zurück zur Übersicht

Ransomware: To be crypted or not to be crypted

RansomwareDer Ransomware-Trojaner Locky wirbelte in den letzten Wochen in den Medien massiv Staub auf, gerade weil Deutschland sehr stark betroffen war. Bereits jetzt kann man 2016 auch als das Jahr der Ransomware bezeichnen: Millionen Rechner weltweit sind betroffen, und ein Ende der Welle ist – unter anderem wegen des großen Erfolgs bei der Erpressung – nicht in Sicht. Über die Bedrohung wurde auch auf CubeSpotter bereits berichtet. Diesmal wurde das Thema jedoch viel stärker wahrgenommen als bisher. Jedes Unternehmen und viele Privatpersonen mussten sich mit dem Gedanken beschäftigen, was im Fall einer Infektion mit einer Ransomware zu tun ist.

Der Verbreitungsweg und die Arbeitsweise von Locky gleicht dem Muster bereits bekannter Ransomware wie Cyptolocker, Cyptowall oder TeslaCrypt (mehr dazu im Artikel TeslaCrypt):

  • Verteilung infizierter Office Dokumente über Phishing Emails, Java Script Code auf infizierten Webseiten, Ausnutzen von Schwachstellen
  • Call Back zum C&C (command & Control) Server,
  • Nachladen der Krypto Keys
  • Verschlüsselung von lokalen und Netzlaufwerken, Cloud Speicher und Datenbanken
  • Bitcoin Forderung über Tor Server)

Auch ausgereifte und teure Schutzmaßnahmen wie Advanced Threat Prevention, NextGen Firewalls, NextGen IPS, Antivirus und verhaltensbasierte Anomalieerkennung bieten keinen vollständigen Schutz. Sie müssen optimal konfiguriert und abgestimmt arbeiten (z.B. muss SSL-Decryption vorhanden sein, Network- oder Cloud-Sandboxing für Email-Attachments erzwungen werden, virtuelles Vulnerability-Patching durch IPS eingesetzt werden) und trotzdem können immer noch nicht alle Infektionen sofort erkannt und gestoppt werden. Oftmals werden Sandboxing und andere Security-Mechanismen nicht restriktiv genug konfiguriert, um False-Positives zu vermeiden oder Einschränkungen der Performance und User-Experience auszuschließen. Das IOC-basierte (Indicator of Compromise) Blockieren anhand von Hashes, DNS-Requests, bekannten IPs und URLs von Command&Control-Servern via NG-Firewall oder HIPS/AV am Endpoint sind nur mit Verzögerung möglich. Nicht alle AV-Hersteller hatten nach einer Woche Signaturen entwickelt, Threat-Datenbanken sind meist zu langsam und je nach Herstellen werden komplett andere IOCs ausgegeben. Mühsam ist es auch, die betroffenen User und Endpoints zu identifizieren, von denen die Infektion ausging. Auch mit einem SIEM oder Logmanagement-System bedarf es Zeit, diese zu lokalisieren und eine Ausbreitung im Unternehmen zu stoppen oder die Verbreitungswege und den Verbreitungsgrad festzustellen.

Alle diese Schutzmaßnahmen sind sinnvoll, bieten aber keine ausreichenden Schutz.

Zero Trust Model: Ransomware die Zähne ziehen

Was ist die bessere Alternative? Ein Ansatz kann ein Zero-Trust-Model sein (“never trust, always verify on every device ”) bei dem Schutzmechanismen immer mehr in Richtung Endpoint verlagert werden. Beispiele hierfür sind Endpoint-Patching, User-Awareness, deaktivieren von Office-Makros und Javascript oder Beschränkung von User-Rechten.

Aber was passiert, wenn ein infizierter mobiler Rechner nach einiger Zeit in das Unternehmensnetzwerk zurückkommt? Zuverlässigen Echtzeitschutz kann man nur durch verhaltensbasierte Advanced-Next-Generation-Endpoint-Protection-Tools wie z.B. Palo Alto Traps erreichen, welche als Ergänzung zu bestehenden Endpoint-Schutzmaßnahmen dienen können. Solche Tools können unter anderem

  • direkt unbekannte ausführbare Dateien blockieren und zwar unabhängig vom Übertragungsweg (Mail / Web /Private Mail/Web/USB/ Netzwerk)
  • Auffällige Prozesse direkt am Client stoppen
  • Exploitschutz auf Clientseite bieten, auch wenn mobile Rechner nicht mit dem Internet verbunden sind
  • Hashes überprüfen und eine Cloud-Analyse von Attachments durchführen, wobei das Ausführen solange verhindert wird, bis ein Analyseergebnis vorliegt

Insbesondere kann nicht nur die Infektion verhindert werden, sondern auch die Forensik deutlich schneller und effektiver gestaltet werden. Befallene Endpoints werden sofort identifiziert und weitere Gegenmaßnahmen können zum Perimeterschutz eingeleitet werden.

Die iT-CUBE SYSTEMS AG unterstützt Sie gerne bei der Konfiguration und Optimierung Ihrer Next Generation Firewalls. Sprechen Sie uns an und informieren Sie sich ganz unverbindlich über unser Angebot Firewall Policy Acceleration Service für PAN-NGFW.

Wenn es schon zu Infektionen gekommen ist, bietet die iT-CUBE SYSTEMS AG Mittel und Wege die weitere Ausbreitung der Schadsoftware zu erkennen und zu unterbinden.

 


 

Weiterführende Links:

https://www.forrester.com/No+More+Chewy+Centers+The+Zero+Trust+Model+Of+Information+Security/fulltext/-/E-res56682
https://www.paloaltonetworks.com/products/secure-the-endpoint/traps.html
http://researchcenter.paloaltonetworks.com/2016/02/locky-new-ransomware-mimics-dridex-style-distribution/
http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar