster entdeckt. Durch die Erkennt­nisse ist es Unter­nehmen möglich, das Risiko einer Infek­tion zu senken und die Ausbrei­tung einer Attacke zu blockieren.
Fbi spy malware
© Pixbay.com/RT
Im Rahmen der Studie hat das CyberArk Research Lab mehr als 23.000 im Netz aktive Samples weit verbrei­teter Ransomware-Familien analy­siert, um Erkennt­nisse über das typische Verhalten der Schad­soft­ware zu erhalten. Aus den Verhal­tens­mus­tern wurden Strate­gien abgeleitet, die dabei helfen, die Auswir­kungen eines Angriffs einzu­dämmen.

Ransom­ware ist eine häufige und zuneh­mende Gefahr, vor allem für Unter­nehmen. Im Jahr 2015 wurden fast 407.000 Versuche von Ransomware-Infektionen regis­triert und mehr als 325 Millionen US-Dollar von den Opfern erpresst - Tendenz steigend. Um charak­te­ris­ti­sche Merkmale bei der Infek­tion, der Verschlüs­se­lung und beim Entfernen heraus­zu­finden, hat das CyberArk Research Lab mehr als 30 weit verbrei­tete Malware-Familien, darunter auch Crypto­lo­cker, Petya und Locky analy­siert.

Die Studie »Analyse von Ransom­ware und mögliche Strate­gien zur Eindäm­mung« [1] hat folgende Schwer­punkte:
  • Unter­su­chung des Ablaufs der Infek­tion im Netzwerk und Analyse der Gründe bezie­hungs­weise Auslöser für die Ausfüh­rung von Ransom­ware bis hin zur Verschlüs­se­lung.
  • Diskre­panzen und Gemein­sam­keiten bei der Ausfüh­rung von Ransom­ware in Abhän­gig­keit von Zugriffs­rechten auf das lokale Adminis­tra­tor­konto, das Benut­zer­konto oder Verschlüsselungs-Keys.
  • Entwick­lung von Eindämmungs- und Schutz-Strategien, unter Einbe­zie­hung von Endpunkt-Security, Best-Practice-Backup-Vorgehensweisen und Anwen­dungs­steue­rung, um das Risiko von Ransomware-Infektionen für Unter­nehmen zu senken.
Erkennt­nisse, die was bringen

Eine Schlüs­se­l­er­kenntnis war, dass der Schutz zu 100 Prozent effektiv ist, wenn die lokalen Adminis­tra­tor­rechte entfernt werden und zugleich eine Anwen­dungs­steue­rung mit Greylis­ting aktiv ist. Die hohe Bewer­tung dieses Ansatzes ergab sich im Vergleich mit der Effizienz der anderen Eindäm­mungs­stra­te­gien - unter anderem mit tradi­tio­neller Antiviren-Software.

Die Experten fanden weiter heraus, dass es eine große Zahl moderner Malware gibt, die lokale Adminis­tra­tor­rechte erfor­dert, um richtig zu funktio­nieren. Daneben existiert aber auch eine große Zahl, die diese Rechte nicht braucht. In Zahlen: 70 Prozent der Ransom­ware versu­chen, sich Adminis­tra­tor­rechte anzueignen. Erhielt sie die Rechte nicht, wurden davon aber trotzdem 90 Prozent ausge­führt.

Es zeigt sich, dass sich Ransom­ware unter­schied­lich verhält. Unter­nehmen sollten daher lokale Adminis­tra­tor­rechte stets entfernen und mit der Anwen­dungs­steue­rung kombi­nieren, um eine Verschlüs­se­lung durch die Schad­soft­ware zu verhin­dern.

»Ransom­ware stellt sich für Angreifer als zuver­läs­sige und geeig­nete Methode dar, Unter­nehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder - in der Hoffnung die Daten wieder­zu­be­kommen - den Kidnapper zu bezahlen«, sagt Michael Kleist, Regional Director DACH bei CyberArk in Düssel­dorf. »Bei der Analyse des typischen Verhal­tens von Ransom­ware erhielten wir entschei­dende Erkennt­nisse darüber, was man gegen diese Attacken unter­nehmen kann. Die klassi­schen Antiviren-Lösungen sind bei der Abwehr von Ransom­ware nicht effektiv. Es ist deshalb nötig, einen proak­tiven Ansatz bei der Absiche­rung von Endpunkten und Servern zu verfolgen, denn nur so lässt sich ein Unter­nehmen gegen Malware schützen, die sich rasant verbreitet und verän­dert.«

Unter­su­chungen des CyberArk Research Lab legen ihren Schwer­punkt auf gezielte Attacken auf Unter­neh­mens­netze. Dabei kommen die Methoden, Werkzeuge und Techniken von Hackern genauso zum Einsatz wie Techniken und Methoden, solche Attacken zu entde­cken und einzu­dämmen.

Empfeh­lungen

Auf der Grund­lage seiner Studie empfiehlt das Team von CyberArk Labs die Anwen­dung der folgenden Eindäm­mungs­maß­nahmen, um die mit Ransom­ware verbun­denen Risiken ohne negative Auswir­kungen auf die Produk­ti­vität des Unter­neh­mens zu senken.
  • Führen Sie eine Greylist für Anwen­dungen auf Benut­ze­rend­punkten ein, um unbekannte Anwen­dungen (z. B. neue Ransomware-Instanzen) daran zu hindern, auf das Internet zuzugreifen und die zur Verschlüs­se­lung Ihrer Dateien erfor­der­li­chen Lese-, Schreib- und Änderungs­be­rech­ti­gungen zu erlangen.
  • Führen Sie eine White­list für Anwen­dungen auf Servern ein, um die Sicher­heit dieser Vermö­gens­werte zu maximieren.
  • Entziehen Sie lokale Adminis­tra­tor­rechte von Standard­be­nut­zer­konten, um die Angriffs­fläche zu reduzieren.
  • Lassen Sie die Konto­be­rech­ti­gungen für bestimmte legitime Aufgaben automa­tisch erwei­tern, damit die Benutzer produktiv bleiben, ohne über unnötige Berech­ti­gungen zu verfügen.
  • Nutzen Sie Viren­schutz­pro­gramme, um sich vor allge­meiner und bekannter Malware zu schützen
  • Sichern Sie die Daten von Endpunkten und Servern häufig, um eine effek­tive Disaster Recovery zu gewähr­leisten
[1] CyberArk, ein in Petach Tikvah (Israel) ansässiges Sicherheitsunternehmen, hat eine neue, detaillierte Studie zu Ransomware veröffentlicht.