:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vectra Spotlight Report Ransomware 2019 Ransomware zielt auf Netzwerk-Freigaben
Ransomware-Angriffe nehmen zwar in der Summe ab, die Angreifer gehen gleichzeitig aber zunehmend gezielter und effizienter vor. Sie nehmen vermehrt gemeinsam genutzte Dateien in Netzwerkfreigabe-Ressourcen ins Visier, was speziell in Cloud-Umgebungen eine überaus kritische Bedrohung darstellt. Das sind Ergebnisse des aktuellen „Spotlight Report on Ransomware“ von Vectra.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Vectra weist in seinem Spotlight Report Ransomware 2019 darauf hin, dass die effektivste Waffe von Cyberkriminellen bei Ransomware-Angriffen das fremde Netzwerk selbst ist. Die Kompromittierung der Netzwerkfreigabe ermöglicht die unerwünschte Verschlüsselung von gemeinsam genutzten Dateien auf Netzwerkservern. Dies gilt insbesondere für Dateien, die bei IaaS-Cloud-Anbietern (Infrastructure-as-a-Service) gespeichert sind.
Cyberangreifer können heute mühelos die Sicherheit des Netzwerkperimeters umgehen und interne Auskundschaftungen durchführen, um Netzwerkfreigabe-Dateien zu finden und zu verschlüsseln. Durch die Verschlüsselung dieser Dateien, auf die viele Geschäftsanwendungen im gesamten Netzwerk zugreifen, erzielen die Angreifer einen Größenvorteil. Der Angriff erfolgt schneller und ist weitaus schädlicher ist als die Verschlüsselung von Dateien auf einzelnen Geräten.
:quality(80)/images.vogel.de/vogelonline/bdb/1563300/1563302/original.jpg "Die steigende Bedrohung durch Schadsoftware lässt sich anhand der steigenden Angriffszahlen mit Malware eindeutig nachweisen. Die Gefahr für Unternehmen wird also weiter zunehmen. (gemeinfrei)")
Steigendes Cybercrime-Risiko
Malware ist weiter auf dem Vormarsch
Der Spotlight Report 2019 on Ransomware basiert auf Beobachtungen und Daten aus der Black Hat Edition 2019 des Attacker Behavior Industry Report, der aus einer Stichprobe von über 350 Opt-in-Kunden von Vectra die Verhaltensweisen der Angreifer und diesbezügliche Trends in Netzwerken aufzeigt. Dabei geht es insbesondere um das Verhalten, das Angreifer anwenden, um im regulären Netzwerkverkehr unterzutauchen und ihre bösartigen Handlungen zu verschleiern. Von Januar bis Juni 2019 überwachte hierbei die Bedrohungserkennungs- und Reaktionsplattform Vectra Cognito angereicherte Metadaten. Diese wurden aus dem Netzwerkverkehr zwischen mehr als vier Millionen Workloads und Geräten in Kundenclouds, Rechenzentren und Unternehmensumgebungen gesammelt. Die Analyse dieser Metadaten liefert ein besseres Verständnis für das Verhalten und die Trends von Angreifern sowie für drohende Geschäftsrisiken.
Finanzbranche weltweit im Visier, Deutschland ist Top-Ziel in der EMEA-Region
Aufgeschlüsselt nach betroffenen Branchen, in denen Netzwerkdatei-Verschlüsselung mit Ransomware stattfand, zeigt sich ein hoher Prozentsatz von Finanzunternehmen (35 Prozent), gefolgt vom Gesundheitswesen (18 Prozent) und der Energieversorgung (17 Prozent) in diesem Zeitraum (siehe Bild).
Geografisch betrachtet war Deutschland in der EMEA-Region im beobachteten Zeitraum mit großem Abstand das Top-Ziel von Ransomware-Angriffen auf Netzwerkfreigabe-Dateien. Der Anteil dieser Bedrohung im Ransomware lag in Deutschland im untersuchten Zeitraum bei 42 Prozent. An zweiter Stelle landete die Schweiz (26 Prozent), gefolgt von Großbritannien (18 Prozent), Dänemark (8 Prozent) und Saudi-Arabien (2 Prozent). Bild 2 verdeutlicht die geografische Verteilung.
Angreifer werfen breites Netz aus – Angriffe sind schnell, einfach und lukrativ
Den Beobachtungen von Vectra zufolge, werfen die Akteure bei den jüngsten Ransomware-Angriffen ein breiteres Netz aus, um Cloud-, Rechenzentrums- und Unternehmensinfrastrukturen abzudecken. Die Cyberkriminellen nehmen dabei Unternehmen ins Visier, die am ehesten größere Lösegelder zahlen würden, um wieder Zugriff auf Dateien zu erhalten, die zuvor von Ransomware verschlüsselt wurden. Die Kosten für Ausfallzeiten aufgrund einer Unterbrechung des Geschäftsbetriebs, die Unfähigkeit zur Wiederherstellung gesicherter Daten und die drohenden Reputationsschäden sind für Unternehmen, die ihre Daten in der Cloud speichern, besonders gravierend.
Ransomware-Angriffe sind nicht nur schnell, sondern auch einfacher und lukrativer als das Stehlen und Verkaufen von Kreditkartendaten oder persönlichen Daten, die im Laufe der Zeit an Wert verlieren. Hinzukommt die diskrete Zahlungsabwicklung via Kryptowährung, die anonym abläuft und schwer nachzuverfolgen ist. All dies erklärt, warum bei Cyberkriminellen das saubere, unkomplizierte Geschäftsmodell von Ransomware nach wie vor hoch im Kurs steht.
