Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Ransomware verstehen: Das häufigste Angriffsmuster

Illumio Editorial
Illumio Editorial
16März 2022
23 min. lesen

Die digitale Transformation ist heute ein strategisches Unternehmensziel Nummer eins. Von Sydney bis San Francisco arbeiten die Vorstandsetagen daran, wie sie die Leistungsfähigkeit von Cloud, KI, IoT und mehr am besten nutzen können, um den Erfolg zu steigern. Ihre Bemühungen sind nicht nur wichtig, um neue Kundenerlebnisse zu schaffen und Geschäftsprozesse zu rationalisieren. Sie sind auch entscheidend für die Unterstützung des neuen hybriden Arbeitsmodells, das schnell aus der Asche der Pandemie hervorgeht.

Der Preis, den Unternehmen oft für die Vergrößerung ihres digitalen Fußabdrucks zahlen, ist jedoch die Vergrößerung der Cyberangriffsfläche. Dies birgt Cyberrisiken – insbesondere die Gefahr schädlicher Ransomware-Verstöße .

Zahlreiche Ransomware-Entwickler und Partnergruppen sind derzeit rund um den Globus tätig. Das bedeutet, dass auch eine Vielzahl von Angriffstaktiken, -techniken und -verfahren im Umlauf sind. Aber das bedeutet nicht, dass wir keinen primären Modus Operandi erkennen können. Noch besser ist, dass wir dieses allgemeine Angriffsmuster nehmen und einen einfachen dreistufigen Prozess anwenden können, um das Ransomware-Risiko zu mindern.

Dies ist der Wert der Mikrosegmentierung, die auf einem umfassenden Einblick in die Kommunikation von Netzwerkressourcen und den von Bedrohungsakteuren verwendeten gemeinsamen Pfaden basiert.

In diesem Blogbeitrag werden häufig gestellte Fragen zur Funktionsweise von Ransomware beantwortet – und wie man sie stoppen kann.

Warum ist Ransomware wichtig?

Ransomware erreichte in den ersten drei Quartalen des Jahres 2021 ein Rekordniveau, wobei ein Anbieter weltweit fast 500 Millionen Kompromittierungsversuche verzeichnete. Angriffe haben sich in den letzten Jahren so weit entwickelt, dass Datenexfiltration heute die Norm ist und ein völlig neues Element des Geschäftsrisikos hinzufügt. Das bedeutet, dass Unternehmen nicht einfach Daten sichern und die Daumen drücken können. Es besteht ein reales Risiko, dass allein durch die Datenschutzverletzung finanzielle Schäden und Reputationsschäden entstehen.

Heute können sogenannte "doppelte Erpressungs"-Angriffe zu Folgendem führen:

  • Bußgelder
  • Verlorene Produktivität
  • Entgangene Umsätze
  • IT-Überstundenkosten für Wiederherstellung und Untersuchung
  • Anwaltskosten (z. B. Sammelklagen im Falle einer Datenschutzverletzung)
  • Kundenabwanderung
  • Sinkender Aktienkurs

Jedes Unternehmen und jeder Angriff ist anders. Während einige Kommentatoren die durchschnittlichen finanziellen Auswirkungen heute auf fast 2 Millionen US-Dollar schätzen, haben einige Razzien die Opfer Hunderte von Millionen gekostet. Daher ist es unerlässlich, proaktive Maßnahmen zu ergreifen, um der Bedrohung entgegenzuwirken.

Wie funktioniert Ransomware?

Die gute Nachricht ist, dass wir trotz der vielen Varianten und Partnergruppen, die heute in Betrieb sind, ein Grundmuster für die meisten Angriffe erkennen können. Kurz gesagt, Bedrohungsakteure:

  • Verstecken Sie sich monatelang in Netzwerken, bevor Sie zuschlagen.
  • Nutzen Sie gemeinsame Wege für den anfänglichen Netzwerkzugriff und die kontinuierliche laterale Bewegung.
  • Führen Sie Aktionen in mehreren Phasen aus, um ihre Ziele zu erreichen.

Lassen Sie uns tiefer in jeden dieser Bereiche eintauchen.

Wie kommen Angreifer so lange unentdeckt?

Das Ziel der Angreifer ist es, so lange verborgen zu bleiben, bis sie eine ausreichend starke Präsenz im Netzwerk eines Opfers aufgebaut haben, um große Mengen sensibler Daten zu stehlen und Ransomware überall einzusetzen.

Um dies zu erreichen, gehen sie wie folgt vor:

  • Verletzen Sie ein Asset, von dem das Unternehmen nicht wusste, dass es anfällig oder exponiert ist – sei es ein Gerät, eine Anwendung oder ein Workload mit einer offenen Verbindung zum Internet und andere Netzwerkressourcen
  • Verwenden Sie Pfade/Datenflüsse, von denen das Unternehmen nicht wusste, dass sie offen sind, und die gemäß den Best-Practice-Sicherheitsrichtlinien geschlossen werden sollten.
  • Kompromittieren Sie mehrere Systeme, die sich über mehrere Funktionen erstrecken, was es für Teams schwierig macht, alles auf einen einzigen Vorfall zurückzuführen.

Wie nutzen Angreifer gängige Wege aus?

Die meiste Ransomware gelangt über Phishing-E-Mails, RDP-Kompromittierung oder die Ausnutzung von Software-Schwachstellen. Um die Erfolgschancen zu erhöhen, suchen Angreifer nach:

  • Eine kleine Gruppe von hochriskanten, beliebten Pfaden wie RDP oder SMB. Diese sind in der Regel unternehmensweit, leicht zuzuordnen und oft falsch konfiguriert.
  • Öffnen Sie Ports und ausnutzbare Assets durch automatisierte Scans mit Skripten und Crawlern.
  • Möglichkeiten, sich schnell seitlich zu bewegen und diese risikoreichen Wege zu nutzen, um sich in nur wenigen Minuten unternehmensweit auszubreiten.

Wie funktionieren mehrstufige Angriffe?

Die meisten Angriffe beginnen mit der Kompromittierung eines Vermögenswerts mit geringem Wert, da diese in der Regel leichter zu kapern sind. Der Trick für Bedrohungsakteure besteht dann darin, zusätzliche Stufen zu durchlaufen, um an wertvolle Ressourcen zu gelangen, von denen sie Daten stehlen oder verschlüsseln können, um die Opferorganisation zu erpressen.

Zu diesem Zweck gehen Angreifer in der Regel wie folgt vor:

  • Profitieren Sie von der schlechten Transparenz, den Richtlinienkontrollen und der Segmentierung eines Unternehmens.
  • Stellen Sie eine Verbindung zum Internet her, um zusätzliche Tools herunterzuladen, die Sie bei den nächsten Phasen eines Angriffs unterstützen, oder um Daten auf einen Server unter ihrer Kontrolle zu exfiltrieren.
  • Verursachen Sie den meisten Schaden durch laterale Bewegungen, d. h. durch das Herumspringen im Netzwerk von Asset zu Asset.

Drei einfache Schritte, um Ransomware zu stoppen

Mit diesem typischen Angriffsmuster im Hinterkopf können CISOs damit beginnen, eine Reaktion zu entwickeln – eine neue Sicherheitsarchitektur, die auf drei einfachen Komponenten basiert:

1. Entwickeln Sie eine umfassende Transparenz der Kommunikationsflüsse in Ihrer Umgebung

Dadurch haben Ihre Angreifer keinen Ort, an dem sie sich verstecken können, und sie werden entlarvt, wenn sie versuchen, den ursprünglichen Vermögenswert zu kompromittieren oder während einer lateralen Bewegung.

