Ransomware-Abwehr: Die 5 wichtigsten Dinge, die Sie jetzt tun sollten

  • Matt Bromiley, Senior Consultant bei Mandiant Managed Defense, bespricht die wichtigsten Tricks und Tipps zum Schutz von Unternehmensumgebungen vor Ransomware.

    Wenn es eine Cyber-Bedrohung gibt, die im Moment in aller Munde ist, dann ist es wohl Ransomware. Einst eine “lästige” Bedrohung, hat sich Ransomware zu einer vielschichtigen, milliardenschweren Industrie für Angreifer entwickelt. Diese Bedrohungsakteure sind keine Amateure mehr, die sich als Einbrecher versuchen. Vielmehr sehen wir, wie Bedrohungsakteure Hintergrundinformationen über ihre Ziele beschaffen, Aufklärungsdaten sammeln und einen Angriff ausführen, der eine Organisation schnell in die Knie zwingt. Schlimmer noch – die Ziele sind weit verstreut, mit wenig Sinn und Verstand, außer Geld.

    Bei Mandiant beobachten wir weiterhin einen Anstieg von Ransomware-Vorfällen, die auf Unternehmen aller Branchen, Formen und Größen abzielen. Die Bedrohungsakteure scheinen wenig Verständnis für ihre Opfer zu haben (trotz ihrer öffentlichen Blog-Posts) und haben es auf Organisationen von Pipelines über Versicherungsagenturen bis hin zu Hochschulnetzwerken abgesehen. Es ist typisch, dass Ransomware (oder Erpressung) Zahlungsbeträge in Millionen- oder zweistelliger Millionenhöhe vorsieht. Warum gibt es angesichts der medialen Aufmerksamkeit, der exorbitanten Summen, die sich nur wenige leisten können, und der insgesamt weit verbreiteten Bedrohung weiterhin erfolgreiche Angriffe?

    Das US-Justizministerium hat eine interne Richtlinie herausgegeben, dass Ransomware-Angriffe mit der gleichen Priorität wie terroristische Angriffe behandelt werden sollten – hat dies irgendwelche Angreifer abgeschreckt? Es scheint nicht so zu sein. Stattdessen müssen Unternehmen weiterhin wachsam bleiben, um ihre Umgebung zu schützen und die Erfolgsquote der Angreifer zu begrenzen. In diesem Blog-Beitrag sehen wir uns die fünf wichtigsten Dinge an, die Sie jetzt sofort tun sollten.

    Tipp 1: Haben Sie einen Plan

    Fangen wir ganz einfach an: Haben Sie einen Plan. Wenn Sie noch nicht von einem Ransomware-Angriff betroffen sind, herzlichen Glückwunsch! Sie haben jetzt Zeit auf Ihrer Seite – hoffentlich. Nutzen Sie diese, um einen Plan aufzustellen, auch wenn Sie kein Sicherheitsteam haben. Beginnen Sie mit dieser einfachen Frage: Wenn Sie jetzt von einem Angriff betroffen wären, wie würden Sie reagieren?

    Beginnen Sie damit, jede Lücke, die Sie identifizieren, auszufüllen, egal ob es darum geht, wie Sie den Vorfall erkennen würden, wie Sie den Rat von Anwälten einholen würden oder wie Sie die Daten zum normalen Betrieb zurückbringen würden. Gehen Sie bei der Planung von einem Datenverlust aus, und prüfen Sie, ob sich dies auf Ihre Reaktion auswirkt.

    Tipp #2: Arbeiten Sie zusammen: Ransomware ist mehr als Sicherheit.

    Ransomware ist nicht mehr nur ein “Sicherheitsproblem”. Ein Ransomware-Angriff wirkt sich auf Benutzer, die Rechtsabteilung, die Personalabteilung, die Finanzabteilung und viele andere aus, natürlich auch auf das Sicherheitsteam. Sie können sich nicht erfolgreich gegen einen Angriff wehren, wenn die Organisation in sich selbst siloisiert ist. Wenn es in Ihrer Organisation Silos gibt, sollten Sie auf die Teams zugehen und kollaborative Beziehungen aufbauen:

    • System- und Serveradministratoren sind entscheidend für die Überprüfung Ihrer Active Directory-Umgebung.
    • Netzwerktechniker sind für die Betriebszeit und den Verkehrsfluss verantwortlich – sie haben Einblick, wo Pakete in einer Umgebung hingehen können und wo nicht.
    • Arbeiten Sie mit dem Rechtsteam zusammen, um die Position Ihres Unternehmens in Bezug auf Ransomware zu verstehen und zu wissen, welche Eventualitäten vorhanden sind. Das Rechtsteam sollte auch Teil Ihres Incident-Response-Plans sein (siehe Tipp Nr. 1).

