Blog
/
Eindämmung von Ransomware

Ransomware verstehen: Das häufigste Angriffsmuster

Illumio Editorial
,
March 16, 2022
23 min. Lesedauer

Die digitale Transformation ist jetzt die Nummer eins strategisches Geschäftsziel. Von Sydney bis San Francisco arbeiten die Vorstandsetagen daran, wie das Potenzial von Cloud, KI, IoT und mehr am besten genutzt werden kann, um den Erfolg voranzutreiben. Ihre Bemühungen sind nicht nur entscheidend, um neue Kundenerlebnisse zu schaffen und Geschäftsprozesse zu rationalisieren. Sie sind auch entscheidend für die Unterstützung des neuen hybriden Arbeitsmodells, das schnell aus der Asche der Pandemie hervorgegangen ist.

Der Preis, den Unternehmen häufig für den Ausbau ihres digitalen Fußabdrucks zahlen, ist jedoch die Erweiterung der Cyberangriffsfläche. Dies birgt Cyberrisiken — insbesondere die Gefahr von Schäden Ransomware Verstöße.

Derzeit sind zahlreiche Ransomware-Entwickler und Affiliate-Gruppen auf der ganzen Welt tätig. Das bedeutet, dass auch eine Vielzahl von Angriffstaktiken, -techniken und -verfahren im Umlauf sind. Das heißt aber nicht, dass wir kein primäres unterscheiden können modus operandi. Und was noch besser ist: Wir können dieses allgemeine Angriffsmuster nutzen und einen einfachen dreistufigen Prozess anwenden, um das Ransomware-Risiko zu mindern.

Das ist der Wert von Mikrosegmentierung basierend auf einem umfassenden Einblick in die Kommunikation der Netzwerkressourcen und der gemeinsamen Pfade, die von Bedrohungsakteuren genutzt werden.

In diesem Blogbeitrag werden häufig gestellte Fragen zur Funktionsweise von Ransomware beantwortet — und wie man sie stoppen kann.

Warum ist Ransomware wichtig?

Ransomware erreicht Rekordwerte innerhalb der ersten drei Quartale 2021. Ein Anbieter verzeichnete weltweit fast 500 Millionen Kompromittierungsversuche. Angriffe haben sich in den letzten Jahren so weit entwickelt, dass Datenexfiltration heute die Norm ist, was ein völlig neues Element des Geschäftsrisikos darstellt. Das bedeutet, dass Unternehmen nicht einfach Daten sichern und die Daumen drücken können. Es besteht ein echtes Risiko, dass finanzielle Schäden und Reputationsschäden allein durch die Datenschutzverletzung verursacht werden.

Heute könnten sogenannte Angriffe mit „doppelter Erpressung“ zu folgenden Folgen führen:

  • Regulatorische Bußgelder
  • Verlorene Produktivität
  • Verlorene Verkäufe
  • Kosten für IT-Überstunden zur Deckung und Untersuchung
  • Anwaltskosten (z. B. Sammelklagen im Falle einer Datenschutzverletzung)
  • Kundenabwanderung
  • Sinkender Aktienkurs

Jede Organisation und jeder Angriff ist anders. Während einige Kommentatoren das schätzen durchschnittliche finanzielle Auswirkungen bei fast 2 Millionen Dollar heute, einige Überfälle haben gekostet Hunderte Millionen Opfer. Daher ist es unerlässlich, proaktive Maßnahmen zu ergreifen, um der Bedrohung entgegenzuwirken.

Wie funktioniert Ransomware?

Die gute Nachricht ist, dass wir trotz der vielen Varianten und Affiliate-Gruppen, die heute in Betrieb sind, ein Grundmuster für die meisten Angriffe erkennen können. Kurz gesagt, Bedrohungsakteure:

  • Verstecken Sie sich monatelang in Netzwerken, bevor Sie zuschlagen.
  • Nutzen Sie gemeinsame Pfade für den ersten Netzwerkzugriff und die fortlaufende laterale Bewegung.
  • Führen Sie Aktionen in mehreren Phasen durch, um ihre Ziele zu erreichen.

Lassen Sie uns näher auf jedes dieser Themen eingehen.

Wie bleiben Angreifer so lange unentdeckt?

Das Ziel von Angreifern ist es, sich zu verstecken, bis sie eine ausreichend starke Präsenz im Netzwerk eines Opfers aufgebaut haben, um große Mengen vertraulicher Daten zu stehlen und Ransomware überall einzusetzen.

Um dies zu tun, gehen sie wie folgt vor:

  • Zugriff auf eine Ressource, von der das Unternehmen nicht wusste, dass sie anfällig oder gefährdet ist — sei es ein Gerät, eine Anwendung oder ein Workload mit einer offenen Verbindung zum Internet und anderen Netzwerkressourcen
  • Verwenden Sie Pfade/Datenflüsse, von denen das Unternehmen nicht wusste, dass sie offen sind und die gemäß den bewährten Sicherheitsrichtlinien geschlossen werden sollten
  • Kompromittieren Sie mehrere Systeme, die mehrere Funktionen umfassen, was es für Teams schwierig macht, alles auf einen einzigen Vorfall zurückzuverfolgen

Wie nutzen Angreifer gemeinsame Pfade aus?

Die meisten Ransomware kommt über Phishing-E-Mails, RDP-Kompromiss oder Ausnutzung von Software-Sicherheitslücken. Um die Erfolgschancen zu erhöhen, suchen Angreifer nach:

  • Eine kleine Gruppe beliebter Pfade mit hohem Risiko wie RDP oder SMB. Diese sind in der Regel unternehmensweit, leicht zuzuordnen und oft falsch konfiguriert.
  • Öffnen Sie Ports und ausnutzbare Ressourcen mithilfe automatisierter Scans mithilfe von Skripten und Crawlern.
  • Möglichkeiten, sich schnell von der Seite zu bewegen und diese risikoreichen Pfade zu nutzen, um sich innerhalb weniger Minuten unternehmensweit auszubreiten.

Wie funktionieren mehrstufige Angriffe?

Die meisten Angriffe beginnen mit der Kompromittierung einer Ressource von geringem Wert, da diese in der Regel leichter zu kapern sind. Der Trick für Bedrohungsakteure besteht dann darin, zusätzliche Stufen zu durchlaufen, um an wertvolle Ressourcen zu gelangen, von denen sie Daten stehlen oder verschlüsseln können. So können sie das Opfer erpressen.

Um dies zu tun, gehen Angreifer in der Regel wie folgt vor:

  • Nutzen Sie die schlechte Sichtbarkeit, die schlechten Richtlinienkontrollen und die Segmentierung eines Unternehmens.
  • Stellen Sie eine Verbindung zum Internet her, um zusätzliche Tools herunterzuladen, die Sie bei den nächsten Phasen eines Angriffs unterstützen, oder um Daten auf einen Server zu exfiltrieren, der unter ihrer Kontrolle steht.
  • Verursachen Sie den größten Schaden durch seitliche Bewegungen — das ist der Vorgang, bei dem im Netzwerk von Gerät zu Objekt hin- und hergesprungen wird.

Drei einfache Schritte, um Ransomware zu stoppen

Unter Berücksichtigung dieses typischen Angriffsmusters können CISOs beginnen, eine Antwort zu entwickeln — eine neue Sicherheitsarchitektur, die auf drei einfachen Komponenten basiert:

1. Entwickeln Sie einen umfassenden Überblick über die Kommunikationsflüsse in Ihrer Umgebung

Dadurch haben Ihre Angreifer keine Möglichkeit, sich zu verstecken, und sie werden entlarvt, wenn sie versuchen, das ursprüngliche Asset zu kompromittieren, oder während einer seitlichen Bewegung.

