Ransomware Wissen
Ist Ihr Unternehmen Opfer einer Ransomware Attacke? Ontrack hat Erfahrung bei der Datenwiederherstellung nach einem Ransomware Angriff.
Ransomware Fallstudien
Ontrack hat bereits erfolgreich Daten in vielen Fällen von Datenverlust nach Ransomware-Angriffen wieder hergestellt.
Ransomware Recovery Blogbeiträge
Der Siegeszug von Ransomware-Angriffen
Cybersecurity-Angriffe haben während der Coronavirus-Pandemie stark zugenommen. Es ist jetzt wichtiger denn je, dass Organisationen und Einzelpersonen sich der Schritte bewusst sind, die sie unternehmen können, um das Risiko, ein Ziel zu werden, zu mindern. Die Situation hat sich so verschlimmert, dass das Büro für Terrorismus- und Finanzaufklärung des US-Finanzministeriums eine Reihe von Empfehlungen herausgegeben hat, um Einzelpersonen und Unternehmen bei der Bekämpfung von Ransomware-Angriffen zu unterstützen.
Bevor wir in die Tiefen der beiden Hinweise eintauchen, halten wir es für sinnvoll, hervorzuheben, was das US-Finanzministerium als Ransomware definiert.
Die Bedeutung der Advisories (Empfehlungen)
Die beiden Organisationen, die die Advisories herausgeben, sind das Financial Crimes Enforcement Network (FinCEN) des US-Finanzministeriums und das Office of Foreign Assets Control (OFAC) des Finanzministeriums.
1. Das FinCen-Advisory trägt den Titel: "Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom payments." Ziel des Advisory ist es, "Informationen über die Rolle von Finanzintermediären bei Zahlungen, Ransomware-Trends und -Typologien sowie damit zusammenhängende finanzielle Warnsignale bereitzustellen. Es bietet auch Informationen zur effektiven Meldung und Weitergabe von Informationen im Zusammenhang mit Ransomware-Angriffen."
Finanzintermediäre spielen eine wichtige Rolle, wenn es darum geht, zu verhindern, dass Geld unter Zwang den Besitzer wechselt. Wie bei der Standard-Betrugserkennung wird in dem Advisory erklärt, dass von den Intermediären erwartet wird, dass sie durch aktive Erkennung verdächtiger Transfers eingreifen und alle versuchten Transaktionen durch entsprechend kategorisierte SARs-Einreichungen melden. Die FinCEN-Beratung hat zehn "Red Flags" für Intermediäre zur Verfügung gestellt, die sie in ihre Algorithmen integrieren können, um diesen Organisationen zu helfen, Zahlungen unter Nötigung zu identifizieren.
2. Die OFAC-Beratung trägt den Titel: "Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments." Das Advisory zielt darauf ab, "die Sanktionsrisiken hervorzuheben, die mit der Erleichterung von Ransomware-Zahlungen im Namen von Opfern verbunden sind, die Ziel bösartiger cyber-gestützter Aktivitäten sind."
Unabhängig davon, unter welchem Zwang ein Unternehmen steht, wenn es von Cyberkriminellen angegriffen wird, ist es letztendlich für jedes OFAC-Risiko verantwortlich, das durch die Überweisung von Geldern entsteht.
Wenn ein Unternehmen beispielsweise aus einem Impuls heraus handelt und Geld mit einem Hacker austauscht, können unabhängig vom Kontext OFAC-Strafen anfallen. Der Angriff kann zwar bei der Bewertung des OFAC-Risikos berücksichtigt werden, schützt die Organisation aber nicht davor, letztendlich zur Verantwortung gezogen zu werden.
Warum werden sie benötigt?
In den letzten 12 Monaten haben Schwere und Raffinesse von Ransomware-Angriffen in verschiedenen Branchen weiter zugenommen. Der jüngste Angriff auf Universal Health Services (UHS) erinnert uns daran, dass keine Organisation vor Ransomware sicher ist. Laut dem CrowdStrike Threat Report 2020 hat die Cyberkriminalität in diesem Jahr eine dunkle Kehrtwende vollzogen: Sie hat es nicht mehr nur auf große Regierungseinrichtungen abgesehen, sondern auch auf Bildungseinrichtungen sowie unterbesetzte und überlastete öffentliche Einrichtungen.
Ransomware-Angriffe auf Organisationen wie das Gesundheitswesen, Behörden und Bildungseinrichtungen haben zugenommen, was höchstwahrscheinlich auf die schwächeren Cybersecurity-Kontrollen der Opfer und die Sensibilität der Daten zurückzuführen ist. Ohne adäquate Backupsysteme und Fähigkeiten zur Reaktion auf Vorfälle sind kleine Unternehmen und öffentliche Einrichtungen leichte Ziele für Cyberkriminelle. Im Gegensatz zu großen staatlichen Unternehmen, die sich damit abgefunden haben, ins Visier böser Akteure zu geraten, und die über die finanziellen Mittel und qualifizierten Ressourcen verfügen, um Maßnahmen zu ihrem Schutz zu ergreifen, ist es für typische Organisationen und Einzelpersonen, die versuchen, ihren primären Geschäften nachzugehen, eine ganz andere Sache.
Neue Ransomware-Techniken
Der CrowdStrike-Bedrohungsbericht hebt einige neue Trends bei Ransomware-Taktiken hervor. Dazu gehören:
Der Versuch, Sicherheitsprodukte zu beenden
Cyberkriminelle versuchen nun, Sicherheitssoftware zu entfernen, z. B. Endpunktschutzprodukte oder SIEM-Alarmforwarder (Security Information and Event Management). Zu den öffentlich verfügbaren Dienstprogrammen für diesen Zweck gehören PCHunter, ProcessHacker, PowerTool x64, GMER, Total Uninstall Portable und Defender Control.
Verwendung von kompromittierten Websites, die das WordPress CMS hosten
Dropper Document Builders und Distributionsdienste
E-Mail-Thread-Hijacking
Andere Ransomware-Techniken
Phishing-Angriffe: Kampagnen, die Opfer dazu verleiten, eine bösartige Datei herunterzuladen oder eine bösartige Website zu besuchen, Remote-Desktop-Protokoll-Endpunkte und Softwareschwachstellen auszunutzen oder "Drive-by"-Malware-Angriffe zu implementieren, die bösartigen Code auf legitimen Websites hosten.
Schema Großwildjagd: Cyberkriminelle nehmen gezielt große Unternehmen ins Visier, um höhere Lösegelder zu fordern.
Doppeltes Erpressungsschema: Dabei werden sensible Daten aus den Zielnetzwerken entfernt, die Systemdateien verschlüsselt und Lösegeld gefordert. Die Kriminellen drohen dann, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer das Lösegeld nicht zahlt.
Wie können Unternehmen Ransomware verhindern?
Cyberkriminalität wird so lange zunehmen, wie die Hintermänner mit den Angriffen Geld verdienen. Es ist wichtiger denn je, Maßnahmen zu ergreifen, die sicherstellen, dass Unternehmen in einer hervorragenden Position sind, um sich gegen Ransomware zu verteidigen. Im Folgenden finden Sie die Top-Tipps von CrowdStrike zum Schutz Ihres Unternehmens in der Zukunft.
Implementieren Sie Programme zur Sensibilisierung der Benutzer: Der Endbenutzer bleibt ein kritisches Glied in der Kette zur Verhinderung von Sicherheitsverletzungen. Ihr Unternehmen sollte Programme zur Sensibilisierung der Benutzer initiieren, um die anhaltende Bedrohung durch Phishing und ähnliche Social-Engineering-Techniken zu bekämpfen.
Stellen Sie engagierte Sicherheitsexperten ein oder suchen Sie eine Partnerschaft mit einer externen Lösung: Die Verteidigung gegen hochentwickelte Bedrohungen erfordert ausgereifte Prozesse und effektive, engagierte Sicherheitsexperten. Wenn Ihr Unternehmen nicht in der Lage ist, einen solchen Experten intern einzustellen, sollten Sie, wenn möglich, eine externe Lösung wählen.
Konfigurieren Sie Ihre Sicherheitskontrollen und setzen Sie sie in der gesamten Unternehmensumgebung ein: Erfolgreiche Einbrüche ereignen sich oft dort, wo Sicherheitskontrollen vorhanden waren, die einen Angriff hätten abwehren können, dies aber aufgrund mangelnder Konfiguration durch die Organisation nicht taten. Maximieren Sie den Schutz, den Sie durch die vorhandenen Sicherheitskontrollen haben.
Richten Sie eine Zwei-Faktor-Authentifizierung ein: Cyberkriminelle sind geschickt darin, auf gültige Anmeldeinformationen zuzugreifen und diese zu nutzen, um zu einer tiefgreifenden Kompromittierung zu führen. Alle Benutzer sollten eine Zwei-Faktor-Authentifizierung einrichten, um es Kriminellen zu erschweren, privilegierten Zugriff zu nutzen, um ihre Ziele zu erreichen. Das Problem des Schutzes von Identitäten wird dadurch jedoch nicht vollständig gelöst. Daher sollten Sie nach einem robusten Prozess für die Verwaltung von privilegiertem Zugriff suchen, der den Schaden begrenzt, den Angreifer anrichten können, wenn sie sich Zugang verschaffen, und die Wahrscheinlichkeit von Seitwärtsbewegungen verringert.
Wie Ontrack helfen kann
Wenn bösartiger Code Ihr System infiziert und Geld erpresst, können die Gesamtauswirkungen - Ausfallzeiten, Reputationsschäden und das Lösegeld selbst - katastrophal sein.
Sammlung von proprietären Tools entwickelt, um Daten aus mit Ransomware verschlüsselten Dateien wiederherzustellen. Obwohl jeder Ransomware-Vorfall einzigartig ist und in seiner Komplexität variiert, ist eine Datenwiederherstellung oft möglich. Obwohl wir nicht garantieren können, dass eine Wiederherstellung von Ransomware möglich ist, können wir eine kostenlose Beratung für Unternehmen garantieren, um unsere Prozesse durchzugehen und festzustellen, wie die besten Ergebnisse aussehen könnten.
Um mehr zu erfahren, besuchen Sie unsere Website
Beauftragen Sie Ihre kostenlose* Datenrettungsanalyse
Sie erhalten eine kostenlose Abholung Ihres Speichermediums und eine Einschätzung der wiederherstellbaren Daten sowie ein Festpreisangebot. Dann erst entscheiden Sie, ob Sie Ontrack beauftragen möchten.
Die Dauer der Analyse beträgt ca. 4 Stunden für Einzelfestplatten (HDD, SSD) und RAID-Systeme, für Smartphones & Tablets können bis zu 4 Arbeitstage benötigt werden. Dieser Zeitrahmen gilt innerhalb unserer üblichen Geschäftszeiten (Mo bis Fr 9.00-17.00 Uhr). Außerhalb unserer Geschäftszeiten steht Ihnen für den Notfall-Service die kostenlose 24-h Hotline zur Verfügung.
- Datenrettung für Smartphone zum Festpreis für nur 590,- € inkl.MwSt.
- Datenrettung für Einzelfestplatten ab 594,- € inkl. MwSt. Nach der Analyse wird der Preis je nach Komplexität der Arbeiten und der gewünschten Dringlichkeit festgelegt.
- *Bei gelöschten Daten/formatierten Medien/ Wasser- und Brandschäden ist eine kostenpflichtige Diagnose notwendig.