Möchten Sie vermeiden, ein Opfer von Ransomware zu werden? Und sind Sie dafür verantwortlich, Ihr Unternehmen vor Cyber-Angriffen zu schützen?
Im folgenden Expertentalk der Swiss IT Security Group (Blog und Video) geben Maik Morgenstern - CTO von AV-TEST und Tobi Träbing - Technichal Director EMEA von XM Cyber Beispiele, Erkenntnisse und Vorschläge, wie Sie vermeiden können, Opfer von Ransomware zu werden und wie Sie grösseren Schaden in Ihrem Unternehmen verhindern können.
Tobias Träbing: „Maik, welche Branchen sind die Hauptziele von Ransomware-Angriffen?“
Maik Morgenstern: „Jeder kann zum Ziel werden, egal ob es sich um ein kleines oder mittleres Unternehmen handelt oder um ein Fortune-500-Unternehmen. Angreifern geht es im Wesentlichen um die Maximierung ihres finanziellen Gewinns. Es gibt aber natürlich Studien, die sich mit der Verteilung von Ransomware-Angriffen auf die verschiedenen Branchen beschäftigen:
Trellix meldet Banken, Versorger und Einzelhandel als die Top 3 für 2021, während Sophos die Branchen Medien, Einzelhandel und Energie/Versorgung als Top 3 für 2022 identifiziert. Weitere häufige Ziele sind das Transportwesen, die Dienstleistungsbranche, Bildung und sogar das Gesundheitswesen.
Obwohl bestimmte Branchen anfälliger für Angriffe zu sein scheinen als andere, bleibt Ransomware eine ständige Bedrohung für alle Unternehmen und hat in den letzten Jahren an Bedeutung gewonnen. Aber natürlich sind Unternehmen schlecht beraten, sich nur auf Ransomware zu konzentrieren. Tatsächlich ist Cyberkriminalität zu einem eigenen Geschäftsbereich geworden.“
Sehen Sie sich das komplette Ransomware-Video an:
Mit Drücken des Play-Buttons wird ein YouTube Video geladen und Sie willigen in die Übermittlung der Daten an Google ein. Es gilt die Datenschutzerklärung von Google: https://policies.google.com/privacy
Tobias Träbing: „Kannst du uns die aktuelle Bedrohungslandschaft beschreiben? Was sind die wichtigsten Kategorien von Sicherheitsvorfällen?“
Maik Morgenstern: „Das ist alles miteinander verbunden. Identitätsdiebstahl kann verwendet werden, um Phishing-Websites oder andere Social-Engineering-Angriffe einzurichten, die zum Diebstahl von Anmeldeinformationen führen, und dies wiederum ist der Hauptinfektionsvektor, der zu Ransomware führt. Eine IBM-Studie besagt, dass im Jahr 2021 45% der Ransomware-Angriffe durch Phishing oder Social Engineering erfolgten: Angreifer brechen nicht mehr ein, sie loggen sich ein.
Sicherheitsvorfälle werden in der Regel durch Schwachstellen in IT-Infrastrukturen ermöglicht. Ransomware-Angriffe hingegen sind hier in gewisser Weise ein Sonderfall, da sie häufig von menschlichen Fehlern oder unvorsichtigem Nutzerverhalten abhängig sind. Diese „menschlichen Schwachstellen“ lassen sich aber nicht einfach beheben, und daher geht es am Ende viel mehr darum zu verhindern, dass dieser menschliche Faktor zu katastrophalen Auswirkungen führt. Daher konzentriert sich das Prinzip des Attack Path Managements nicht auf die Verhinderung eines Ransomware-Angriffs, sondern auf die Minimierung des Schadens, indem der Angriff in seinem frühen Stadium gestoppt wird.“
Maik Morgenstern: „Tobi, was sind die häufigsten Risiken, die zu einer Kompromittierung durch Ransomware führen? Und was sind die Best Practices, die Sie empfehlen, um das Risiko zu reduzieren?“
Tobias Träbing: „Ransomware-Familien nutzen häufig bekannte und gewöhnliche Software-Schwachstellen und Fehlkonfigurationen der IT-Sicherheits-Tools wie überprivilegierte Benutzerkonten oder die Mehrfachverwendung von Anmeldedaten aus, um sich über das Netzwerk zu verbreiten.
