Sie haben Fragen?

info@8com.de
+49 6321 48446-0

Ransomware-Attacken frühzeitig erkennen

19. August 2020

Angriffe mit Ransomware sind eine echte Bedrohung für die Existenz vieler Unternehmen. Umso wichtiger ist es, den Cyberkriminellen so entschlossen wie möglich entgegen zu treten. Dazu gehört auch, das eigene Netzwerk regelmäßig nach Auffälligkeiten zu durchsuchen, die auf einen laufenden Angriff hindeuten könnten. Denn was viele nicht wissen: Die Verschlüsselung der Daten ist nur der letzte, dann deutlich sichtbare Schritt des Angriffs. Eine Ransomware-Attacke kann von der ersten Sicherheitsverletzung bis zum finalen Einsatz der eigentlichen Verschlüsselungssoftware mehrere Wochen oder gar Monate dauern. In dieser Zeit können sich die Kriminellen mehr oder weniger frei im Netzwerk bewegen. Doch wer sein Netzwerk regelmäßig auf Auffälligkeiten prüft, kann einige frühe Indikatoren entdecken, die auf das Eindringen von Hackern schließen lassen.

Dazu gehört, eines der beliebtesten Einfallstore für Hacker zu sichern: Die sogenannten Remote Desktop Protocol (RDP)-Links. Diese haben besonders in den vergangenen Monaten des Lockdowns an Relevanz für viele Unternehmen gewonnen, denn sie ermöglichen das Arbeiten von zu Hause. Um geschütztes Remote Working zu ermöglichen, müssen diese Verbindungen gut gesichert sein, etwa durch eine Mehrfaktor-Authentifizierung und einen VPN-Tunnel, ansonsten bieten sie Kriminellen eine breite Angriffsfläche. Ein regelmäßiger Scan der Links nach unsicheren Verbindungen verringert das Risiko einer Attacke zudem deutlich. Ein weiterer Angriffsvektor sind Phishing-E-Mails, die an die Angestellten des Unternehmens versandt werden und immer professioneller aussehen. Nur ein geschulter Mitarbeiter, der weiß, worauf er zu achten hat, kann derartige Versuche erkennen und entsprechend handeln. Häufen sich die Phishing-Versuche, ist das ein deutliches Indiz dafür, dass ein Unternehmen unter Beschuss steht und besonders vorsichtig agieren sollte.

Auch unerwartete Software, die im Netzwerk angezeigt wird, ist ein Warnsignal, das man ernst nehmen sollte. Hier helfen ebenfalls regelmäßige Scans, solche Programme frühzeitig zu entdecken. Insbesondere Netzwerkscanner sind ein beliebtes Tool unter kriminellen Hackern, um möglichst viele Bereiche eines Netzwerks nach Schwachstellen zu durchsuchen. Auch das frei im Netz verfügbare Tool Mimikatz sollte alle Alarmglocken schrillen lassen, wenn es entdeckt wird, denn damit lassen sich zwischengespeicherte Anmeldedaten eines Windows-Rechners anzeigen. Gemeinsam mit Microsoft Process Explorer setzen Kriminelle es ein, um Passwörter und andere Log-In-Informationen zu stehlen.

Da Ransomware-Angriffe in vielen Fällen auf einem einzelnen Rechner beginnen und sich von dort immer weiter im Netzwerk verbreiten, versuchen viele Angreifer, über selbsterstellte Administratoren-Konten ihre Rechte mittels Microsofts PowerShell zu erhöhen. Auch Sicherheitssoftware lässt sich mit einem solchen Konto deaktivieren. Das lässt sich verhindern, indem Unternehmen ihr Kontoverwaltungs- oder Ticketing-System mit einer Liste der real existierenden Konten abgleichen. So lassen sich unbefugte Administratorenkonten aufspüren und unschädlich machen.

Die bisher genannten Schritte der Kriminellen können sich über Tage, Wochen oder sogar Monate hinziehen, denn je langsamer und vorsichtiger sie vorgehen, desto unwahrscheinlicher ist es, dass sie entdeckt werden. Nähert sich dann der Tag X, an dem der eigentliche Angriff mit der Ransomware stattfinden soll, werden auch die Warnzeichen immer deutlicher. So versuchen viele Angreifer, Active-Directory- und Domain-Controller zu deaktivieren und Sicherungen der Daten zu beschädigen. Auch Systeme, die Sicherheitsupdates und Patches bereitstellen, werden häufig deaktiviert, damit die von den Kriminellen ausgenutzte Sicherheitslücke nicht geschlossen werden kann.

Wer eines oder gar mehrere dieser Frühwarnsignale feststellt, sollte möglichst schnell aktiv werden. Eventuell offene RDP-Sitzungen sollten umgehend geschlossen werden und auch das Erzwingen einer Passwortänderung zwischen den Kernsystemen kann ratsam sein. Zudem kann man die Nutzung von PowerShell einschränken, um die Ausbreitung im Netzwerk zu erschweren. Von selbst versteht es sich, dass man verwendete Software auf dem neuesten Stand hält, um die Angriffsfläche von vornherein so gering wie möglich zu halten.

Bild (c) zephyr_p / Adobe Stock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen