Ransomware trotz Antivirus Lösung
Ransomware ist aktuell eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Dabei werden Dateien verschlüsselt, um von Unternehmen Lösegeld zu erpressen. Unternehmen welche Opfer einer Ransomware Kampagne werden, können auf solche Lösegeldforderungen eingehen und hoffen, dass die verschlüsselten Daten in vernünftiger Zeit wieder hergestellt werden. Dabei ist zu beachten, dass die eigentliche Entschlüsselung von Daten oder das Wiederherstellen von Daten aus Backups das kleinere Problem darstellt. Der Ausfall von IT- Systemen welche Basisdienste bereitstellen, erfordern oft deutlich mehr Zeit für eine erfolgreiche Wiederherstellung. Seit 2019 gehen die Angreifer noch einen Schritt weiter. Mit der sogenannten Double Extortion Taktik, werden die Daten nicht nur verschlüsselt, sondern auch gestohlen. Einem Kunden der sich weigert, ein entsprechendes Lösegeld zu bezahlen, wird neu auch mit der Veröffentlichung der Daten gedroht. Firmen, mit entsprechenden Backup und Recovery Prozessen, droht durch die neue Taktik eine Veröffentlichung ihrer Kundendaten und ein entsprechender Imageschaden.
Die Schweiz ist dabei ein attraktives Ziel: 46% der von Sophos befragten Schweizer Unternehmen gaben an, im letzten Jahr mindestens einmal Opfer einer Ransomware Attacke geworden zu sein. Das sind 9 Prozent mehr als im weltweiten Durchschnitt. Auch das Nationale Zentrum für Cybersicherheit (NCSC) warnt insbesondere KMUs vor den Gefahren von Ransomware. Denn 80% der gemeldeten Angriffe in der Schweiz wurden an KMUs ausgeübt.
Warum fallen so viele Unternehmen einem Ransomware Angriff zum Opfer und weshalb bieten herkömmliche Antivirus Lösungen keinen angemessenen Schutz gegen Ransomware?
In den Anfängen von Antivirus Programmen wurden Viren anhand ihrer Signatur erkannt. Diese Erkennungsmethode kann allerdings von Angreiffern sehr einfach umgangen werden, indem Sie den Schadcode leicht abändern.
Als nächster Schritt in der Evolution kamen Endpoint Protection Plattformen (EPP) auf den Markt. Diese nutzen neben Signaturen auch Machine Learning, Verhaltensanalysen, Sandboxing und weitere Mittel, um den Schutz des Endpoints zu gewähren. Moderne EPP Lösungen bieten den höchsten Schutz gegen bekannte und unbekannte Bedrohungen, stellen aber die letzte Verteidigungslinie dar.
Ransomware Angreifer geben sich nicht mit der Verschlüsselung einzelnen Endpunkte oder deren erreichbaren Daten zufrieden. Sie bewegen sich im Netzwerk, erlangen hohe Rechte und kompromittieren kritische Systeme. Die Verschlüsslungssoftware wird so auf alle erreichbare Systeme verteilt. Gesteuert werden die Angriffe über Command and Control Server.
Mit Endpoint Detection and Response (EDR) und Network Detection and Response (NDR) Systemen können die EPP Systemen ergänzt werden. Sie bringen mehr Visibilität und können Angriffe oder ungewöhnliche Vorgänge entdecken. Viele Meldungen ohne weiteren Kontext erschwert es aber Sicherheitsteams effektiv und schnell auf einen Angriff zu reagieren. Der Fokus liegt bei EDR und NDR Lösungen vor allem auf der technologischen Seite und nicht auf den operationellen Bedürfnissen von Unternehmen.
Wie sieht ein zeitgemässer Schutz gegen Ransomware aus?
In der Evolution der Endpoint Schutz Lösungen kam es 2018 zu einem weiteren grossen Schritt: Extended Detection and Response (XDR). Mit XDR werden unterschiedliche Datensilos aufgebrochen und zusammengeführt, um einen holistischen Schutz zu gewähren. Neben den Daten des Endpoints werden auch Daten aus dem Netzwerk, Cloudressourcen, IAM und anderen Systemen berücksichtigt. Diese Zusammenführung der unterschiedlichen Daten ermöglicht mehr Visibilität und Kontext. Bedrohungen lassen sich dadurch schneller erkennen und können eliminiert werden, bevor entsprechender Schaden entsteht. Palo Alto Networks prägte 2018 den Namen XDR und ist auch heute noch der führende Hersteller von XDR Lösungen.
Cortex XDR von Palo Alto Networks bietet Unternehmen die Tools, welche bislang nur Spezialisten in Security Operation Centers (SOC) zur Verfügung standen. Sie erhalten dadurch eine mächtige Plattform, mit welcher Sie über alle Kanäle hinweg Visibilität und Werkezeuge erhalten um bei einem Angriff entsprechend einzugreifen. Asecus kann Sie dabei unterstützen Cortex XDR effektiv zu konfigurieren und unterstützt Sie im Betrieb und Unterhalt.
Nehmen Sie noch heute Kontakt mit unseren Experten auf!