Dazu müssen Sie:

  • Entwickeln Sie Echtzeit-Transparenz für alle Assets, sodass Sie unwesentliche oder anomale Datenflüsse beheben können.
  • Erstellen Sie eine Echtzeitkarte der Umgebung, um zu identifizieren, welche Workloads, Anwendungen und Endpunkte geöffnet bleiben müssen und welche geschlossen werden können.
  • Erstellen Sie eine einheitliche Ansicht der Kommunikationsabläufe und Risikodaten, mit der alle Betriebsteams arbeiten können, um interne Reibungsverluste zu reduzieren.


2. Entwickeln Sie Funktionen zum Blockieren von Ransomware

Es reicht nicht aus, nur Kommunikationsflüsse abzubilden und zu verstehen, welche Assets geschlossen werden können. Du musst Maßnahmen ergreifen, um die Angriffsfläche zu verringern und laufende Raids zu blockieren.

Tun Sie dies durch:

  • So viele Hochrisikopfade wie möglich schließen und die noch offenen Pfade in Echtzeit überwachen.
  • Schließen Sie alle Ports, die nicht geöffnet sein müssen, um die Wahrscheinlichkeit zu verringern, dass automatisierte Scans exponierte Assets finden.
  • Erstellung eines Notfall-Containment-Switches, der in Sekundenschnelle gestartet werden kann, um die Netzwerkkommunikation im Falle eines Angriffs einzuschränken.

3. Isolieren Sie kritische Assets

Die letzte Phase besteht darin, Angreifer daran zu hindern, kritische Assets zu erreichen, und sie zu zwingen, leichter zu erkennende Maßnahmen zu ergreifen, um voranzukommen.

Dies beinhaltet:

  • Ring-Fencing-Anwendungen, um zu verhindern, dass hochwertige Ressourcen kompromittiert werden.
  • Schließen ausgehender Verbindungen zu nicht vertrauenswürdigen IP-Adressen, wobei nur diejenigen zugelassen werden, die auf einer genehmigten "Zulassungsliste" stehen.
  • Entwicklung von Sicherheitsmaßnahmen nach Sicherheitsverletzungen, um kritische Ressourcen zu schützen und die Ausbreitung von Angriffen zu verhindern.

Die Aufholjagd beginnt hier

Kein Unternehmen kann heute zu 100 % sicher vor Sicherheitsverletzungen sein – dafür sind die Angreifer zu entschlossen, zu gut ausgestattet und zahlenmäßig zu groß. Aber mit dem richtigen Fokus auf Netzwerktransparenz, Richtlinienkontrollen und Segmentierung können Sie eine intelligentere Sicherheitsarchitektur aufbauen, die die Bedrohung mit größerer Wahrscheinlichkeit isoliert.

Die meisten Bedrohungsakteure sind opportunistisch und streben nach einem schnellen und einfachen ROI. Wenn Sie diese drei Schritte unternehmen, um ihre Pläne zu durchkreuzen, haben Sie eine große Chance, ernsthafte Kompromittierungen zu vermeiden.

Weitere Informationen:

Verwandte Themen

No items found.

Verwandte Artikel

So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio
Ransomware Containment

So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio

Erfahren Sie, wie Sie RDP-Gefährdung mit Mikrosegmentierung, MFA und Richtliniendurchsetzung abbilden, bewerten und blockieren können, um Ransomware zu stoppen, bevor sie sich über RDP ausbreitet.

Read more
Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: Ein mehrstufiger Angriff
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: Ein mehrstufiger Angriff

Lernen Sie die Grundlagen eines mehrstufigen Payload-Angriffs mit einer Reihe von gestaffelten Payloads kennen.

Read more
Wie Brooks Illumio einsetzt, um die Ausbreitung von Ransomware zu stoppen
Ransomware Containment

Wie Brooks Illumio einsetzt, um die Ausbreitung von Ransomware zu stoppen

Erfahren Sie, warum sich Brooks für Illumio Zero Trust Segmentation entschieden hat, um die Zuverlässigkeit seines Einzelhandels- und E-Commerce-Geschäfts zu gewährleisten.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more