    Bauen Sie diese kritischen Beziehungen jetzt auf, da sie für die Überprüfung Ihrer Umgebung, die Verbesserung der Abwehrmaßnahmen und, falls es jemals dazu kommt, für die Reaktion und Wiederherstellung nach einem Angriff entscheidend sind.

    Tipp Nr. 3: Überprüfen und begrenzen Sie hochprivilegierte Konten in Active Directory

    Eines der ersten Ziele von Angreifern in einer Opferumgebung ist es, erhöhte Anmeldeinformationen zu finden und zu erlangen. Diese Anmeldeinformationen sind oft notwendig, um ihre Ziele zu erreichen – sie benötigen Berechtigungen, um weitere Systeme zu finden, sich seitlich in der Umgebung zu bewegen, bestimmte Befehle auszuführen, Persistenz herzustellen usw. Viel zu oft entdecken wir bei unseren Untersuchungen Umgebungen mit einfach zu vielen hoch privilegierten Accounts – und darauf setzen Angreifer.

    Angreifern stehen zahlreiche Tools zur Verfügung, die ein Profil des Active Directory erstellen und teilweise sogar den “kürzesten” Weg zum ultimativen Domain-Administrator-Account finden. Zum Glück für Verteidiger funktionieren diese Tools in beide Richtungen: Sie können intern verwendet werden, um eine eigene “Erkundung” durchzuführen und die Ergebnisse zu nutzen, um Konten mit zu vielen Rechten einzuschränken.

    Tipp Nr. 4: Nutzen Sie integrierte Schutzmaßnahmen für hoch privilegierte Konten

    Nachdem Sie Ihre hochprivilegierten Konten geprüft und auf das Notwendigste beschränkt haben, besteht der nächste Schritt darin, integrierte Schutzmaßnahmen zu nutzen, die verschiedene Möglichkeiten des Diebstahls von Anmeldeinformationen abschwächen können (siehe Tipp Nr. 3).

    Neuere Windows-Betriebssysteme enthalten beispielsweise Schutzmechanismen wie Credential Guard und Remote Credential Guard für Windows 10 und Windows Sever 2016+. Nutzen Sie diese. Für ältere Endgeräte verwenden Sie den eingeschränkten Admin-Modus.

    Fügen Sie nicht-dienstliche, privilegierte Konten in die Sicherheitsgruppe “Geschützte Benutzer” ein – sie werden in der gesamten Domäne geschützt sein. Deaktivieren Sie Methoden, die Anmeldeinformationen im Klartext im Speicher speichern. Wenn Sie EDR-Agents (Endpoint Detection and Response) einsetzen, prüfen Sie, ob diese Schutz für Benutzerkonten bieten. Die meisten Angreifertechniken zum Stehlen von Anmeldeinformationen sind bekannt, und viele Unternehmen nutzen leider nicht die verfügbaren Schutzmechanismen für die von ihnen eingesetzten Lösungen.

    Tipp Nr. 5: Implementieren und simulieren. Waschen, spülen und wiederholen.

    Sobald Sie Kontosicherungen implementiert haben, nutzen Sie Open-Source-Tools oder einen Sicherheitsanbieter, um Ihre Umgebung zu testen. Konzentrieren Sie sich stattdessen auf frühere Stadien eines Angriffs, wie z. B. den Diebstahl von Anmeldeinformationen oder laterale Bewegungen. Was haben Sie entdeckt, was haben Sie erreichen können? Häufige Tests geben Ihnen nicht nur mehr Einblick in Ihre Umgebung, sondern zeigen Ihnen auch, wo Sie Erkennungslücken und Abdeckungen haben.

    Wir können nicht einfach Tools einstecken und erwarten, dass wir mit einem “Knopfdruck” verteidigt sind. Richtige Informationssicherheit erfordert Kenntnisse über die Umgebung und häufiges Testen und Abstimmen. Wenn Sie noch keinen Angriff erlebt haben, gut. Warten Sie nicht auf das “Wenn” – minimieren Sie stattdessen das “Wann”.

    Ihre Entscheidung, frühzeitig zu handeln, könnte buchstäblich Millionen von Dollar wert sein.

    Matt Bromiley ist ein Senior Consultant bei Mandiant Managed Defense.

    Weitere Einblicke der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com