Ransome

Der Cyberkriminelle durchforstet Ihr System auf der Suche nach wertvollen Ressourcen wie Mitarbeiterinformationen, Bankdaten, Personalakten, Kundenlisten, sensiblen IP-Adressen und Backups für geschäftskritische Ressourcen und Systeme.

In der Regel ergreift der Cyberkriminelle auch Maßnahmen, um Protokollierung, Erkennung und Gegenmaßnahmen zu umgehen.

WAS DIE KRIMINELLEN TUN

Cyberkriminelle wenden verschiedene Taktiken an, um den von ihnen verursachten Schaden zu maximieren.

BACKUPS ALS ANGRIFFSZIEL

Unternehmen mit für Cyberkriminelle schwer zugänglichen Backups müssen viel seltener Lösegeld zahlen. Cyberkriminelle haben es oft auf Backups abgesehen, um Ihre Möglichkeiten in kritischen Situationen einzuschränken. Sie löschen mitunter ganze virtuelle Maschinen, auf denen Backups gehostet werden, oder ändern geschäftskritische Dateien und warten mit dem vollständigen Angriff, bis der gewünschte Wiederherstellungspunkt nicht mehr verfügbar ist.

DATENEXFILTRATION

Bei den meisten Ransomware-Vorfällen stehlen die Cyberkriminellen nun auch Daten.

STARTEN DER RANSOMWARE

Neuere Ransomware-Varianten können schneller verschlüsseln und verwenden bessere Verschlüsselungstechniken, um die Wiederherstellung zu erschweren.

LÖSEGELDFORDERUNG 

Der Cyberkriminelle verlangt eine Lösegeldzahlung in Kryptowährung, um einen oder mehrere Schlüssel zur Entschlüsselung Ihrer Daten bereitzustellen. In manchen Fällen versprechen sie auch, gestohlene Daten zu löschen.   

Cyberkriminelle haben in letzter Zeit neue Methoden angewandt, um den Druck auf ein Unternehmen zu erhöhen, zu zahlen. Eine Methode besteht darin, sich direkt an die Mitarbeiter zu wenden und deren personenbezogene Daten beizufügen. Sie versuchen, ein Unternehmen zu unterwandern, um die Berichterstattung über die Vorfallreaktion zu kontrollieren und diese als ineffektiv darzustellen und so ihrer Lösegeldforderung Nachdruck zu verleihen.

Phishing ist eine der häufigsten Methoden, mit denen Cyberkriminelle Anmeldedaten stehlen oder Mitarbeiter dazu bringen, bösartige Software herunterzuladen.

VERRINGERN SIE DIE GEFÄHRDUNG DURCH PHISHING-E-MAILS

Implementieren Sie Maßnahmen, die den Umgang mit verdächtigen E-Mails verändern könnten (SPF, DKIM und DMARC sind E-Mail-Sicherheitsstandards, die dazu beitragen können, Spam- und Phishing-Angriffe zu entschärfen). Ziehen Sie in Erwägung, E-Mails von neuen Domains zu blockieren, die möglicherweise von Cyberkriminellen für das Phishing eingerichtet wurden.

Installieren Sie die erforderlichen Patches für E-Mail-Server vor Ort, um Cyberkriminellen des Leben schwerer zu machen.

INTELLIGENTE E-MAIL-AUSWERTUNG

Veranlassen Sie die automatische Detonation und Beurteilung eingehender Anhänge und Links in einer Sandbox-Umgebung, um festzustellen, ob sie bösartig sind, bevor sie dem Benutzer zugestellt werden

Schulen Sie Ihre Mitarbeiter darin, Phishing-E-Mails zu erkennen, sich gegen den versuchten Diebstahl von Anmeldedaten zu wehren, und nicht unbedacht auf Anhänge oder Links zu klicken.

Es ist von entscheidender Bedeutung, Systeme und Anwendungen auf dem neuesten Stand zu halten, um unbefugten Zugriff und Malware-Infektionen zu verhindern.

VERWALTEN DER ZUGRIFFSRECHTE

Führen Sie geeignete Maßnahmen für den allgemeinen Benutzer- und Systemzugang im gesamten Unternehmen ein: privilegierter Zugang für kritische Anlagen (Server, Endgeräte, Anwendungen, Datenbanken usw.) und obligatorische Multifaktor-Authentifizierung (MFA).

VERWALTEN DER ANLAGEN

Ihr Asset Management-System sollte ein Erkennungstool enthalten, das die Geräte in Ihrem internen Netzwerk kontinuierlich abbildet, sowie eine aktuelle Bestandsdatenbank und eine aktuelle Datenbank für das Konfigurationsmanagement.

EDR EINFÜHREN

Wenn sie effektiv eingesetzt und überwacht werden, sind EDR-Tools (Endpoint Detection and Response) für Erkennung und Reaktion am Endgerät eine der besten Verteidigungsmaßnahmen gegen Ransomware und andere Malware-Angriffe.

EDR-Lösungen überwachen Server, Laptops, Desktops und verwaltete mobile Geräte auf Anzeichen für bösartiges oder ungewöhnliches Benutzerverhalten und entsprechende Aktivitäten. Diese Tools ermöglichen auch eine schnelle Reaktion durch geschulte Sicherheitsfachleute. EDR muss obligatorisch ständig aktiviert sein, nicht nur bei Überprüfungen.   

LASSEN SIE EINE KONFIGURATIONSBEWERTUNG ODER EINEN PENETRATIONSTEST DURCHFÜHREN

Viele Unternehmen lassen sich von externen Dienstleistern helfen, um Schwachstellen in Firewalls oder Switches zu erkennen, die zu horizontalen Bewegungen in ihrem System führen, und um zu verstehen, wie ein Cyberkrimineller in der Lage sein könnte, sich in ihrem System zu bewegen.   

SICHERN SIE IHRE BACKUPS

Backups sollten auf einem nicht-virtuellen Gerät gespeichert werden und nach Möglichkeit unveränderbar sein. Wenn Sicherungskopien aktiv in eine externe Einrichtung repliziert werden, könnte die Kompromittierung einer Kopie die andere unbrauchbar machen.

Sichern Sie Firewall-Protokolle, die schnell überschrieben werden. Wenn Sie zentralisierte Protokolle nutzen, schützen Sie diese und legen Sie eine Kopie an. Trennen Sie mutmaßlich gefährdete Geräte nach Möglichkeit vom Netz. Versuchen Sie, diese möglichst nicht auszuschalten.