Um dies zu tun, müssen Sie:

  • Verschaffen Sie sich einen Überblick über alle Ressourcen in Echtzeit, sodass Sie alle unwichtigen oder anomalen Datenflüsse bewältigen können.
  • Erstellen Sie eine Echtzeitkarte der Umgebung, um zu ermitteln, welche Workloads, Anwendungen und Endpunkte geöffnet bleiben müssen und welche geschlossen werden können.
  • Erstellen Sie eine einheitliche Ansicht der Kommunikationsabläufe und Risikodaten, anhand derer alle Betriebsteams arbeiten können, und reduzieren Sie so interne Reibungen.


2. Entwickeln Sie Funktionen zum Blockieren von Ransomware

Es reicht nicht aus, lediglich Kommunikationsflüsse abzubilden und zu verstehen, welche Vermögenswerte geschlossen werden können. Du musst Maßnahmen ergreifen, um die Angriffsfläche zu reduzieren und laufende Überfälle abzuwehren.

Tun Sie dies, indem Sie:

  • Schließen Sie so viele Pfade mit hohem Risiko wie möglich und überwachen Sie die noch offenen Pfade in Echtzeit.
  • Schließen Sie alle Ports, die nicht geöffnet sein müssen, wodurch die Wahrscheinlichkeit verringert wird, dass automatische Scans exponierte Ressourcen finden.
  • Erstellung eines Notfall-Switches, der innerhalb von Sekunden gestartet werden kann, um die Netzwerkkommunikation im Falle eines Angriffs einzuschränken.

3. Isolieren Sie kritische Vermögenswerte

Die letzte Phase besteht darin, Angreifer daran zu hindern, kritische Ressourcen zu erreichen, sodass sie gezwungen werden, leichter zu erkennende Maßnahmen zu ergreifen, um voranzukommen.

Dies beinhaltet:

  • Abschirmung von Anwendungen, um zu verhindern, dass wertvolle Vermögenswerte kompromittiert werden.
  • Ausgehende Verbindungen zu nicht vertrauenswürdigen IP-Adressen schließen und nur solche zulassen, die über eine zugelassene IP-Adresse verfügen. “Lista de zulassungen. “
  • Development of safety measures after an security loss to protection critical resources and to prevention of attacks.

Der Kampf beginnt hier

Kein Unternehmen kann heute hundertprozentig vor Sicherheitslücken geschützt sein — dafür sind die Angreifer entschlossen, gut ausgestattet und zahlenmäßig stark. Aber mit dem richtigen Fokus auf Netzwerktransparenz, Richtlinien-Kontrollen und Segmentierung können Sie eine intelligente Sicherheitsarchitektur Es ist wahrscheinlicher, dass die Bedrohung isoliert wird.

Die meisten Bedrohungsakteure sind opportunistisch und suchen nach einem schnellen und einfachen ROI. Sie ergreifen diese drei Schritte, um ihre Pläne zu durchkreuzen, und Sie haben eine große Chance, ernsthafte Kompromisse zu vermeiden.

Erfahre mehr:

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Entmystifizierung von Ransomware-Techniken mithilfe von.NET-Assemblys: EXE- und DLL-Assemblys
Eindämmung von Ransomware

Entmystifizierung von Ransomware-Techniken mithilfe von.NET-Assemblys: EXE- und DLL-Assemblys

Lernen Sie die wichtigsten Unterschiede zwischen .Net-Assemblys (EXE und DLL) kennen und erfahren Sie, wie sie in einem anfänglichen High-Level-Code ausgeführt werden.

Lesen Sie mehr
Utilities Attacks Are Becoming More Disruptive: What Operators Can Do
Eindämmung von Ransomware

Utilities Attacks Are Becoming More Disruptive: What Operators Can Do

Learn how utilities attacks are changing and the five strategies operators can use to mitigate today’s threats.

Lesen Sie mehr
AWS und Illumio: Unterstützung des Gesundheitswesens bei der Modernisierung seiner Ransomware-Reaktion
Eindämmung von Ransomware

AWS und Illumio: Unterstützung des Gesundheitswesens bei der Modernisierung seiner Ransomware-Reaktion

Nehmen Sie am 21. September um 9 Uhr PST mit Illumio an einem kostenlosen Webinar über Amazon Web Services (AWS) teil.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr