zurück zur Übersicht

Wer hat Angst vor Ransomware?

Geschäftsmodell: Erpressung statt Zerstörung

Ransomware, also Schadsoftware die Lösegeld verlangt, damit Daten auf einem Computer wieder lesbar gemacht werden, verbreiten sich mit einer immer höheren Geschwindigkeit. Längst haben die Malware-Entwickler erkannt, dass sich mit purer Zerstörung kein Geld mehr machen lässt. Wie überall in der IT bedient man sich in vielen Fällen der Beispiele aus dem echten Leben und erpresst einfach seine Opfer. Die sehen oft kein anderes Mittel, als dem Druck nachzugeben und Geld (meistens in Form von einer digitalen Währung) an den Erpresser zu zahlen, um wieder Zugriff auf ihre wertvollen Daten zu bekommen. Abkömmlinge dieser Gattung sind z.B. TeslaCrypt, Locky, CryptoLocker oder CryptoWall. Laut Studien wie dem Symantec Internet Threat Report ist diese Art von Erpresser-Malware immer noch verstärkt auf dem Vormarsch.

Vorbereitungsmaßnahmen für Ransomware

Grundsätzlich gibt es verschiedene Maßnahmen die man treffen sollte, um gegen Ransomware geschützt zu sein. Aktuelle Virenscanner, möglichst wenig Rechte für Benutzer und Sicherheitslösungen für den Endpunkt, sowie regelmäßige Backups relevanter Daten gehören grundsätzlich dazu. Eine weitere wichtige Maßnahme ist, eine Früherkennung mit Hilfe eines SIEM (Security Information and Event Management) zu ermöglichen.

Integration von Threat-Feeds und SIEM

Moderne SIEM-Systeme, bieten die Möglichkeit Zugriffe auf Dateien und die Registry sichtbar zu machen. Gleichzeitig ist es wichtig, Informationen zu Bedrohungen in Form von Threat-Feeds zu integrieren, um Zugriffe auf nicht vertrauenswürdige IP-Adressen oder Domains, die zu einem Ransomware-Netz gehören, zu entdecken.

Abuse.ch stellt einen Ransomware-Tracker zur Verfügung, der eine Liste von IPs, Domains und URLs beinhaltet, die in Zusammenhang mit Ransomware gebracht wurden. Zusätzlich bietet abuse.ch Indikatoren für verschiedene Malware-Varianten wie: Cryptowall, TeslaCrypt, TorrentLocker, PadCrypt, Locky, CTB-Locker und FAKBEN.

Jedoch stellt sich die Frage, wie man diese Feeds in ein SIEM integriert.

Ransomware Domains Abbildung 1: Ransomware Domains

Mit Hilfe von speziellen Skripten werden die Informationen aus dem Tracker in ein entsprechendes Format gebracht und dem SIEM als Import zur Verfügung gestellt.

Implementierungsbeispiel Abbildung 2: Implementierungsbeispiel

Im Anschluss daran, werden entsprechende Korrelationsregeln implementiert, die bei einer Verbindung zu einer gelisteten IP-Adresse oder Domain einen Alarm generieren. Dies bietet den Vorteil, dass bereits der erste Kontaktversuch eines Hosts zu einem Ransomware-Provider festgestellt wird. In Verbindung mit den weiteren Log-Quellen, kann so schnell ein Gesamtbild erfasst werden und Gegenmaßnahmen können eingeleitet werden, bevor die Ransomware größeren Schaden verursachen kann.

Wie gehen Sie mit der Ransomware-Bedrohung um? Möchten Sie mehr darüber erfahren, wie Threat-Feeds den Nutzen Ihres SIEM steigern können? Wir stehen mit Rat und Tat zur Verfügung. Stellen Sie ihre Fragen gerne direkt hier über die Kommentarfunktion!

 


Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar