zurück zur Übersicht

Wer hat Angst vor Ransomware?

Geschäftsmodell: Erpressung statt Zerstörung

Ransomware, also Schadsoftware die Lösegeld verlangt, damit Daten auf einem Computer wieder lesbar gemacht werden, verbreiten sich mit einer immer höheren Geschwindigkeit. Längst haben die Malware-Entwickler erkannt, dass sich mit purer Zerstörung kein Geld mehr machen lässt. Wie überall in der IT bedient man sich in vielen Fällen der Beispiele aus dem echten Leben und erpresst einfach seine Opfer. Die sehen oft kein anderes Mittel, als dem Druck nachzugeben und Geld (meistens in Form von einer digitalen Währung) an den Erpresser zu zahlen, um wieder Zugriff auf ihre wertvollen Daten zu bekommen. Abkömmlinge dieser Gattung sind z.B. TeslaCrypt, Locky, CryptoLocker oder CryptoWall. Laut Studien wie dem Symantec Internet Threat Report ist diese Art von Erpresser-Malware immer noch verstärkt auf dem Vormarsch.

Vorbereitungsmaßnahmen für Ransomware

Grundsätzlich gibt es verschiedene Maßnahmen die man treffen sollte, um gegen Ransomware geschützt zu sein. Aktuelle Virenscanner, möglichst wenig Rechte für Benutzer und Sicherheitslösungen für den Endpunkt, sowie regelmäßige Backups relevanter Daten gehören grundsätzlich dazu. Eine weitere wichtige Maßnahme ist, eine Früherkennung mit Hilfe eines SIEM (Security Information and Event Management) zu ermöglichen.

Integration von Threat-Feeds und SIEM

Moderne SIEM-Systeme, bieten die Möglichkeit Zugriffe auf Dateien und die Registry sichtbar zu machen. Gleichzeitig ist es wichtig, Informationen zu Bedrohungen in Form von Threat-Feeds zu integrieren, um Zugriffe auf nicht vertrauenswürdige IP-Adressen oder Domains, die zu einem Ransomware-Netz gehören, zu entdecken.

Abuse.ch stellt einen Ransomware-Tracker zur Verfügung, der eine Liste von IPs, Domains und URLs beinhaltet, die in Zusammenhang mit Ransomware gebracht wurden. Zusätzlich bietet abuse.ch Indikatoren für verschiedene Malware-Varianten wie: Cryptowall, TeslaCrypt, TorrentLocker, PadCrypt, Locky, CTB-Locker und FAKBEN.

Jedoch stellt sich die Frage, wie man diese Feeds in ein SIEM integriert.

Ransomware Domains Abbildung 1: Ransomware Domains

Mit Hilfe von speziellen Skripten werden die Informationen aus dem Tracker in ein entsprechendes Format gebracht und dem SIEM als Import zur Verfügung gestellt.

Implementierungsbeispiel Abbildung 2: Implementierungsbeispiel

Im Anschluss daran, werden entsprechende Korrelationsregeln implementiert, die bei einer Verbindung zu einer gelisteten IP-Adresse oder Domain einen Alarm generieren. Dies bietet den Vorteil, dass bereits der erste Kontaktversuch eines Hosts zu einem Ransomware-Provider festgestellt wird. In Verbindung mit den weiteren Log-Quellen, kann so schnell ein Gesamtbild erfasst werden und Gegenmaßnahmen können eingeleitet werden, bevor die Ransomware größeren Schaden verursachen kann.

Wie gehen Sie mit der Ransomware-Bedrohung um? Möchten Sie mehr darüber erfahren, wie Threat-Feeds den Nutzen Ihres SIEM steigern können? Wir stehen mit Rat und Tat zur Verfügung. Stellen Sie ihre Fragen gerne direkt hier über die Kommentarfunktion!

 


Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer