Mai 2021, Stephan Tschanz
Seit 2021 haben kompromittierte Remote Zugänge Phishing E-Mails als Einfallstor Nr. 1 für Ransomware überholt [4].
Der Post «Ransomware – verbreitet und unterschätzt» zeigt eine Übersicht zum Thema Ransomware, dessen Stand, Verbreitung und Risiko für Unternehmen. Dies mit einem Fokus auf Schweizer KMU. In diesem Post geht es nun um vorbeugende Massnahmen, um das Risiko eines Angriffs zu reduzieren, sowie den potenziellen Schaden eines Befalls in Grenzen zu halten.
Massnahmen gegen Ransomware Angriffe
Die meistgenutzten Einfallstore für Ransomware im ersten Quartal 2021 sind kompromittierte Remote Access Zugänge (z.B. RDP) und Phishing E-Mails. Der dritte Platz wird von ausgenutzten Software-Schwachstellen via Exploit-Kits eingenommen [4].
- Account-Management und -Sicherung: Zwei Faktor Authentifizierung (2FA) überall konfigurieren, Least Privilege Prinzip anwenden, regelmässige Prüfung der vergebenen Zugänge. RDP Zugänge sollten ausschliesslich über ein VPN und mit 2FA zugelassen werden [7].
- Cyber Security Awareness im Unternehmen kontinuierlich thematisieren, die Mitarbeitenden im sicheren Umgang mit E-Mails und Browsern ausbilden [1],[7].
- Bekannte, gefährliche E-Mail-Attachements filtern, ebenso Archiv Dateien und Dateien mit Makros, angepasst auf die Bedürfnisse des Unternehmens [3].
- Asset Management der Hard- und Software: Update und Vulnerability Management aufsetzen, Inventar der Hard- und Software ständig aktualisieren, Updates zeitnah installieren [1],[7].
Massnahmen, um das Schadensausmass zu begrenzen
Haben die Angreifer Zugriff auf einen Computer im Unternehmensnetz, versuchen sie in einem nächsten Schritt weitere Zugänge zu erlangen, insbesondere Accounts mit Administrationsprivilegien (Account-Harvesting, z.B. mit Mimikatz [4],[8]). So breiten sich die Angreifer lateral im Unternehmen aus, bis sie sich dazu entscheiden, Daten zu exfiltrieren und/oder zu verschlüsseln, um anschliessend ihre Forderungen zu stellen.
- Account-Management und -Sicherung: Siehe Punkt 1 oben. Sind privilegierte Accounts z.B. mit 2FA gesichert, erschwert bis verunmöglicht dies dem Angreifer, sich im Unternehmensnetz auszubreiten [7].
- Sicherungskopien und -konzept anlegen: Daten zyklisch und auch offline sichern, System Images und Snapshots der wichtigen Systeme periodisch anlegen, prüfen und offline verstauen. Neuaufsetzen dieser Systeme und Wiederherstellung der Daten periodisch testen und üben [1], [7]
- Recovery-Plan anlegen: Neben der Sicherungsstrategie müssen Massnahmen geplant werden, um das operative Geschäft möglichst aufrechtzuerhalten und die IT-Systeme wieder in Betrieb zu nehmen. Wie die Daten nach der Wiederherstellung der IT-Systeme auf den aktuellen Stand gebracht werden, muss ebenfalls bedacht werden [7]. Wie soll mit den Kunden, Behörden und Partnern kommuniziert werden?
Es gibt viele weitere sinnvolle Massnahmen je nach Situation, Unternehmen und eingesetzter IT-Systeme. In den Referenzen und Links unten findet ihr weitere Informationen zum Thema. Wer sich darin vertiefen möchte, dem empfehle ich den aktuellen Bericht Ransomware – Bedrohungslage, Prävention & Reaktion 2021 vom deutschen Bundesamt für Sicherheit in der Informationstechnik.
Die oben genannten Massnahmen sind auch sinnvoll, um sich auf eine Reihe anderer Gefahren vorzubereiten.
Referenzen und Links
- Nationales Zentrum für Cybersicherheit NCSC, Ransomware
- NCSC, Ransomware – Was nun?
- Aktualisierte Liste von Dateitypen, vom NCSC empfohlen zur Blockierung in E-Mail Anhängen: blocked-filetypes.txt
- Ransomware Attack Vectors Shift as New Software Vulnerability Exploits Abound
- Bekannte Verschlüsselungstrojaner, Decrypters, Selbsthilfe bei einem Befall mit bekannter, untersuchter Ransomware: https://www.nomoreransom.org/de/index.html
- 30 Ransomware Prevention Tips – fokussiert auf Windows Systeme.
- Ransomware – Bedrohungslage, Prävention & Reaktion 2021, CERT-Bund, Bundesamt für Sicherheit in der Informationstechnik
- Mimikatz, Wikipedia, Tool um Accounts in live Windows Umgebungen zu hacken
KnowGravity bietet massgeschneiderte Cyber Security Services – einen Überblick können Sie sich hier machen: „Cyber Security“.
Gerne konzipieren wir mit Ihnen Ihr individuelles Cyber Security Konzept und setzen es gemeinsam um.