Ransomware-Attacken: Abwehrmaßnahmen von Palo Alto Networks

16 praxisbewährte Abwehr-Maßnahmen

Sie sollen helfen zu verhindern, dass sich Unbefugte Zugriff auf die Datenbestände verschaffen und Daten als „Geisel“ nehmen. Dazu erklärt Josip Benkovic, Director Public Sector bei Palo Alto Networks:

„In vielen Fällen bleiben Ransomware-Angriffsversuche ohne Erfolg, da die Sensibilität der potentiellen Opfer gerade in jüngster Zeit zugenommen hat. Dennoch wird immer wieder das von den Cyberkriminellen geforderte Lösegeld gezahlt, damit wertvolle Daten wieder entschlüsselt werden. Dies war in Deutschland zuletzt der Fall in der unterfränkischen Gemeinde Dettelsbach, die mit dem Erpresser-Trojaner TeslaCrypt zu tun hatte“

„Weitere aktuelle Ransomware-Familien wie Locky und KeRanger haben es auch auf Behörden und ähnliche Einrichtungen abgesehen.“

Wie funktioniert Ransomware?

Viele Behörden haben ihre Mitarbeiter bereits dahingehend geschult, Phishing-E-Mails zu löschen. Ransomware arbeitet mit ähnlichen Social-Engineering-Techniken – und es gelingt immer wieder, dass Benutzer entsprechende Nachrichten öffnen, auf Links oder Anhänge klicken und damit bösartige Software herunterladen. Oft wird dabei die Verbindung selbst verschlüsselt. Wenn verdächtige Links in E-Mails nicht entschlüsselt werden, können diese von der Sicherheitssoftware nicht erkannt werden. In anderen Fällen wird die Malware auf einer legitimen, zuvor infizierten Website untergebracht und die Verbrecher warten dann, bis jemand die Website besucht.

Ransomware ist schwieriger zu erkennen und zu verhindern als andere Malware. Da die Malware sich schnell ändert, wird die Netzwerksicherheitssoftware oft getäuscht. Selbst gute Sanierungsverfahren greifen oft zu spät, um Datenbestände zu retten, da diese bereits verschlüsselt worden sind.

Die Sicherheitsempfehlungen vom Palo Alto Networks:

Mitarbeiter und Prozesse

• Aktualisieren Sie Ihre bestehenden Schulungsmaßnahmen, um Mitarbeiter und Auftragnehmer über diese Bedrohungen zu unterrichten, was es zu beachten gilt und wie etwas Verdächtiges gemeldet werden sollte. Das Training sollte möglichst praxisnah sein, um die Bedrohung zu verdeutlichen und das Alarmbewusstsein der Mitarbeiter, wenn sie Phishing-Mails erhalten, zu schulen.
• Führen Sie stündlich Backups auf kritischen Systemen und tägliche Backups für alle anderen Systeme aus. Etablieren Sie einen angemessenen Backup-Plan für Ihre gesamte Netzwerkumgebung, einschließlich der Daten auf allen Endbenutzer-Systemen.
• Patch-Prozesse sollten so zeitnah wie möglich umgesetzt werden. Viele Exploits kompromittieren Netzwerke, weil sie es können. Behörden sind oftmals zu langsam bei den Patch-Zyklen. Optimieren Sie  diese Prozesse und verkürzen Sie die Patch-Zyklen nach Möglichkeit. 
• Deaktivieren Sie Flash generell, wenn möglich.
• Schränken Sie „gemountete“ Dateifreigaben so weit wie möglich ein. Dies ist ein oft vergessener Angriffsvektor und hat das Potenzial, den größten Schaden in einer Netzwerkumgebung zu hinterlassen.

Technische Maßnahmen auf Netzwerkebene

• Erstellen Sie eine Whitelist von Anwendungen auf Ihrem Gateway. Falls Sie kein anderes Whitelisting vornehmen, sollten Sie zumindest die folgenden Anwendungen blockieren: Unbekannte TCP/UDP-Anwendungen, hochriskante Anwendungen, die Sie nicht brauchen; und alle File-Sharing-Anwendungen, wie zum Beispiel Dropbox oder Box, die ein Mechanismus sein können, um Malware auszuliefern.
• Erstellen Sie eine Whitelist von Anwendungen in Ihrem Rechenzentrum. Da dies ein kritischer Punkt ist, können Sie hier restriktiver sein.
• Blockieren Sie bekannte bösartige URLs (in der Palo Alto Networks Plattform ist dies die Malware-Kategorie).
• Blockieren Sie unbekannte URLs oder schalten Sie eine „Weiter“-Seite dazwischen, um Benutzer zu warnen und automatische Downloads/Dropper zu unterbrechen.
• Wenn Sie die Palo Alto Networks Plattform nutzen: Aktivieren Sie alle „Threat Prevention“-Funktionen zur Bedrohungsabwehr (IPS, AV, Spyware) für den gesamten Verkehr und rund um die Uhr. Neuere IPS-Regeln wurden hinzugefügt, um etwa per E-Mail gesendete Javascript-Dateien zu blockieren, die als Dropper verwendet werden können.
• Blockieren Sie Datei-Downloads von allen unbekannten URLs.
• Aktivieren Sie SSL-Entschlüsselung. Denken Sie daran, dass die bösartige Nutzlast durch SSL ausgeliefert werden kann.

Technische Maßnahmen an den Endpunkten

• Mit einer Lösung zur verhaltensbasierten Malwareerkennung  können Sie Exploit-Prävention auf allen Ihren kritischen Ressourcen aktivieren.
• Erlauben Sie keine Ausführung von unbekannten Executables. Halten Sie die Daten zurück, bis idealerweise ein Cloud-basierte Sandboxlösung ein Urteil über die Datei liefert.
• Verbieten Sie die Ausführung von .exe-Dateien von riskanten Positionen, z.B. einem tmp-Verzeichnis, aus.

Allgemeine Empfehlung:

Nutzen Sie die globale Zunahme von Ransomware als Chance, um Ihre Sicherheitspraktiken zu überdenken und gegebenenfalls nachzubessern, unabhängig davon, welches Rahmenwerk (ISO-27000-Serie, NIST Cyber ​​Security Framework etc.) Sie verwenden.