Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Der Kanarienvogel in der Ransomware-Mine

By:
Angela Heindl-Schober
June 15, 2016

Eine schnelle und einfache Lösung gegen Ransomware-Angriffe für Unternehmen

Ransomware ist im Jahr 2016 die IT Security-Plage schlechthin. Beinahe jede Woche wird über einen erneuten Ausbruch dieses heimtückischen Malware-Typs berichtet, der immer neue Teile von Unternehmen teilweise oder komplett lahmlegt und erpresst. Für eine Angriffsmethode, die in den allermeisten Fällen nicht sonderlich zielgerichtet erfolgt, scheint dieser Malware-Typ sehr erfolgreich zu sein – vor allem beim Angriff auf Unternehmen unterschiedlicher Größe.

Ransomware verschafft sich auf verschiedenen Wegen Zugang zu Firmennetzwerken: entweder aufgrund unzureichender Abwehrsysteme durch die Haupteingangspforte oder unauffällig durch den Nebeneingang. Ein typisches Beispiel dafür sind Mobile Devices, die nach einem Wochenende in privater Nutzung am Montagmorgen von Mitarbeitern wieder mit dem Firmennetzwerk verbunden werden. (RansomwareWebinar on demand)

Folglich überschlagen sich die IT-Sicherheitsteams und Netzwerkadministratoren nahezu, um die rasant fortschreitende Verschlüsselung von Dokumenten im Netzwerk umgehend zu unterbinden. Grundsätzlich stehen Unternehmen mehrere verschiedene Technologien zur Verfügung, um Ransomware-Angriffe im Netzwerk zu identifizieren und die Sicherheitsteams vor einer Ausbreitung der Malware zu warnen. Als deutlich schwieriger erweist es sich, einen solchen Angriff noch während seiner aktiven Phase zu stoppen. Die Identifizierung solcher Angriffe ist übrigens einer von vielen Bereichen, die Vectra Networks mit seiner Sicherheitslösung abdeckt.

Ich werde oft nach dem effektivsten Weg gefragt, Angriffe dieser Art abzuwehren. Es stellt sich also die Frage: Wie kann ein Unternehmen kosteneffizient und zuverlässig Ransomware daran hindern, das gesamte Netzwerk und somit das operative Geschäft lahmzulegen?  Kanarienvogel in der Kohlemine

Die schnellste und einfachste Lösung, die Verschlüsselung von im Netzwerk befindlichen Daten zu unterbinden, ist denkbar einfach und folgt dem Prinzip des Kanarienvogels in der Kohlemine. Kanarienvögel hatten damals in den Minen die Aufgabe, den Arbeitern Sauerstoffmangel oder den Austritt von Gas anzuzeigen. Fielen die Tiere leblos von der Stange, waren die Mitarbeiter alarmiert. In der IT Security wird dieses Prinzip als Canary-Files-Abwehrmaßnahme bezeichnet. Dabei werden Dateien in fingierten Ordnern, sogenannten Canary-Files, abgelegt, die keinerlei relevante Information enthalten. Diese Ordner werden ununterbrochen auf Aktivitäten geprüft, die für Ransomware typisch sind – und bieten Unternehmen somit eine Art Frühwarnsystem.

Ziel der Ransomware ist es, Daten in einem Unternehmensnetzwerk ausfindig zu machen und zu verschlüsseln. Eine simple Abwehrmaßnahme besteht darin, sicherzustellen, dass jeder Computer über mehrere überwachte und an das Netzwerk angeschlossenen Laufwerke sowie Dateien verfügt. Wenn nun der Versuch von einem Computer oder Nutzer ausgehend beobachtet wird, innerhalb dieser lokalen Netzwerke Dateien zu erstellen oder zu löschen, werden die Zugangsdaten des attackierten Nutzers umgehend gesperrt. Für den Fall, dass ein Unternehmen eine Form der Netzzugangskontrolle (NAC) nutzt, wird hingegen der Host-Computer vom Firmennetzwerk getrennt.

Manche Versionen der aktuellen Ransomware-Generation durchforsten systematisch Daten und ganze Netzwerke in alphabetischer und entgegengesetzter Reihenfolge. Eine effiziente Maßnahme besteht somit darin, die ersten und letzten Laufwerke beginnend mit den Buchstaben A, D, Z oder Y als sogenannte Canary-Files in das Netzwerk einzubinden.

Eine weitere nützliche Abwehrmaßnahme ist es, sicherzustellen, dass die sogenannten Köderlaufwerke (Canary-Shares) ausreichend entbehrliche beziehungsweise wirtschaftlich irrelevante Daten enthalten. So muss die Ransomware bereits viel Zeit dafür aufbringen, diese eigentlich für das Unternehmen unwichtigen Informationen zu verschlüsseln. Dadurch lässt sich wertvolle Zeit gewinnen, um gesammelte Informationen über den unerlaubten Zugriff mit dem Rest des Netzwerkes zu teilen und es so vor weiteren ähnlichen Attacken zu schützen.

Dieses Vorgehen ähnelt jenen Maßnahmen, die ich bereits in der Vergangenheit angewandt habe, um via Spammails verbreitete Malware und automatisierte Brut Force Angriffe effektiv zu bekämpfen. So fügt man dem Netzwerk Accounts hinzu, die zu Beginn und Ende eines Nutzer-Verzeichnis, beispielsweise von Active Directory oder E-Mail Kontakten erscheinen. Durch das Überwachen dieser Namen ist es schließlich möglich, die Bedrohung umgehend und automatisiert zu erkennen, zu entschärfen und damit größeren Schaden abzuwenden.

Wenn beispielsweise jemand versucht, einem der erstplatzierten Namen eines Verzeichnisses eine Mail zu senden, blockiert der Mail-Server automatisch alle von diesem Nutzer ausgehenden E-Mail-Anfragen solange, bis die IT-Abteilung der Sache nachgegangen ist.

Der Gebrauch von Canary-Files und Canary-Shares, wie zum Beispiel das Einbinden von fingierten Benutzerkonten in Active Directory und E-Mail-Kontaktlisten, kann also ein kosteneffizienter und wirksamer Ansatz für die Abwehr von Ransomware-Angriffen sein. Manchmal ist die einfachste Methode eben doch die effektivste.

Interessiert an dem Thema? Dann lesen Sie doch unsere aktuelle Pressemitteilung: "Wirksamer Schutz vor Ransomware-Angriffen durch Echtzeiterkennung von Vectra Networks".

About the author

Angela Heindl-Schober

Angela Heindl-Schober is EMEA Director Field & Channel Marketing at Vectra. For 19 years she works with great passion in the IT- and technology-focused marketing of US IT companies. In leading positions such as Riverbed, Infor and Invensys Software Systems, Angela Heindl-Schober has successfully developed and implemented marketing strategies and campaigns across EMEA. She was also responsible for telemarketing, event and digital marketing and was instrumental in brand positioning.

Author profile and blog posts

Most recent blog posts from the same author

Artificial intelligence

Insider Threats: Spotting “the Inside Job“

December 14, 2015
Read blog post
Cybersecurity

Wie Cyber-Kriminelle in Unternehmensnetzen Angriffe vorantreiben

June 22, 2017
Read blog post
Cybersecurity

Schwachstelle Rechenzentrum: Virtuelle Umgebungen forcieren Datenklau

December 19, 2016
Read blog post