Zu verstehen, wie diese verschiedenen Sicherheitsprobleme ineinandergreifen und damit einen erfolgreichen Angriff ermöglichen, ist der Schlüssel zur Überwindung von Sicherheitsbedrohungen, insbesondere von Ransomware-Angriffen.
Wesentliche Schritte/Empfehlungen, die sich bei der Vermeidung von Sicherheitsvorfällen als effektiv erwiesen haben, sind:
- Kontinuierliche Sichtbarmachung von Angriffstechniken und -vektoren, um die Gefährdung zu verstehen
- Implementierung eines robusten und intelligenten Schwachstellenmanagement-Prozesses (der nicht nur Software-Schwachstellen, sondern alle sicherheitsrelevanten Probleme abdeckt)
Implementierung eines robusten IT-Sicherheitshygieneprogramms zur ganzheitlichen Überwindung isolierter Probleme, um die negativen Auswirkungen von Infektionen / Angriffen zu reduzieren.
Wie in den meisten Bereichen der IT verändert sich die Bedrohungslandschaft rasant. Und jedes Jahr gibt es ein paar Angriffe, die es auf die Titelseite schaffen, in der Regel entweder wegen der Höhe des entstandenen Schadens, wegen der Prominenz des Opfers oder wegen des innovativen Charakters des Angriffs.„
Tobias Träbing: „Maik, was waren in diesem Zusammenhang die Trends im Jahr 2022? Welche Vorfälle stechen hervor? Welche Angriffe waren die medienwirksamsten?“
Maik Morgenstern: „Wenn wir uns die Geschichte von Ransomware ansehen, begann alles mit Malware, die die befallenen Geräte sperrte und dann drohte, die Daten des Opfers zu löschen. Das Ganze entwickelte sich dann schließlich zu dem, was man heutzutage unter Ransomware versteht: Malware, die Ihre Daten verschlüsselt und ein Lösegeld verlangt, um sie wieder zu entschlüsseln. Und in den letzten Jahren ist noch ein weiterer Trend entstanden: Double Extortion Ransomware. Neben der Verschlüsselung von Dateien werden die Daten auch exfiltriert und der Angreifer droht, diese zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Darüber hinaus sehen wir eine ständige Verbesserung der in EPPs und EDRs verwendeten Technologien, die erfolgreiche Angriffe zunehmend erschwert.„
Der Bedarf an Lösungen zur kontinuierlichen und automatisierten Angriffssimulation steigt.
Viele Ransomware-Angriffe sind nur aufgrund des glücklichen Timings erfolgreich. Die internen Sicherheitstools haben den Angriff möglicherweise bereits erkannt, aber ein einzelner Benutzer, der sich der Folgen nicht bewusst ist, kann die Katastrophe trotzdem noch auslösen.
Maik Morgenstern: „Ist das Timing ein entscheidender Faktor für Ransomware-Angriffe? Welche Rolle spielen Attack Path Management Services bei der Verringerung von Cyberrisiken und der Schließung von Sicherheitslücken?“
Tobias Träbing: „Ja, das Timing ist definitiv ein entscheidender Faktor bei Ransomware-Angriffen. Manche Angriffe sind nur zu einer bestimmten Tageszeit oder an einem bestimmten Wochentag erfolgreich, weil Sie beispielsweise nachts oder am Wochenende möglicherweise weniger sensibilisierte oder auf Sicherheitsaspekte fokussierte Mitarbeiter erreichen oder am frühen Morgen mit einer Phishing E-Mail einen Mitarbeiter erreichen, noch bevor er von der IT vorgewarnt werden kann.
Und das Timing ist auch ein kritischer Faktor, um Angriffspfade und Gefährdungen in Unternehmen zu verstehen. Sehr oft verwenden Unternehmen und verantwortliche Stakeholder „Ad-hoc“-Prozesse oder in Bezug auf den Faktor Zeit ineffiziente Methoden zur Bewertung der Infrastruktur wie Schwachstellenscans und Penetrationstests. Diese Analysen liefern nur eine Momentaufnahme eines bestimmten Zeitrahmens oder gar einer Umgebung – dies wird Unternehmen nicht helfen, die Kontrolle über die sich ständig verändernde Landschaft ihrer IT-Umgebung zu behalten.
Wir sehen jetzt, dass immer mehr Cloud- und IaaS-Anbieter eingesetzt werden, die es Unternehmen ermöglichen, Änderungen im Betrieb noch schneller als zuvor umzusetzen – doch diese Dynamik erhöht das Risiko, Schwachstellen und Sicherheitsprobleme zu übersehen.
