Mit etwas fortgeschrittener Vorbereitung können Sie einen Ransomware-Angriff überleben

Diese Spalte ist in einem wöchentlichen Newsletter mit dem Titel IT Best Practices verfügbar. Klicken Sie hier, um sich anzumelden.  

Sie wissen, dass es schlecht ist, wenn eine Welle von Cyberkriminalität Opfer aus US-Polizeidienststellen macht. Strafverfolgungsbehörden in mindestens sieben Bundesstaaten wurden von Cyber-Angreifern mit Ransomware erpresst. Daten auf Abteilungscomputern wurden mit Malware verschlüsselt und als Geiseln gehalten, mit der Forderung, ein Lösegeld in Bitcoins zu zahlen. Viele der Agenturen waren es nicht gewohnt, Kriminellen nachzugeben, weigerten sich zu zahlen und verloren anschließend für immer den Zugang zu ihren Informationen.

Cyberkriminelle haben auch US-amerikanische Krankenhäuser ins Visier genommen. In einem hochkarätigen Fall verlor ein kalifornisches Krankenhaus eine Woche lang den Zugang zu seinen kritischen Patientenakten, bis ein Lösegeld im Wert von etwa 17.000 US-Dollar gezahlt wurde. Experten schätzen, dass diese spezielle Einrichtung in nur einer Abteilung bis zu 100.000 US-Dollar pro Tag verloren hat, weil sie ohne Zugriff auf ihre Daten keine CT-Scans durchführen konnte.

Ransomware betreibt weltweit einen Wall und fordert sowohl von Einzelpersonen als auch von Unternehmen einen enormen Tribut. Das Lösegeld ist, wenn es ausgezahlt wird, nur die Spitze des Eisbergs, wenn es um die Kosten des Angriffs geht. Die tatsächlichen Kosten können in Bezug auf Produktivitätsverluste und Geschäftsmöglichkeiten, die Ressourcen für die Reaktion auf den Angriff sowie die Reparatur oder den Austausch betroffener Systeme ermittelt werden.

Große ausländische Verbrechersyndikate, die weltweit tätig sind, sind für die meisten Angriffe verantwortlich. Viele der Kampagnen hinter Ransomware-Angriffen sind industrieller Natur. Beispielsweise haben McAfee Labs-Forscher allein im zweiten Quartal 2015 mehr als 4 Millionen Ransomware-Proben gesehen. Symantec berichtet, dass innerhalb von 18 Tagen nur eine Ransomware-Variante 500.000 Mal erkannt wurde. Die Angriffe sind für die Kriminellen ziemlich profitabel. McAfee schätzt, dass die Täter monatlich zwischen 10 und 50 Millionen US-Dollar von Opfern auf der ganzen Welt sammeln.

Es gibt Möglichkeiten, Ihre Systeme zu schützen, um zu verhindern, dass Sie das nächste Opfer werden, oder um zumindest die Auswirkungen des Angriffs abzuschwächen. Sie müssen jedoch handeln, bevor ein Angriff erfolgt. Forscher sagen, dass es weniger als 5 Minuten dauern kann, ab dem Zeitpunkt, an dem die Malware auf ein System gelangt, bis zu dem Zeitpunkt, an dem Primärdateien verschlüsselt, Sicherungsdateien gelöscht und die Forderung nach Lösegeld dargestellt werden.

Das heißt, hier sind einige Schritte, um einen Ransomware-Angriff zu überleben:

Planen Sie jetzt Ihre Antwort - Bei den meisten Arten von Ransomware-Angriffen zählen Minuten und Sekunden, sodass die Zeit für die Planung der Reaktion lange vor einem Angriff liegt. Experten empfehlen die Entwicklung eines Vorfallsreaktionsplans, der für diese Art von Angriff spezifisch ist. Der Plan sollte Rollen, Verantwortlichkeiten und Maßnahmen enthalten, die zu ergreifen sind, sobald die Organisation von einem aktiven Angriff Kenntnis erlangt.

Sichern Sie Ihre Daten - Ransomware-Angriffe sind dafür bekannt, aktuelle Daten zu verschlüsseln und Sicherungsdaten zu löschen, wo immer sie erreichbar sind. Cryptolocker verschlüsselt Dateien auf allen zugeordneten Laufwerken. Dies umfasst externe Geräte wie USB-Sticks, Sicherungsdienste wie Carbonite und Cloud-Dateispeicher, denen ein Laufwerksbuchstabe zugewiesen wurde. Stellen Sie sicher, dass Backups nicht über Festplatten-Mounts von Endpunkten aus zugänglich sind, da sie auch verschlüsselt werden.

Gary Warner, Chief Threat Scientist bei PhishMe, empfiehlt, mehrere serialisierte Backups aufzubewahren, falls neuere beschädigt oder verschlüsselt werden. Wenn Sie Ihre Daten aus den letzten Sicherungen wiederherstellen können, ist der Angriff wirklich kein Problem. Gute Backups sind praktisch die einzige Möglichkeit, sich von einem Angriff zu erholen, wenn Sie nicht das Risiko eingehen möchten, das Lösegeld zu zahlen, und hoffen, dass der Angreifer den Entschlüsselungsschlüssel bereitstellt. (Denken Sie daran, dass die Zahlung des Lösegelds keine Garantie dafür ist, dass Sie den Entschlüsselungsschlüssel erhalten oder dass er funktioniert.)

