1. Ransomware/Verschlüsselungstrojaner
Ziel eines Verschlüsselungtrojaners ist es Dateien und Systeme des Opfers zu verschlüsseln, um Lösegeld für ihre Entschlüsselung zu verlangen.Die Verschlüsselung an sich ist häufig der letzte Schritt und wird erst ausgeführt, nachdem eine weite Ausbreitung im Netzwerk erfolgt ist. Dies führt zu einer Maximierung des Schadensausmaßes für die betroffenen Opfer.
Moderne Varianten dieser Bedrohung leiten zusätzlich Daten aus. Hintergrund ist ein weiteres Druckmittel, um Geld von Opfern zu erpressen, da diese eine Veröffentlichung der Daten verhindern wollen.
Haupteinfallstore für eine Infektion und weitere Ausbreitung sind:
- Ausführung eines schadhaften E-Mail-Anhangs
- Herunterladen und Ausführen von Schadsoftware beim Surfen im Internet
- Ausnutzung von Schwachstellen, Konfigurationsfehlern und/oder geknackten/geleakten Zugangsdaten in extern verfügbaren Schnittstellen (VPN, Fernwartung)
Präventive Maßnahmen
- Filterung und Scan auf dem Mail-Gateway/beim Provider
- Aufbau von Vertrauen in den Absender von E-Mails mit Hilfe von Signaturen
- Rückfrage über zweiten Kommunikationskanal beim Versender
- Schulung von Mitarbeitern (Awareness, Wissen um die Bedrohungen)
- Härten der Systeme (Endpoints, Server, Gateways, Applikation)
- Blockieren von Windows-Scripting-Host
- Blockieren von Makros in Office-Dokumenten
- Festlegen einer Whitelist für Dateianhänge
- Netzwerksegmentierung
- Trennung nach Aufgabengebiet und/oder Datenklasse
- Spezielle Netze für offenen Internetzugang und Gäste
- Festlegen von Ansprechpartnern bei „Grenzfällen“
- Sicherung Ihrer Daten und Systeme - sehen Sie hierzu auch unsere Präventionsmaßnahmen zum Thema Backup
- Erstellung eines Notfallplans für den Fall einer Infektion - sehen Sie hierzu auch unsere empfohlenen Präventionsmaßnahmen zu Notfallplänen
Detektive Maßnahmen
- Aktives Monitoring der Meldungen von Anti-Threat-Software
- Einsatz von Host Intrusion Detection Systemen (HIDS)
- Einsatz von Network Intrusion Detection Systemen (NIDS)
- Monitoring von Netzwerkaktivitäten und Dateizugriffen mit entsprechenden Regeln
- Monitoring der Ausführung von unbekannten Programmen mit administrativen Rechten
- Meldungen von Usern zu auffälligen Mails/Meldungen auf IT-Systemen
Notfallmaßnahmen
- Betroffene Systeme identifizieren und vom Netz trennen
- Ausmaß feststellen - Welche Daten/Systeme sind betroffen? Wiederherstellung möglich? Wenn ja, welcher Aufwand?
- Behörden einbinden/informieren -> Polizei, Datenschutzbehörde
- Versicherung einbinden - wenn vorhanden
- Ggf. externe Dienstleitungsunternehmen zur Unterstützung einbinden (siehe BSI-Liste APT-Response-Dienstleister)
- Kommunikation - Koordination, was und wann an welche Stellen kommuniziert werden soll:
- Interne Kommunikation an MitarbeiterInnen
- Externe Kommunikation an KundInnen
- Externe Kommunikation an Presse
- Attack Chain feststellen - Wie kam es wann auf welchem System zur Infektion?
- Recherche, diese Daten erhalten Sie mitunter auch von uns:
- Um welche Ransomware handelt es sich? Welche Tätergruppierung steckt dahinter?
- Gibt es Informationen über Entschlüsselungsmöglichkeitenm?
- Bekannte Erfahrungen zum Verhalten bei Zahlung von Lösegeldsummen?
- Eigene Entscheidungen treffen anhand des Ausmaßes:
- Muss eine Lösegeldsumme gezahlt werden?
- Muss Kontakt mit den TäterInnen aufgenommen werden?
- Säubern der Systeme
- Wiederherstellen der Funktionsfähigkeit der Systeme