„Laut unserer Studie bestätigen 53 Prozent der Unternehmen, dass sie einen problematischen Mangel an Cybersicherheitskenntnissen haben. Die Auswirkungen werden bei schnelllebigen Ransomware-Angriffen sehr deutlich“, erläutert Jon Oltsik, Senior Principal Analyst bei der Enterprise Strategy Group. „Die Branche hat einfach nicht genug ausgebildete Sicherheitsleute, um Systeme zu scannen, nach Bedrohungen zu suchen und auf Vorfälle zu reagieren. Dieser Spotlight Report liefert wichtige Einblicke in die Bewaffnung der Ransomware-Akteure, den Übergang von opportunistischen zu gezielten Angriffen und die fokussierten Branchen. Damit wollen wir Unternehmen helfen, besser vorbereitet zu sein.“
:quality(80)/images.vogel.de/vogelonline/bdb/1573200/1573298/original.jpg "Kryptominer machten 2018 die vier häufigsten Malware-Typen aus, aber auch Ransomware ist noch längst nicht tot. Cyberkriminelle arbeiten nur unauffälliger mit ihr. (gemeinfrei)")
Ransomware ist noch lange nicht tot
Kryptomining ist gefährlicher als Ransomware
Effektiver Schutz: KI-basierte Erkennung und Reaktion auf Ransomware
Die Antwort auf diese Bedrohung ist die Suche nach frühen Indikatoren für einen Ransomware-Angriff. Da die Täter gezielter agieren, kann deren Verweildauer im Netzwerk recht lang sein, bevor Dateien verschlüsselt werden. Von der Erstinfektion bis zum eigentlichen Einsatz der Ransomware führen Angreifer oft lange Zeit ungestört Auskundschaftungen im kompromittierten Netzwerk durch, um festzustellen, welche Systeme besonders geschäftskritisch und damit finanziell attraktiv sind für die Verschlüsselung.
Es gibt viele Schritte im Angriffslebenszyklus, die Unternehmen proaktiv auf erste Anzeichen hin überwachen können. Es ist wichtig, einen detaillierten Notfallplan zu haben, um einen Ransomware-Vorfall zu bewältigen, einschließlich der Kundenkommunikation. Ein dokumentierter und geprobter Reaktionsprozess ist ebenso entscheidend wie die Fähigkeit, derartige Angriffe proaktiv zu erkennen.
Beispielsweise sollten Sicherheitsfachkräfte wissen, dass das Herunterfahren eines mit Malware verschlüsselten Systems das System-BIOS zerstören kann, wodurch es nicht mehr wiederherstellbar ist. Maßnahmen wie Netzwerksegmentierung und Hostisolierung sollten in Betracht gezogen werden. Es ist auch wichtig, den privilegierten Zugriff zu beobachten, um zu wissen, welche Konten Zugriff auf kritische Systeme haben. Ransomware kann nur mit den Rechten des Benutzers oder der Anwendung, die es startet, ausgeführt werden. Umfassende Kenntnisse über die Systeme und Benutzer, die auf bestimmte Dienste zugreifen, ermöglichen es, den Missbrauch von privilegierten Zugängen zu überwachen. Dies ist entscheidend, um zu reagieren, wenn dieser Zugang gefährdet ist, lange bevor die Verschlüsselung von Netzwerkdateien stattfindet.
Künstliche Intelligenz kann subtile Indikatoren für Ransomware-Verhalten erkennen und ermöglicht es Unternehmen, weitreichende Schäden zu verhindern. Eine entsprechend ausstaffierte Sicherheitsplattform beschleunigt die Erkennung und Reaktion, indem sie Netzwerk-Metadaten mit dem richtigen Kontext sammelt, anreichert und speichert. Auf diese Weise ist es möglich, versteckte Bedrohungen in Echtzeit zu erfassen, zu verfolgen und zu untersuchen. Entscheidend ist dabei die unternehmensweite Abdeckung von Clouds, Rechenzentren, Benutzern und IoT-Netzwerken, so dass Angreifer sich nicht verstecken können. Wenn Unternehmen bösartige Verhaltensweisen frühzeitig im Angriffszyklus erkennen, können sie die Anzahl der mit Ransomware verschlüsselten Dateien begrenzen, die Verbreitung des Angriffs stoppen und einen katastrophalen Geschäftsausfall verhindern. Dies gilt gerade im Fall von Netzwerkfreigabe-Dateien, auf die es die Akteure im Moment besonders abgesehen haben.
Über den Autor: Andreas Müller ist Regional Director DACH bei Vectra Networks.
(ID:46073751)
:quality(80)/p7i.vogel.de/wcms/f8/58/f8589461b4daeab6c0b57fdac9ff82b8/0105545997.jpeg "Cyberkriminelle sind heute unglaublich geschickt darin, gestohlene Zugangsdaten zu erlangen und zu missbrauchen. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/aa/afaa4d996a3a08a345251a14e93ea2dc/0108936265.jpeg "Cybersicherheit wird immer komplexer; nicht nur, weil Bedrohungen von außen zunehmen, sondern sich auch interne Sicherheitslücken stärker auswirken. (Bild: frei lizenziert Gerd Altmann - Pixabay)")