UPDATE (30. Okt. 2020): Wir haben zusätzliche Schutz- und Isolierungsstrategien in den Bericht aufgenommen, die im Kampf gegen Ransomware die Transparenz und Abwehr in den Mittelpunkt stellen. An den bisher im Bericht aufgeführten Empfehlungen hat sich nichts geändert, neu hinzugekommen sind folgende Strategien:

• Konfigurationseinstellungen für Windows-Firewalls, die bestimmte Binärcodes hindern, auf Endpunkten ausgehende Verbindungen einzurichten
• Schritte zur Isolierung von Domain-Controllern und zur Planung ihrer Wiederherstellung
• Richtlinien zur proaktiven Prüfung und Überwachung von GPO-Berechtigungen

Ransomware ist eine globale Bedrohung, die für Unternehmen in allen Branchen relevant ist. Ein erfolgreicher Ransomware-Angriff kann für ein Unternehmen einschneidende Folgen haben, etwa den Verlust des Zugangs zu Daten und Systemen sowie Betriebsausfälle. Zur möglichen Ausfallzeit kommen nicht eingeplante Ausgaben für Behebung und Wiederherstellung sowie die Implementierung neuer Sicherheitsmaßnahmen und -kontrollen hinzu – und alles zusammen kann ein Unternehmen an den Rand seiner Möglichkeiten bringen. Ransomware ist in den letzten Jahren in der Gunst der Angreifer gestiegen, und das ist nicht verwunderlich, wenn man bedenkt, wie einfach eine solche Kampagne umzusetzen ist – und wie lukrativ sie sein kann.

In unserem neuesten Bericht Strategien zum Schutz vor Ransomware und zur Eindämmung von Angriffen: Praktischer Leitfaden für den Schutz, die Härtung und die Isolierung von Endpunkten beschreiben wir Maßnahmen, mit denen Unternehmen ihre Umgebung proaktiv gegen die Auswirkungen eines Ransomware-Angriffs absichern können. Diese Empfehlungen können Unternehmen auch dabei helfen, die wichtigsten Schritte zur Isolierung und Eindämmung eines Ransomware-Angriffs zu priorisieren, wenn dieser bereits begonnen hat.

In der Regel kommt bei Ransomware-Angriffen eine der folgenden beiden Methoden zum Einsatz:

1. Manuelle Verbreitung: Ein Angreifer dringt in eine Umgebung ein und verschafft sich Administratorrechte für die Systeme.
   • Die Zielsysteme werden manuell verschlüsselt.
   • Die Verschlüsselungsanwendungen werden mithilfe von Windows-Batchdateien (Einbinden der C$-Freigaben, Kopieren der Verschlüsselungsanwendung und Ausführen mit dem PsExec-Tool von Microsoft) in der gesamten Umgebung implementiert.
   • Die Verschlüsselungsanwendungen werden mithilfe von Microsoft-Gruppenrichtlinienobjekten (GPO) implementiert.
   • Die Verschlüsselungsanwendungen werden mithilfe der beim Opfer vorhandenen Softwareinstallationstools implementiert.
2. Automatisierte Verbreitung:
   • Die Anmeldedaten oder Windows-Token werden von einem Datenträger oder aus dem Arbeitsspeicher gestohlen.
   • Es werden vertrauenswürdige Beziehungen zwischen Systemen ausgenutzt und Tools wie Windows Management Instrumentation (WMI), SMB oder PsExec verwendet, um sich in den Systemen festzusetzen und Schadcode auszuführen.
   • Es werden Angriffsmethoden auf Schwachstellen genutzt, gegen die noch keine Patches installiert wurden (z. B. EternalBlue – siehe Microsoft-Sicherheitsbulletin MS17-010).

Der Bericht enthält mehrere technische Empfehlungen, mit denen Unternehmen das Risiko eines Ransomware-Angriffs senken und seine Ausbreitung eindämmen können, darunter:

• Endpunktsegmentierung
• Schutz vor gängigen Exploit-Verfahren
• Zugriffsbeschränkungen für Konten mit privilegierten Zugriffsrechten und Service Accounts.
• Schutz von Klartextpasswörtern

Wenn Sie diesen Bericht lesen, um Ihr Unternehmen bei der Bekämpfung eines aktuellen Ransomware-Angriffs zu unterstützen, müssen Sie genau ermitteln, wie die Ransomware in Ihre Umgebung eingeschleust und dort installiert wurde, um die Abwehrmaßnahmen darauf abzustimmen. Der Leitfaden wird Ihnen sicher dabei helfen.

Zum Bericht

* Hinweis: Die Empfehlungen in diesem Bericht unterstützen Unternehmen dabei, das Risiko eines Ransomware-Angriffs zu senken und seine Ausbreitung einzudämmen. Der Bericht behandelt jedoch nicht alle Aspekte der Abwehr von Ransomware-Angriffen. So werden folgende Punkte nicht besprochen: Untersuchungen zur Entdeckung und Entfernung von Backdoors (Angreifer installieren oft mehrere Backdoors in der Umgebung des Opfers), Kommunikation und Verhandlung mit Angreifern, Wiederherstellung der Daten nach Erhalt des Entschlüsselungscodes.