Ransomware ist eine der gefährlichsten Arten von Cyberangriffen. Ihr Ziel ist es, Unternehmensdaten zu blockieren und Lösegeld zu erpressen. Was würden Sie tun, wenn Sie die Möglichkeit hätten, die Zeit zurückzudrehen? Die neue Ransomware Remediation Technologie von ESET ermöglicht es, wichtige Daten zu schützen, selbst wenn es Angreifern gelingt, Ihre Abwehr zu überwinden.
Manchmal gelingt es Angreifern trotz solider Sicherheitsvorkehrungen, Ransomware in einem Unternehmensnetzwerk zu installieren. Doch selbst in diesem Fall sind sensible Dateien möglicherweise nicht gefährdet. Die neue Funktion Ransomware Remediation schützt ausgewählte Daten, wenn ein Unternehmen einem Angriff zum Opfer fällt.
Eine unangenehme Eigenschaft von Ransomware ist ihre Fähigkeit, Benutzer von Firmencomputern zu verschlüsseln und auszusperren, wodurch wichtige Arbeitsabläufe unterbrochen werden. Das Ergebnis? Laut dem IBM-Bericht „2024 Cost of Data Leakage“ belaufen sich die durchschnittlichen Ausgaben pro Ransomware-Angriff auf 4,91 Millionen Dollar, je nachdem, ob die Strafverfolgungsbehörden beteiligt waren.
Die Wiederherstellung nach einem Angriff kann nicht nur finanzielle Schwierigkeiten verursachen, sondern auch Tage, Monate oder sogar Jahre dauern, abhängig von Faktoren wie der Hartnäckigkeit der Bedrohung auf den angegriffenen Systemen oder der Bereitschaft des Sicherheitsteams.
Daher sind die Wiederherstellung des Betriebs und die damit verbundenen Ausgaben ein Problem. Manchmal kommt es sogar so weit, dass das Unternehmen das Lösegeld bezahlt und sich auf den guten Willen des Angreifers verlässt, den Entschlüsselungsschlüssel zu liefern. Unternehmen können so leicht in den Trümmern ihrer Sicherheitsversäumnisse landen. Aber was wäre, wenn es einen Weg gäbe, sich aus den Fängen solch kostspieliger Verschlüsselungssysteme zu befreien?
Ransomware ist ein Schreckgespenst für Unternehmen jeder Größe
Angesichts der sich ständig weiterentwickelnden Ransomware-Malware und der Existenz ausländischer, von Regierungen gesponserter Angreifer sieht die Bedrohungslage für kleine und mittlere Organisationen, große Unternehmen und staatliche Infrastrukturen ausgesprochen ungünstig aus, da die Ransomware-Rate weiter steigt (laut Verizon macht Ransomware inzwischen 23 % aller Sicherheitsverletzungen aus).
Für kleine und mittlere Unternehmen ist die Situation besonders schwierig, da sie weniger Mittel für die Cybersicherheit bereitstellen. Diese Unternehmen stehen immer wieder im Fadenkreuz von Ransomware-Angreifern (ESET fand heraus, dass im asiatisch-pazifischen Raum einer von vier Angriffen auf KMU durch Ransomware verursacht wurde).
Bedrohungen wie Ransomware basieren darauf, dass Opfer gezwungen werden, hohe Lösegelder zu zahlen, um ihre Systeme wiederherzustellen. Außerdem können die Angreifer versuchen, Backups von Daten zu löschen, so dass eine Wiederherstellung ohne ihre Hilfe unmöglich ist. Sich jedoch auf den guten Willen von Cyberkriminellen zu verlassen, um ein System wiederherzustellen, ist ungefähr so vernünftig wie ein Schaf, das darauf vertraut, dass der Wolf es nicht frisst, wenn es hungrig ist.
Der beste Weg, Ransomware zu stoppen, ist, sie von vornherein zu verhindern. ESET weiß, dass die Verhinderung von Cyber-Bedrohungen der Schlüssel zur Sicherheit ist. Dies wurde auf der ESET Technology Conference 2024 bestätigt, wo Erfolgsgeschichten im Zusammenhang mit unserem ESET Managed Detection and Response (MDR) Service vorgestellt wurden. In einem Fall konnten die ESET-Sicherheitsteams die Mallox-Ransomware bereits im Frühstadium stoppen, bevor sie Schaden anrichten konnte. Auch das Modul ESET Ransomware Shield, das als Teil unseres Host-Based Intrusion Prevention System (HIPS) entwickelt wurde, ist in der Lage, Ransomware in Echtzeit zu erkennen und zu neutralisieren.
Unternehmen, für die Prävention nicht das primäre und ultimative Ziel einer Verteidigungsstrategie ist, sollten es dennoch unter allen Umständen vermeiden, Systeme mit Hilfe von Angreifern wiederherzustellen, also kein Lösegeld zu zahlen, sondern sich auf die Verbesserung von Sanierungsplänen konzentrieren.
Ransomware: ein Kampf ohne Aussicht auf Erfolg?
Es gibt drei Möglichkeiten, auf Ransomware zu reagieren, die Ihre Systeme verschlüsselt:
- Systeme aus dem Backup wiederherstellen.
- Warten Sie auf die Veröffentlichung des Entschlüsselungsschlüssels, der oft von Cybersecurity-Forschern bereitgestellt wird.
- Zahlen Sie das Lösegeld und hoffen Sie, dass Sie den Entschlüsselungsschlüssel erhalten.
