BigDataIsWatchingYou

Ransomware: Gefahr für Gross und Klein. Tipps zur Prävention.

Ransomware: Gefahr für Gross und Klein. Tipps zur Prävention.
Ransomware-Angriffe nehmen weiter zu. Firmen aller Grössen können Opfer werden. Grund genug, dass Thema unter aktuellem Blickwinkel aufzunehmen und an wichtige Punkte zu erinnern.

Da Ransomware meist opportunistisch verbreitet wird (sprich, das Internet wird gescannt bis ein mögliches Opfer gefunden wird), reicht bereits ein ungesicherter Server, um mit dieser Gefahr konfrontiert zu werden. Somit handelt es sich bei Ransomware nicht nur um ein Problem für kleinere Firmen, sondern auch grosse Firmen mit ausgeweitetem Sicherheitsdispositiv können zum Opfer werden.

Die grosse Anzahl von Ransomware wird automatisch oder manuell über offene Fernzugriffe (z. B. RDP) in eine Infrastruktur eingeschleust. Die bekannteste Ausnahme hierzu ist GandCrab, eine Ransomware-as-a-Service, die hauptsächlich über Phising-Mails und Exploit-Kits verbreitet wird.

Ein traditioneller Ransomware-Angriff folgt oft den gleichen Schritten:

  1. Scannen der Infrastruktur auf offene RDP-Ports
  2. Brute-Force des Passworts um Zugriff auf den exponierten Server zu erhalten
  3. Installation und Ausführen der Ransomware
  4. Optional: automatische/manuelle Weiterverbreitung der Ransomware innerhalb der Infrastruktur

Da Ransomware, wie erwähnt, einem opportunistischen Verhalten folgt, können die Taktiken der Angreifer selbst gegenüber der eigenen Infrastruktur ausgeführt werden, um potentielle Sicherheitslücken zu schliessen, bevor diese auf bösartige Weise ausgenutzt werden. Das heisst: einen Portscan der öffentlich erreichbaren IPs durchführen und sicherstellen, dass nur die absolut nötigen Ports erreichbar sind. Alle Ports, welche nicht benötigt werden, sollten entsprechend geschlossen oder die Erreichbarkeit so restriktiv wie möglich eingeschränkt werden (z. B. durch source-IP Einschränkung).

Für den Fall der Fälle, dass trotz allen präventiven Massnahmen ein Ransomware-Ausbruch innerhalb des Unternehmens vorkommen sollte, ist ein Backup das wichtigste Tool für eine schnelle Behebung. Backups sollten mind. 1x täglich gemacht werden und über mehrere Iterationen vorhanden sein!

Eine ideale Backupstrategie soll folgendes enthalten:

  • Iteratives Backup 1x pro Tag (zurück bis zum letzten kompletten Backup)
  • Komplettes Backup 1x pro Woche (mind. 4 Wochen zurück)
  • Komplettes Backup 1x pro Monat (mind. 12 Monate zurück)
  • Komplettes Backup 1x pro Jahr (so viele wie möglich)
  • Komplettes Backup auch offline (zumindest eines auf einem read-only Medium)

Um einen Ransomware-Befall möglichst schnell zu beheben, muss auch das Wiederherstellen von Hosts-, Server- und Client-Geräten geübt sein. Mindestens 4x pro Jahr sollte ein Server ab Backup wiederhergestellt werden, um sicherzustellen, dass die Backuplösung funktioniert, das Vorgehen bekannt ist und auch alle nötigen Daten enthalten sind.

Tipps zur Ransomware-Prävention

1.  Fernzugriffe sichern

  • Source-IP-Einschränkungen auf Firewalls
  • Fernzugriff nur via VPN
  • Keine Fernzugriffe aus dem Internet erlauben (ein Umschreiben der Service-Ports ist NICHT ausreichend!)
  • Account Lockout Policies definieren, so dass Benutzeraccounts automatisch nach X fehlgeschlagenen Loginversuchen gesperrt werden.

2.  Planung für den Fall, dass Ransomware doch zuschlägt

  • Backups täglich machen und über lange Zeit aufbewahren.
  • Wiederherstellen von Clients/Servern/etc. ab Backups regelmässig testen (4x pro Jahr).
  • Business Continuity Management: Service auf einem anderen Host anbieten, bis der betroffene Server wiederhergestellt ist.
  • Windows: Volume Shadow Copies aktivieren.
  • Windows: vssadmin abschalten/sperren (überschriebene Files können ab den Shadow Copies wiederhergestellt werden).

3.  Schulung und Awareness

  • ALLE Mitarbeiter schulen, damit diese Phishing- und Spam-Mails selbstständig erkennen können.
  • Phishing-Analyse-Stelle gründen: Mitarbeitern die Möglichkeit geben, verdächtige E-Mails an eine Person mit entsprechendem Wissen weiterzuleiten, um eine abschliessende Beurteilung zu erhalten.
  • Browser durch Erweiterungen (Adblock/uBlock Origin/etc.) sichern, so dass bösartige Websites nicht angezeigt werden.

4.  Spezielle Infrastruktur

  • Webproxy um bösartige Inhalte zu blockieren.
  • Mailproxy um bösartige Mails/Attachments herauszufiltern und zu blockieren.
  • Makros in MS Office und ähnlichen Software-Paketen deaktivieren. Den MS Office Viewer installieren, damit Dokumente auch ohne Makros angeschaut werden können.
  • Patches rechtzeitig einspielen.
  • Das Netzwerk segmentieren.
Was Sie noch interessieren könnte
Unterstützung durch Incident Response Services
Wenn ein Ransomware-Angriff stattgefunden hat, kann das Team vom Incident Response Center helfen, den Schaden einzugrenzen.
Was macht der Security-Analyst bei einem Ransomware-Angriff?
Blogserie in drei Teilen liefert Einblicke in den Alltag des Security Operations Centers.