Cyren Security Blog

Ransomware von Phishing übertroffen, aber noch nicht ganz ausgemerzt

von John Callon

Email SecurityPhishing

Mehreren jüngsten Umfragen zufolge hat Phishing Ransomware als größtes Sicherheitsproblem für IT- und Sicherheitsmanager übertroffen. Keine einzige Ransomware steht so im kollektiven Bewusstsein wie Locky im Jahr 2016. Aber lassen Sie sich nicht täuschen: Ransomware geht es weiterhin allzu gut. Jüngste zielgerichtete Ryuk-Angriffe haben Unternehmen verstärkt ins Visier genommen, wie z. B. die Infektion bei Tribune Publishing in Chicago im Dezember.

In den Umfragen von Osterman Research gaben 20 Prozent der Unternehmen, die Office 365 verwenden, und 17 Prozent aller Unternehmen an, dass sie 2018 mindestens einem erfolgreichen Ransomware-Angriff ausgesetzt waren. Damit steht Ransomware bei der Anzahl der betroffenen Unternehmen hinter Phishing, Virus-/Wurminfektionen, erfolgreichen DoS-Angriffen und durch einen Mitarbeiter oder Auftragnehmer gestohlenen oder verlorenen Daten (zwei separate Kategorien) an sechster Stelle. Weil eine erfolgreiche Ransomware-Attacke aber für das Unternehmen potenziell katastrophale Folgen haben kann, erfasst dieses Ranking das Risiko nicht vollständig. Die Vorstellung, dass „nur“ ein Fünftel der Unternehmen eine Ransomware-Sicherheitsverletzung verzeichnete, reicht aus, um jedem Sicherheitsmitarbeiter den Schweiß auf die Stirn zu treiben.

Es scheint daher angebracht zu sein, die grundlegende Checkliste noch einmal durchzugehen, um nicht ein weiteres Opfer der Ransomware-Statistik zu werden. Ehrlich gesagt gibt es keine Patentlösung, die allein alle Bedrohungen stoppt. Sie, Ihr Unternehmen und Ihre Familie und Freunde können aber einige Schritte unternehmen, um die Bedrohung erheblich zu minimieren. Unsere Best Practices finden Sie unten. Um sich etwas ausführlicher zu informieren, besuchen Sie unsere Seite mit Ransomware-Ressourcen.

Die Grundlagen kennen

Ein altes Sprichwort sagt: „Vorbeugen ist besser als Heilen.“ Als Teil jedes Sicherheitsprotokolls sollten Sie diese „Einführung in die Cybersicherheit“-Schritte in Ihre persönliche und Geschäftsroutine integrieren.

Dateien mindestens einmal am Tag per Backup sichern (oder alle paar Stunden): Sollte Ihr Computer infiziert werden, können Sie mit einem Backup die Festplatte bereinigen und kritische Software und Dokumente neu installieren, ohne dass Sie Lösegeld zahlen oder einen neuen Computer kaufen müssen.

Neuere Kopie der Dateien auf einem System speichern, das nicht mit Ihrem Computer verbunden ist: Wie wir bei Locky gesehen haben, hat sich die Infektion schnell auf vernetzte Computer und Systeme ausgebreitet. Sichern Sie Dateien und Systeme mehrmals pro Woche in einem separaten Netzwerk.

Schulung zu Social Engineering: Bedrohungen beginnen nicht unbedingt mit einer E-Mail. Cyberkriminelle rufen inzwischen Mitarbeiter auch direkt an und geben vor, sie gehören zu einem Helpdesk- oder Systemteam und benötigen Zugang zu wichtigen Daten einschließlich Dokumenten, Benutzernamen und Passwörtern.

Erkennen, dass ALLE Mitarbeiter ein Ziel darstellen: In der Welt der Cyberkriminalität sind der Praktikant und der Vorstandsvorsitzende gleichermaßen mögliche Ziele, denn beide können unterschiedliche Zugänge auf interne Systeme und Netzwerke bereitstellen. Schulen, informieren und schützen Sie daher alle Mitarbeiter, nicht nur die mit Zugang zu Personal schulen, NIEMALS Makros zu aktivieren: Wenn Sie nicht mit Softwareentwicklern zusammenarbeiten, die regelmäßig Visual Basic verwenden, muss niemand in Ihrem Unternehmen Makros verwenden. Darüber hinaus erhalten die meisten Mitarbeiter niemals ein Dokument, zu dessen Funktion Makros nötig wären. Schulen Sie Mitarbeiter darin, auf Dateien und eine Popup-Box zu achten, die etwa Folgendes anzeigt: „Sicherheitswarnung: Makros wurden deaktiviert – Optionen.“ Ermutigen Sie sie, die E-Mail zu ignorieren und sofort an das Sicherheitsteam weiterzuleiten und zu dokumentieren.

Makro-Einstellungen in Office-Software deaktivieren: Stellen Sie die Standardeinstellungen bei Microsoft Office-Anwendungen der Mitarbeiter so ein, dass Makros deaktiviert sind.

Mitarbeiter, Freunde und Familienmitglieder erinnern, keine unaufgefordert gesendeten oder unerwarteten Anhänge zu öffnen: Viele Arten von Malware einschließlich Ransomware sind oft in Anhängen eingebettet.

Verbesserter Schutz

Sicherheit ist eine steigende Geschäftsausgabe. Die meisten Unternehmen beschäftigen zwar eine begrenzte Zahl an Cybersicherheits-Fachleuten, aber leider ist es im Hinblick auf die Ressourcen nicht immer realistisch (oder vernünftig), dass ein Unternehmen seinen eigenen Sicherheitsapparat einrichtet, insbesondere angesichts der äußerst variablen und komplexen Cyberbedrohungen von heute. Bei der Auswahl eines Cybersicherheits-Anbieters sollten Unternehmen ihre E-Mail-Sicherheit unter Berücksichtigung der Tatsache evaluieren, dass mehr als 90 % aller Cyberangriffe mit E-Mail beginnen. Gateways schützen E-Mail und Infrastruktur mit Echtzeit-Antispam- und Antimalware-Schutz, sodass Bedrohungen die Endbenutzer nicht erreichen. Wir haben diesen Leitfaden für Einkäufer von Sicherheitslösungen sowie eine Version speziell für Office 365-Administratoren erstellt, falls Sie eine Checkliste der abzudeckenden Punkte und der bei der Auswahl Ihres Anbieters zu stellenden Fragen suchen.

„Gut genug“ reicht nicht mehr aus

Die Tatsache, dass E-Mails (und nicht nur Phishing-E-Mails) immer hinterhältiger werden, unterstreicht die Bedeutung fortgeschrittener Sicherheitsfunktionen, wie z. B. Inline-Netzwerk-Sandboxing innerhalb Ihrer E-Mail-Sicherheitslösung. Und es reicht auch nicht einfach jedes Sandboxing: Ransomware (und Malware im Allgemeinen) ist heutzutage oft so programmiert, dass sie erfasst, wenn sie sich auf einem traditionellen, virtualisierten Sandbox-Server befindet, und die Detektion umgeht, indem sie die Ausführung einstellt. Cloudbasierte „Multi-Array“-Lösungen nutzen eine Vielzahl verschiedener Sandboxes mit jeweils unterschiedlichen Sicherheitsfunktionen, um nie zuvor gesehene Malware zu identifizieren und zu stoppen.

Und Endpunktsicherheit mit aktiver Überwachung bietet natürlich konstante Transparenz verschiedener Netzwerk-Endpunkte, damit Unternehmen Verletzungen schneller feststellen können. Sie ist von kritischer Bedeutung, um sicherzustellen, dass die Endpunkt-Sicherheit Ihres Unternehmens aktuell ist und mit Informationen arbeitet, die die neuesten Bedrohungen wiedergeben.

Vorbeugungsausweitung

Kontinuierliche Vorbeugungsmaßnahmen helfen ebenfalls, sicherzustellen, dass Unternehmens- und persönliche Systeme betriebsfähig bleiben, selbst wenn Cyberkriminelle angreifen. Dazu zählen:

Sicherung und Wiederherstellung: Wenn ein Backup-System implementiert wurde, führen Sie regelmäßig vollständige und inkrementelle Daten-Backups durch. Testen Sie die Backups dann in einheitlichen Abständen, um zu gewährleisten, dass die Daten genau sind und Datenwiederherstellungs-Praktiken greifen. Vergessen Sie nicht, nach Systemaktualisierungen oder -Upgrades erneut Tests auszuführen.

Freigegebene Netzwerklaufwerke begrenzen: Während die Verwendung freigegebener Laufwerke sehr beliebt ist und Mitarbeitern viele praktische Vorteile bietet, ist sie hinsichtlich der Sicherheit aber auch problematisch. Ziehen Sie in Erwägung, Berechtigungen ohne Schreibgenehmigung hinzuzufügen, die Anzahl freigegebener Laufwerke zu begrenzen oder die Zuordnung freigegebener Laufwerke zu großen oder sensiblen Dateispeichern zu reduzieren.

Zurück