Halten Sie Ihre Antivirensoftware auf dem neuesten Stand - Alle großen Anbieter von Antivirensoftware forschen an Ransomware, um mit den sich ständig ändernden Bedrohungen Schritt zu halten. AV-Signaturen sind naturgemäß immer einen Schritt hinter den neuesten Varianten zurück, sollten jedoch gut genug sein, um einen hohen Prozentsatz der Angriffsversuche zu stoppen.

Überprüfen Sie E-Mails auf Phishing / Malware - Der Verizon Data Breach Incident Report 2016 besagt, dass E-Mail-Nachrichten mit böswilligen Anhängen oder Links eine wichtige Möglichkeit für die Installation von Ransomware darstellen. FireEye bestätigt, dass die meisten Ransomware per E-Mail geliefert werden. Daher ist es wichtig, eingehende E-Mails zu überprüfen und scheinbar Phishing-Nachrichten oder böswillige Anhänge herauszufiltern. Es ist besonders wichtig, nach ausführbaren Dateien zu filtern. Einige Phishing-Nachrichten verwenden Täuschung, indem ausführbare Dateien als normale PDF-Dateien erscheinen.

Bringen Sie den Menschen bei, nicht auf Phishing-Versuche hereinzufallen - Der Mensch ist das schwache Glied. Wir sind leichtgläubig und vertrauensvoll und verlieben uns in Social-Engineering-Tricks, mit denen wir die Phishes öffnen und anklicken können, die uns in den Weg kommen. Bringen Sie Ihren Mitarbeitern bei, sich ihrer Handlungen bewusst zu sein, und helfen Sie ihnen, verdächtige Phishing-Nachrichten zu erkennen, damit sie die Ransomware überhaupt nicht öffnen.

Authentifizieren Sie die E-Mail-Quellen - Neben dem Scannen eingehender E-Mails auf Bedrohungen können Sie mehr Vertrauen in die E-Mails gewinnen, die Ihre Benutzer erhalten, indem Sie die Absender von Nachrichten mithilfe von Technologien wie DMARC (Domain Message Authentication Reporting and Conformance), DKIM (DomainKeys Identified Email) und SPF (Sender Policy Framework) authentifizieren. . (Siehe DMARC wirkt sich positiv auf die Reduzierung gefälschter E-Mails und die Implementierung von DMARC in Ihrem Unternehmen aus.)

Bereiten Sie Ihre Verteidigungssysteme vor - Sicherheitsforscher haben viele Indikatoren entwickelt, mit denen Sie in Ihre Verteidigungssysteme eindringen können, um Aktivitäten im Zusammenhang mit Ransomware zu blockieren oder unter Quarantäne zu stellen. Es gibt zahlreiche Quellen für Informationsfeeds, darunter Sicherheitsanbieter, Branchen-ISACs (Information Sharing and Analysis Center) und staatliche Sicherheitsbehörden. Verschiedene Listen von Informationsquellen finden Sie unter http://thecyberthreat.com/cyber-threat-intelligence-feeds/ und http://thecyberthreat.com/government-cyber-intelligence-sources/.

Verwenden Sie Endpoint Protection-Lösungen - Ransomware landet normalerweise auf Endbenutzergeräten. Schützen Sie sie daher mit Endpoint Protection-Anwendungen. Zahlreiche Lösungen in diesem Bereich reichen vom Sandboxen verdächtiger Software bis zum Ausführen aller Anwendungen in einer virtuellen Maschine, sodass sie ihre Aktionen nicht auf ein einziges Gerät übertragen können. Wenn aus Netzwerksicht festgestellt wird, dass ein Endpunkt kompromittiert ist, sollte er so schnell wie möglich unter Quarantäne gestellt werden. Dies kann dazu beitragen, dass die Malware keine Auswirkungen auf freigegebene Dateien hat.

Haben Sie einen Ransomware-Notfallwiederherstellungsplan - Für den Fall, dass ein Angriff erfolgreich ist und Dateien erfolgreich verschlüsselt, gelöscht oder beschädigt werden kann, benötigen Sie einen Plan zur Wiederherstellung nach dem Angriff. Da Sie nicht wissen, ob der Angriff versteckte latente Software auf Ihren Systemen verursacht hat, sollten Sie Systeme nach Möglichkeit ersetzen, anstatt sie zu reparieren. Berücksichtigen Sie auch die Auswirkungen auf Ihr Unternehmen, wenn Sie Daten aus einer älteren Sicherung wiederherstellen müssen oder die Daten überhaupt nicht wiederherstellen können.

Im Fall von Ransomware ist das alte Sprichwort "Eine Unze Prävention ist ein Pfund Heilung wert" durchaus angemessen. Der beste Weg, um einen Angriff zu überleben, besteht darin, zunächst gründlich darauf vorbereitet zu sein.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.