So begrenzen Sie die Auswirkungen eines Ransomware-Angriffs auf die Daten Ihrer Organisation

Unter all den bösartigen Bedrohungen, die sich im Umlauf befinden, kann Ransomware jeden PC-Benutzer in die Tiefe der Verzweiflung treiben. Ursprünglich zielte Ransomware auf einzelne PC-Benutzer ab und zielt nun auf viel größere Ziele, wobei Regierungsbehörden, Krankenhäuser und Unternehmen oft in die Knie gehen. Wenn Organisationen eine Ransomware-Infektion vermeiden möchten, müssen sie sicherstellen, dass kein schädlicher Code in ihre Netzwerke gelangt. Genauso wichtig ist es jedoch zu wissen, wie der Schaden im Katastrophenfall so weit reduziert werden kann, wie es die Situation erlaubt. Wie sollten Unternehmen jedoch auf eine bereits bestehende Ransomware-Infektion reagieren?

Wo soll ich suchen?

Um Malware zu verbreiten, untersuchen Cyberkriminelle gezielte PCs, die nach Schwachstellen suchen, um sie auszunutzen. Bei Ransomware-Angriffen werden in der Regel drei Infektionsvektoren eingesetzt - bösartige E-Mails oder Malvertising, Drive-by-Downloads oder Fernzugriff. Wenn Ihre Organisation gerade einem solchen Angriff zum Opfer gefallen ist, besteht die Chance, dass sie von einer dieser drei Routen stammt und jede von ihnen sollte gründlich untersucht werden.

Hinweis! Unabhängig davon, auf welche Weise sich ein Ransomware-Angriff in das Netzwerk Ihres Unternehmens eingeschlichen hat, sollten Sie immer herausfinden, von wo aus er gestartet wurde - wenn es sich um einen oder mehrere vernetzte PCs handelt und bereits seitlich bewegt wurde. In diesem Fall hat sich das Kryptovirus möglicherweise bereits über einen erheblichen Teil des Netzwerks ausgebreitet. Sie müssen:

1. Trennen Sie infizierte Computer vom Netzwerk und schalten Sie alle Netzwerkadapter aus.
2. Ersetzen Sie die infizierten Festplatten durch neue, um eine saubere Betriebssysteminstallation zu gewährleisten.
3. Führen Sie eine gründliche Netzwerkprüfung durch, um mögliche Schwachstellen zu beheben.
4. Wenden Sie die erforderlichen Betriebssystem- und Software-Patches an, und wenden Sie eine mehrstufige Sicherheitsrichtlinie an, um einen besseren Schutz gegen zukünftige Angriffe zu bieten.

Der Spam-Affekt

Die Verbreitung von Ransomware durch Einbetten des Codes in E-Mail-Anhängen ist eine ebenso weit verbreitete Methode wie immer. Wenn Ihr Unternehmen also kein stabiles Filtersystem eingerichtet hat, das verdächtige Anhänge blockiert, kann es sehr anfällig für eine Ransomware-Infektion sein. Dasselbe gilt für das Surfen im Internet, da das Fehlen eines geeigneten Filters dazu führen kann, dass Mitarbeiter potenziell gefährliche, von Malware befallene Websites verwenden. Richten Sie ein System aus E-Mail-Filtern und Proxy-Blockern ein, um das Risiko einer Infizierung auf diese Weise zu verringern.

Drive-By-Infektionen

Um einen Drive-by-Angriff auszulösen, geben die Malware-Akteure schädlichen Code direkt auf eine Website ein. Alles, was ein erfolgreicher Angriff erfordert, ist ein nicht ausgebildeter Mitarbeiter, der einen veralteten Webbrowser verwendet. Letzteres birgt höchstwahrscheinlich eine ungepatchte Sicherheitslücke, und die Malware wird diesen Umstand zweifellos ausnutzen. Aus diesem Grund ist das regelmäßige Patchen des Browsers der Schlüssel zum sicheren Surfen.

RDP-orientierte Ransomware

Fälle, in denen Ransomware PCs angreift, auf denen der Microsoft-Dienst Remote Desktop Protocol ausgeführt wird, sind in letzter Zeit immer häufiger geworden. Die berüchtigte CMB Dharma-Ransomware plagte PC-Benutzer seit Monaten mit einem offenen 3389-Port, indem sie diese Sicherheitsanfälligkeit allein ausnutzte. Im Gegensatz zur Verbreitung auf Spam-Basis sind RDP-spezifische Infektionen viel einfacher durchzuführen. Sie verlassen sich auf einen Brute-Force-Angriff gegen die Anmeldeinformationen des Servers. Bei Erfolg erhält der Akteur hinter dem Angriff Administratorrechte, einschließlich des Rechts, den Endpoint-Schutz zu deaktivieren, bevor Ransomware durch die RDP-Lücke geschmuggelt wird. Die Anzahl der PCs, auf denen Microsoft RDP läuft, liegt täglich zwischen 2 und 3 Millionen. Alle sind potenzielle Ziele eines Ransomware-Angriffs, sofern sie nicht ausreichend geschützt sind. Für diese Schutztechniken müssen die Mitarbeiter ein virtuelles privates Netzwerk (VPN) verwenden und eine Zwei-Faktor-Authentifizierung (2FA) anwenden, wenn sie einen Fernzugriff auf das Computernetzwerk der Organisation benötigen.