Da die Attack Path Management Services kontinuierlich 24×7 laufen, verrät die Plattform den Unternehmen zu jedem beliebigen Zeitpunkt:
- welche Gefahrenpotenziale es gibt und
- wie diese durch Änderungen der Umgebung beeinflusst werden.
APM Services helfen daher:
- schnell und einfach die Auswirkungen neuer Sicherheitslücken (z. B. Log4j) zu verstehen,
- das Cyberrisiko zu messen und zu quantifizieren, um anderen Stakeholdern einen sofortigen Überblick zu geben und
- zu verstehen, was getan werden kann, um Gefahrenpotenziale schnell und effizient zu beseitigen.“
Ungewöhnliche Angriffspfade – wie denkt ein Hacker?
Cyberangriffe im Allgemeinen und Ransomware-Angriffe im Besonderen lassen zwar bei jedem ein ungutes Gefühl zurück, aber sie lösen auch eine gewisse Faszination aus.
Maik Morgenstern:„Was ist die ungewöhnlichste Schwachstelle bzw. der ungewöhnlichste Angriffspfad, der Dir begegnet ist? Wie hat das betreffende Unternehmen das Gefahrenpotenzial beseitigt?“
Tobias Träbing: „Auch wenn sich IT-Sicherheitsrisiken in verschiedenen Umgebungen oft ähneln, decken wir mit unserem Attack Path Management ständig neue Risiken auf. Diese reichen von einfachen „Credential Dumping“-Techniken über die Verwendung der dadurch gestohlenen Identitäten für bösartige Handlungen bis hin zu einem kompletten Domain Trust Attack & Takeover oder schlimmer noch, Golden Ticket-Angriffen.
Ich erinnere mich jedoch an einen bestimmten Angriffspfad: In einer Fabrik wurde ein „vermeintlich gesicherter“ Server verwendet, um unbemannte Fahrzeuge zu koordinieren, um Waren von A nach B zu transportieren. Dieser Server hätte durch die Ausnutzung von Softwareschwachstellen und Fehlkonfigurationen von jedem Office-Endpunkt kompromittiert werden können. Wir haben die Angriffspfade identifiziert und die IT-Umgebung gehärtet, um diesen Server stärker zu sichern/zu isolieren. Darüber hinaus halfen wir dem Kunden, mit dem Server & Application Anbieter in Kontakt zu treten, gaben Einblicke in die Angriffstechniken und erreichten damit, dass der Anbieter seine Anwendung und seinen Server härtete.“
Tobias Träbing: „Maik, was war der ungewöhnlichste Ransomware-Angriff, der Dir je begegnet ist?“
Maik Morgenstern: „Wahrscheinlich, als Lockbit ein Kinderkrankenhaus angriff und dann später eine öffentliche Entschuldigung veröffentlichte und ein Entschlüsselungs-Tool kostenlos zur Verfügung stellte. Dieser Fall ist außerdem ein gutes Beispiel für einen der interessantesten Trends in der „Ransomware-Industrie“. Nach dem Vorfall machte Lockbit einen „Partner“ für die Infektion verantwortlich. Diese skurrile Konstellation wurde möglich durch die Tatsache, dass Lockbit „Geschäftspartnern“ Zugang zu ihrer Malware bietet gegen eine Beteiligung and den Lösegeldeinnahmen: „Ransomware as a Service“
Tobias Träbing: „In welcher Hinsicht sind Angriffe raffinierter geworden?“
Maik Morgenstern: „Zu Beginn der Ransomware-Ära wurde ein infiziertes System sofort verschlüsselt und Angreifer haben Lösegeld gefordert. Die Erpresser hatten dabei keine Ahnung, ob das Opfer ein interessantes, hochkarätiges Ziel war oder nicht. Mittlerweile haben Angreifer gelernt, dass sie mehr Geld verdienen können, wenn sie gezielt Organisationen mit sensibleren Daten angreifen. Daher beginnt ein Angriff mittlerweile mit einer sorgfältigen Analyse der Situation, sobald ein erster Zugang zu dem Netzwerk eines potenziellen Opfers gefunden wurde, um zu entscheiden, ob dies ein gutes Ziel ist. Angreifer bewegen sich dann durch das Netzwerk und suchen nach den sensibelsten Daten und Systemen, die sie exfiltrieren oder verschlüsseln können. Dies ermöglicht es Angreifern, ihre Ressourcen auf jene Ziele zu verwenden, die möglicherweise höhere Lösegelder zahlen würden.“
Dem Hacker einen entscheidenden Schritt voraus
Maik Morgenstern: „Tobi, wie können die Attack Path Management Services helfen? Wie unterstützen sie Unternehmen bei der Vermeidung und Minderung von Ransomware-Risiken?“
Tobias Träbing: „Die Attack Path Management Services bewerten mithilfe der XM Cyber-Plattform kontinuierlich alle verschiedenen Angriffsvektoren und -techniken von Ransomware-Familien, um zu verstehen, wie sie sich innerhalb eines Netzwerks ausbreiten könnten. Die Fähigkeit, die zugrunde liegenden Sicherheitsprobleme wie z. B. Software-Schwachstellen, IT-Sicherheitshygiene und riskantes Benutzerverhalten zu verstehen, ist der Schlüssel zur Vermeidung von Ransomware-Angriffen bzw. zur Minimierung ihrer Auswirkung.
Die Plattform bietet hierfür einen Überblick über die gesamte IT-Landschaft, und zeigt, wie Angreifer Ihr Netzwerk sehen, und mit den Managed Services Deines Unternehmens, der SITS-Group, werden Unternehmen verstehen, was behoben werden muss, um die Angriffspfade von Ransomware-Familien auf alle Entitäten (Cloud, On-Prem, Hybrid) zu stoppen, vor allem aber auf kritische Ressourcen, um einen reibungslosen Geschäftsbetrieb sowie die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten.“
Tobias Träbing: „Maik, was sind die effektivsten Maßnahmen, um Ransomware-Angriffe zu verhindern?“
Maik Morgenstern:
- Regelmäßige Backups aller Daten.
- Identifizieren Sie Daten und Systeme, die besondere Aufmerksamkeit oder zusätzlichen Schutz benötigen.
- Implementieren Sie ein mehrschichtiges IT-Sicherheitskonzept mit mehreren Sicherheitsebenen. Selbst wenn eine Schicht ausfällt, gibt es noch andere, die den Angriff stoppen oder zumindest erkennen können
Tobias Träbing: „Was ist die beste Reaktion, falls schon etwas passiert ist? „
Maik Morgenstern: „Befolgen Sie Ihren Notfallplan und verwenden Sie Ihre Backups. Dies wäre die ideale Lösung, ist aber für die meisten Unternehmen wahrscheinlich nicht die Realität. Wenn etwas passiert ist und Sie Ihre Daten und Systeme nicht wiederherstellen können, arbeiten Sie am besten mit IT-Sicherheitsexperten zusammen, die versuchen, Ihre Daten zu entschlüsseln. Es ist nicht ratsam, mit den Angreifern zusammenzuarbeiten, da es keine Garantie für die Entschlüsselung gibt.
Es reicht offensichtlich nicht aus, Schwachstellen zu identifizieren, sie müssen auch behoben werden. Experten sind sich jedoch einig, dass die schiere Anzahl potenzieller Angriffspunkte es unmöglich macht, jede einzelne Schwachstelle zu beheben. Es ist daher wichtiger denn je, klug zu priorisieren.“
Maik Morgenstern: „Wie priorisieren die Attack Path Management Services Risiken?“
Tobias Träbing: „Es ist wichtig zu verstehen, dass Angreifer oder die automatisierte Verbreitung von Malware mehrere Probleme ausnutzen:
- Software-Schwachstellen
- Fehlkonfigurationen und
- riskantes Benutzerverhalten
In der Vergangenheit haben Unternehmen diese drei Hauptthemen in der IT-Sicherheit in der Regel durch singuläre Ansätze adressiert, z. B. durch den Einsatz eines Schwachstellenscanners für Softwareschwachstellen, eines Konfigurationsmanagement-Tools für Fehlkonfigurationen und so weiter. Die Betrachtung aller Daten in einer einzigen Plattform ist jedoch der Schlüssel, um die gesamte Bedrohungslage zu verstehen. Anstatt nur lange Listen von Software-Schwachstellen abzuarbeiten, hilft die XM Cyber-Plattform, die genaue Gefährdung durch die Kombination mit anderen Sicherheitsproblemen wie Fehlkonfigurationen zu verstehen.
Da wir uns immer darauf konzentrieren, die Auswirkungen der obigen Themen auf kritische Assets zu verstehen, priorisiert die Plattform von vornherein diejenigen Sicherheitsprobleme höher, die ein größere Gefährdungspotenzial für die kritischen Assets haben.
Auf diese Weise können Unternehmen zuerst an den kritischsten Sicherheitsproblemen arbeiten, um kritische Vermögenswerte zu schützen. Darüber hinaus identifiziert die Plattform automatisch kritische Schlüsselknotenpunkte innerhalb der Umgebung – sogenannte Choke Points. Anstatt Sicherheitsprobleme auf verschiedenen Computern anzugehen, können Kunden Angreifer an diesen Choke Points leicht abschneiden und den Angriffspfad unterbrechen.“
Starten Sie jetzt! Und sehen Sie Ihr Netzwerk innerhalb weniger Wochen mit den Augen eines Hackers.
Tobias Träbing: „Was sind die Herausforderungen, die Unternehmen davon abhalten, sich effektiver zu schützen? „
Maik Morgenstern: „Ein wesentlicher Grund ist wohl die Komplexität heutiger Organisationen, sowohl auf persönlicher als auch auf technischer Ebene. Der Zugriff auf Systeme muss auf verschiedenen Zugriffsebenen für verschiedene Personen verwaltet werden. Wer kann auf welche Systeme und welche Daten zugreifen? Außerdem müssen alle Systeme mit Sicherheitspatches auf dem neuesten Stand gehalten und Konfigurationen ständig bewertet und verifiziert werden. Mehrschichtige IT-Sicherheit bedeutet, dass Sie über verschiedene Schutz- und Erkennungsebenen verfügen, die zur Sicherung Ihres Unternehmens beitragen. Gleichzeitig bedeutet dies aber auch, dass Sie eine Vielzahl von Sicherheitssystemen verwalten müssen.„
Maik Morgenstern:„Tobi kannst Du erklären, warum die Angriffspfadmodellierung von XM Cyber in Kombination mit den SITS Services es Unternehmen ermöglicht, Angreifern einen Schritt voraus zu sein und ihr Cyberrisiko kontinuierlich zu reduzieren?“
Tobias Träbing: „Das Verständnis für die verschiedenen Angriffspfade, kombiniert in einer ganzheitlichen graphischen Darstellung, ist der Schlüssel, um zu verstehen, was Angreifer in den Netzwerken von Unternehmen tun können.
Die Beseitigung der wichtigsten Schlüsselschwachstellen (Choke Points) mithilfe von detaillierten Anleitungen zur Behebung hilft Unternehmen dabei, ihre Sicherheitslage kontinuierlich zu verbessern.
In Kombination mit den SITS Services ergeben sich aber noch ganz andere Synergie-Effekte. Die Zusammenarbeit von SITS und XM Cyber ermöglicht es Unternehmen, das fundierte Sicherheits-Know-How der SITS-Experten im Rahmen der Attack Path Management Service-Pakete zu nutzen – wie z.B.
- gezielter Einsatz und Anpassung der Plattform
- detaillierte und maßgeschneiderte Vorschläge zur Behebung von Schwachstellen und deren Umsetzung
- Ausrichtung an Risikomanagement-Frameworks
- Überprüfung und Umsetzung bestehender Sicherheitsprozesse
- Integration in das Incident Management
- Sofortige Unterstützung bei neuen hochkritischen Schwachstellen (z.B. Log4j)“
Fazit
Die Kontrolle über Ihre IT-Infrastruktur ist die Grundlage für einen erfolgreichen Ransomware-Schutz
Der Schutz vor Ransomware beginnt damit, zu verstehen, worauf der Angreifer abzielt
Selbst gut geschützte Unternehmen können Opfer von Ransomware-Angriffen werden Daher ist es entscheidend, dass Unternehmen ihre kritischen Assets kennen und entsprechend schützen.
Warten Sie nicht! Starten Sie jetzt! Innerhalb weniger Wochen sehen Sie, was Hacker sehen.
Hat dieser Expert Talk Ihr Interesse geweckt? Wenden Sie sich mit Ihren Fragen gerne an Maik und Tobi und werfen Sie einen Blick auf unsere Datenblätter, um mehr über unsere Attack Path Management Services zu erfahren.