Das Problem ist, dass keiner dieser Ansätze ideal ist. Nach der Vorbeugung ist die Datensicherung die zweitbeste Alternative – sie ist eine gute Wahl, wenn Sie Ihr System nach einem Malware-Angriff, einem fehlerhaften Update oder sogar bei einem Upgrade auf ein neues Gerät in seinen ursprünglichen Zustand zurückversetzen müssen. Allerdings hat die Datensicherung auch ihre Tücken: Selbst die richtige Konfiguration garantiert nicht, dass alle Daten erhalten bleiben.
Eine weitere Kategorie sind frei verfügbare Schlüssel. Es ist zwar gut, dass Sicherheitsforscher, wie die an der No More Ransom-Initiative beteiligten (einschließlich ESET), Reverse Engineering zur Bekämpfung von Ransomware einsetzen, aber dieser Ansatz erfordert viel Zeit und Mühe. Wegen der Wiederherstellung des Datenverkehrs könnte ein Unternehmen jahrelang mit unbrauchbaren Systemen zubringen, was aus Sicht der Einnahmen ein ziemlich ungünstiges Szenario ist.
Sicherheitsexperten raten daher davon ab, das Lösegeld zu zahlen. Wenn ein Unternehmen jedoch verzweifelt genug ist, das Geld zu überweisen, sollte es dies im Beisein der Strafverfolgungsbehörden und eines Anbieters von Cyber-Risikoversicherungen tun, um eine ordnungsgemäße Aufbewahrung der Unterlagen und ein Haftungsmanagement sicherzustellen.
Wenn Ransomware die Zeit zurückdrehen könnte
Werfen wir einen genaueren Blick auf das Backup. Sie sind zwar nützlich, können aber auch zur Zielscheibe von Angreifern werden. Das Löschen oder Verändern von Unternehmens-Backups führt dazu, dass das Unternehmen nicht mehr zum normalen Betrieb zurückkehren kann, was die Wahrscheinlichkeit erhöht, dass ein Lösegeld zur Wiederherstellung der Systeme gezahlt werden muss.
ESET-Experten des MDR-Teams entdeckten kürzlich einen Angreifer, der eine Schwachstelle in Backup- und Wiederherstellungssoftware ausnutzen wollte, um die betreffenden Backups zu löschen. Eine ähnliche Taktik wird angewandt, wenn Angreifer versuchen, Backups zu beschädigen oder zu verschlüsseln, was in 94 % der Fälle geschieht. Für Unternehmen mit ungeschützten Backups sind die Kosten für die Wiederherstellung viel höher, fast doppelt so hoch.
Jede Bedrohung erfordert einen spezifischen Ansatz, insbesondere wenn sie sich ständig weiterentwickelt. Da sich Ransomware zunehmend auf Backups konzentriert, hinkt ESET nicht hinterher und erweitert das Modul Ransomware Shield mit zusätzlicher Technologie in Form von Ransomware Remediation, um Ihre Zukunft durch die Vergangenheit zu sichern.
Was ist ESET Ransomware-Sanierung?
Die Minimierung der Folgen eines möglichen Ransomware-Angriffs auf Ihr Unternehmen ist entscheidend. Ransomware Remediation kombiniert Prävention und Abhilfe in einem und bietet einen umfassenden, mehrstufigen Ansatz zur Bekämpfung von Verschlüsselung.
Der gesamte Prozess beginnt mit dem Modul ESET Ransomware Shield, das durch verdächtige Aktionen ausgelöst wird. Wie andere verhaltensbasierte Erkennungssysteme, z. B. HIPS, arbeitet es mit den ESET LiveSense-Technologien zusammen und zerlegt und analysiert Malware bis auf ihren Kern. Wenn Ransomware Shield feststellt, dass es sich bei einem Prozess wahrscheinlich um Ransomware handelt, markiert es diesen und startet den Abhilfeprozess.
Ransomware Remediation beginnt dann mit der Erstellung von Dateisicherungen für alle Dateioperationen, die von dem markierten Prozess betroffen sind (bevor der markierte Prozess Änderungen vornimmt). Dies geschieht so lange, bis Ransomware Shield feststellt, dass der Prozess in Ordnung ist, und dann das Backup löscht. Wenn Ransomware Shield den Prozess als bösartig einstuft, wird er beendet und die Dateien werden aus dem Backup wiederhergestellt.
Ein solcher Backup-Prozess ist viel umfassender, da es sich im Gegensatz zu Schattenkopie-basierten Lösungen nicht um einen lokalen Dienst handelt, der von Angreifern ausgenutzt werden könnte. Ransomware Remediation verfügt über einen eigenen geschützten Speicherbereich auf der Festplatte, in dem die Dateien nicht verändert oder beschädigt werden können. Auch der Angreifer kann das erstellte Backup nicht löschen, wodurch eine der häufigsten Schwachstellen eines regulären Backups nach einem Ransomware-Angriff behoben und aktiv blockiert wird.
Zukunft trifft Vergangenheit
Die Rolle des Administrators in diesem Prozess besteht darin, die Möglichkeiten dieser Funktion zu verstehen und Dateitypen zum Filter hinzuzufügen, den Ransomware Remediation dann bei der Erstellung von Backups anwendet. Die einzige Beschränkung für Backups ist die Größe der Festplatte (und die maximale Größe von 30 MB pro Datei).
Weitere Informationen darüber, wie die Ransomware-Beseitigung funktioniert, finden Sie auf der Website von ESET.
Dieser Artikel stammt aus dem Blog von ESET. Die vollständige Version finden Sie unter bezpecnevofirme.eset.com.
