„Wenn man den Feind kennt und sich selbst kennt, braucht man das Ergebnis von hundert Schlachten nicht zu fürchten.“ Diese Worte wurden vor über 2500 Jahren geschrieben, aber sie sind auch heute noch für die Cybersicherheit relevant. Die Kenntnis der Angriffsvektoren von Ransomware ist der beste Weg, um Ihre Cyberabwehr zu planen und den reibungslosen Betrieb Ihres Unternehmens zu gewährleisten.
Ransomware-Angriffe und damit auch das Entfernen von Ransomware nehmen an Umfang und Komplexität zu, aber eine erstaunliche Anzahl von Angriffen nutzt immer noch schmerzhaft offensichtliche Schwachstellen aus. Die gute Nachricht ist, dass ein paar einfache Vorsichtsmaßnahmen die meisten Angriffe bereits im Keim ersticken können.
Dieser Artikel befasst sich mit einigen der häufigsten Ransomware-Angriffsvektoren und den besten Methoden, um Hacker daran zu hindern, sie auszunutzen.
Die häufigsten Ransomware-Angriffsvektoren
Phishing
Phishing ist mit großem Abstand der häufigste Ransomware-Angriffsvektor. Das bedeutet, dass der Mensch, nicht der Computer, das schwächste Glied in der Cybersicherheit ist.
Beim Phishing geht es fast immer darum, das Vertrauen des Opfers zu gewinnen. Das Vertrauen kann auf verschiedene Weise gewonnen werden; manchmal gibt man sich als vertrauenswürdige Partei aus, z. B. als Bank oder Kunde, und verleitet das Opfer dann dazu, auf einen bösartigen Link zu klicken oder einen bösartigen Anhang zu öffnen.
Manche Phishing-Angriffe erfolgen über Massen-E-Mails oder Websites, die legitim zu sein scheinen. In anderen Fällen werden sie sehr gezielt durchgeführt, z. B. durch das Hacken des E-Mail-Kontos eines vertrauenswürdigen Kollegen. Der Hacker könnte sogar wochenlang den Schreibstil und die Arbeitsweise eines Opfers studieren, so dass die Phishing-E-Mail völlig glaubwürdig erscheint, wenn er zuschlägt.
Phishing-Angriffe können über Telefonanrufe, SMS, E-Mails und so gut wie jedes andere Kommunikationsmedium erfolgen. Wie kann man sich also vor solch raffinierten Betrügereien schützen?
- Bildung ist der Schlüssel. Hacker versuchen ständig, ihre Techniken zu verfeinern, daher ist es wichtig, sich über die neuesten Methoden auf dem Laufenden zu halten. Dies könnte in Form einer monatlichen Mitarbeiterbesprechung geschehen, bei der das Team einen Überblick über die neuesten beobachteten Phishing-Angriffe erhält.
- Legen Sie Protokolle für den Umgang mit Links und Anhängen fest. Alle Arten von Anhängen, sogar PDFs, können Malware enthalten. Leider ist Software zum Scannen von Links nicht narrensicher, so dass es am besten ist, vor dem Öffnen ungewöhnlicher oder unerwarteter Links immer persönlich mit dem Mitarbeiter zu sprechen.
- Trennen Sie private und berufliche Aktivitäten strikt voneinander. Viele Phishing-Angriffe wurden von Mitarbeitern verübt, die ihre Arbeitscomputer für private Recherchen nutzten.
- Überprüfen Sie URLs immer doppelt. Gefälschte Links sehen oft fast genauso aus wie die echten, haben aber einen zusätzlichen Buchstaben oder eine zusätzliche Zahl.
Remote-Desktop-Protokolle (RDP)
Nach Phishing sind Remote-Desktop-Protokolle (RDP) einer der meistgenutzten Angriffsvektoren für Ransomware. RDPs können sehr nützlich sein, um aus der Ferne auf ein Gerät zuzugreifen, und die Nutzung von RDPs nahm während der COVID-19-Krise erheblich zu. Sie bieten Hackern jedoch auch eine sehr bequeme Methode, um die vollständige Kontrolle über ein System zu erlangen.
Die meisten RDP-Angriffe basieren auf Brute-Force-Angriffen – die Hacker probieren mit einem automatisierten Tool einfach eine Liste gängiger Kennwörter aus, bis sie eine Übereinstimmung finden. In vielen Fällen wird dieser Schritt nicht von einem Ransomware-Hacker durchgeführt, sondern von einem anderen Hacker, der darauf spezialisiert ist, sich Zugang zu Netzwerken zu verschaffen.
Diese Hacker werden als Erstzugangsvermittler bezeichnet. Wenn sie sich Zugang zu einem Netzwerk verschaffen, sammeln sie einige Informationen darüber (z. B. die Art der Organisation, wie viel Geld sie wahrscheinlich hat usw.) und verkaufen dann den Zugang an Hacker, je nachdem, wie wertvoll das Ziel ist.
Mit ein paar einfachen Maßnahmen lassen sich alle RDP-Angriffe verhindern.
- Der erste Schritt zur Verhinderung von RDP-Angriffen besteht darin, alle nicht benötigten RDP-Ports zu deaktivieren. In der Regel ist dies Port 3389. Eine große Anzahl von Angriffen erfolgt über offene RDP-Ports, die überhaupt nicht offen sein müssen. In diesem Fall können die Ports nur so lange wie nötig geöffnet werden.
Stellen Sie außerdem sicher, dass Sie starke, eindeutige Kennwörter verwenden. Dies macht einen Brute-Force-Angriff sehr viel unwahrscheinlicher. - Die 2-Faktor-Authentifizierung in Verbindung mit einer E-Mail oder einer Telefonnummer bietet eine weitere Sicherheitsebene. Dies kann zwar etwas unbequem sein, macht es aber für einen Hacker fast unmöglich, sich über RDP Zugang zu verschaffen.
- Die Einschränkung des IP-Zugangs kann ein guter Kompromiss zwischen Komfort und Sicherheit sein. Dabei werden zugelassene IP-Adressen auf eine Whitelist gesetzt und alle anderen Adressen gesperrt. Dies kann jedoch immer noch scheitern, wenn der Hacker bereits im Netzwerk ist und versucht, seinen Einfluss über das Netzwerk zu verbreiten.
Software-Schwachstellen
Software-Schwachstellen sind zwar seltener als Phishing- und RDP-Angriffe, stellen aber dennoch einen wichtigen Angriffsvektor für Ransomware dar, der Beachtung verdient. Bei diesen Schwachstellen handelt es sich in der Regel um Fehler in der Software, die es Hackern ermöglichen, sich Zugang zu einem System zu verschaffen.
- Bleiben Sie mit Updates immer auf dem Laufenden. Verfolgen Sie Aktualisierungen zu Zero-Day-Schwachstellen und passen Sie Ihre Cyberabwehr entsprechend an.
- Verwenden Sie keine veraltete Software. In einigen Fällen kann dies bedeuten, dass Sie Ihre Hardware aufrüsten müssen. Es mag eine harte Pille sein, die Sie schlucken müssen, aber der Schaden eines Ransomware-Angriffs kann viel teurer sein als die Kosten für die Aufrüstung Ihrer Systeme.
- Prüfen Sie die Anbieter von Cloud-Diensten sorgfältig. Wenn Hacker in das System eines Cloud-Anbieters eindringen, können sie auch die Systeme von dessen Kunden gefährden. Vergewissern Sie sich vor Vertragsabschluss, dass der Anbieter über solide und unabhängig geprüfte Sicherheitspraktiken verfügt.
- Führen Sie regelmäßige Penetrationstests durch. Dies kann dazu beitragen, Schwachstellen zu finden und zu beheben, bevor Hacker sie finden.
Ausgewogene Verteidigungsmaßnahmen
Bei vielen ausgeklügelten Ransomware-Angriffen kommen mehrere Angriffsvektoren zum Einsatz. So können sich Hacker beispielsweise zunächst über einen schlecht gesicherten RDP-Port Zugang verschaffen und dann eine Erkundung durchführen. Nachdem sie mehr Informationen über das Netzwerk erhalten haben, nutzen sie möglicherweise Software-Schwachstellen und Phishing, um weitere Teile des Netzwerks zu infiltrieren und Zugriff auf Backups zu erhalten.
Es ist wichtig, all diesen Angriffsvektoren Aufmerksamkeit zu schenken. Dies ist keine einmalige Angelegenheit, sondern erfordert kontinuierliche Pflege. Wenn zum Beispiel Mitarbeiter das Unternehmen verlassen, bleiben ihre Computer manchmal mit Berechtigungen zurück, die sie nicht benötigen. Hacker nutzen dann diese „offenen Türen“ aus. Regelmäßige Sicherheitsprüfungen sind erforderlich, um die Sicherheit kontinuierlich zu konfigurieren und zu optimieren.
Jeder, der mit IT-Systemen in Berührung kommt, muss ein gewisses Bewusstsein für Cybersicherheit haben. Auch für Arbeitgeber ist es wichtig, neue potenzielle Mitarbeiter daraufhin zu überprüfen, ob sie in der Lage sind, Phishing-Angriffe zu erkennen und zu verhindern.
Wenn Ihnen das alles zu viel erscheint, machen Sie sich keine Sorgen. Tun Sie einfach, was Sie können, und tun Sie es regelmäßig. Ein wenig Aufwand kann viel bewirken, wenn es darum geht, Ransomware-Angriffe zu verhindern.