Ransomware hat sich zu einem der größten Probleme für die nationale Sicherheit in den USA und zur aktuell größten Sorge der meisten CISOs (Chief Information Security Officer) entwickelt. Diese hochentwickelten Cyberbedrohungen legen nicht nur wichtige Infrastrukturen und große Unternehmen lahm, sondern beeinträchtigen auch die Arbeit von Gemeinden und das tägliche Leben vieler Menschen.
Ransomware-Angriffe haben sich zu mehrstufigen Attacken mit Payloads entwickelt, bei denen E-Mails und das Web (per Drive-by-Kompromittierung) eine zentrale Rolle in der Angriffskette spielen, da über sie häufig die Erst-Payload als Malware-Downloader übertragen wird. Die Downloader sind darauf ausgelegt, Zugang zum System eines Anwenders zu erlangen oder Anmeldedaten für den Netzwerkzugriff zu stehlen, sich lateral zu verbreiten und die Opfer mit Ransomware zu infizieren.
Bedrohungsanalysten von Proofpoint haben festgestellt, dass Ransomware-Bedrohungsakteure in ihren Kampagnen immer häufiger selbst aktiv werden und potenzielle Opfer eingehender beobachten. Mit zielgerichteten Ködern nehmen sie große Branchen ins Visier, bei denen länger anhaltende Ausfälle verheerende Folgen haben können. Die Bedrohungsakteure hinterlassen dabei nicht nur Ransomware-Payloads, sondern sie exfiltrieren auch Daten, um die Unternehmen zusätzlich mit einer Veröffentlichung zu erpressen.
Abwehrstrategien für Ransomware
Die Implementierung von Erkennungstools wie Proofpoint Advanced Threat Protection kann Ihnen helfen, Ransomware-Angriffe in den anfänglichen Phasen der Verteilung und Infizierung abzuwehren. Diese Tools nutzen mehrschichtige Kontrollen, die Ransomware sowie Malware-Downloader zur Ransomware-Verteilung erkennen, blockieren und Ihnen einen Einblick in diese Bedrohungen liefern können.
Im Folgenden finden Sie einen Überblick über weitere Gegenmaßnahmen, mit denen Sie die Folgen von Ransomware-Angriffen für Ihr Unternehmen abwenden oder verringern können:
1. Technische Maßnahmen zur Blockierung von Schaddaten
Dazu gehören Kontrollen zur Erkennung in E-Mails und in der Cloud. Sie haben folgende Möglichkeiten:
- Dynamische Erkennung und Blockierung von Bedrohungsvarianten in E-Mails und der Cloud
- Identifizierung verschiedener Bedrohungstaktiken und -trends
- Kennzeichnung externer E-Mails, um Empfänger über Absender zu warnen
- Analyse mehrerer E-Mail-Attribute (E-Mail-Header, IP-Adresse des Absenders, Reputation und Nachrichtentext) zur Bestimmung des Risikos
- Einsatz von Proofpoint Advanced BEC Defense, einem Erkennungsmodul, das mit Machine Learning in Echtzeit lernt und jedes Nachrichtenattribut analysiert
- Erkennung von Datenkompromittierungen in der Cloud, damit eine möglichst geringe Datenmenge in die Hände von Kriminellen gelangt
- Schutz vor Command-and-Control-Verbindungen durch Web-Sicherheit
- Begrenzung der Schäden durch Ransomware mit Zero-Trust-Zugriffskontrollen
- Verhinderung von Ransomware-Verbreitung über Ihre Cloud-Anwendungen
Sie können auch Authentifizierungskontrollen einsetzen, zum Beispiel:
- Umsetzung von E-Mail-Authentifizierung wie Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und DMARC
- Blockierung aller Versuche, nicht autorisierte E-Mails aus Ihren vertrauenswürdigen Domänen zu versenden
- Dynamische Meldung von Doppelgänger-Domänen in digitalen Kanälen
Ein besserer Überblick hilft Ihnen ebenfalls, das Risiko eines Ransomware-Angriffs zu reduzieren. Sie haben folgende Möglichkeiten:
- Identifizierung der Very Attacked People™ (VAPs) in Ihrem Unternehmen, damit Sie wissen, welche Anwender von Impostor-Bedrohungen betroffen sind
- Bereitstellung detaillierter Bedrohungsinformationen
- Überblick über Lieferanten, die das größte Risiko für Ihr Unternehmen darstellen
- Aufdeckung schädlicher Doppelgänger-Domänen Ihres Unternehmens und Ihrer Lieferanten
- Übersicht dazu, wer in Ihren Domänen E-Mails versendet, was auch vertrauenswürdige externe Versender einschließt
Zudem haben Sie mit automatisierten Reaktionsmechanismen folgende Möglichkeiten:
- Entfernung oder Verschiebung verdächtiger oder unerwünschter Nachrichten in die Quarantäne mit einem Klick – oder ganz automatisch
- Automatisierte Abuse-Postfachprozesse
- Unterstützung von Anwendern, damit sie verdächtige Nachrichten direkt über das Warnungs-Tag melden
- Automatische Isolierung von Browsersitzungen basierend auf dem Risikoprofil der Anwender
2. Implementierung administrativer Kontrollen
Die Implementierung administrativer Kontrollen ist eine weitere Strategie. Dies umfasst Schulungen zur Sensibilisierung für Sicherheit, mit dem gewährleistet wird, dass Anwender die Empfehlungen hinsichtlich E-Mail-Betrug und -Sicherheit verstehen. Das Wissen und Sicherheitsbewusstsein der Anwender spielt bei der Verbesserung der E-Mail-Sicherheit eine zentrale Rolle. Wenn Sie Ihre Anwender über die Techniken und Tricks von Cyberkriminellen auf dem Laufenden halten, helfen Sie ihnen, nicht mehr nur Ziele zu sein, sondern zu Verteidigern zu werden, die schädliche E-Mails erkennen, meiden und melden – und damit die Daten, Abläufe und Finanzen des Unternehmen zu schützen.
Die Schulungen sollten sich auf den sicheren Umgang mit IT-Ressourcen und Vorsichtsmaßnahmen konzentrieren. Schließlich sind Anwender Ihre letzte Verteidigungslinie und sollten daher unbedingt wissen, wie sie verdächtige E-Mails erkennen können. Zudem gibt es Tools, die Anwendern durch regelmäßige Mikrolernaktivitäten helfen, ihr Sicherheitsbewusstsein und Wissen über häufig auftretende E-Mail-Bedrohungen zu verbessern.
Im Folgenden finden Sie eine Zusammenfassung empfohlener Verhaltensweisen, die bei Schulungen zur Sensibilisierung für Sicherheit vermittelt werden sollten, damit das Risiko von Ransomware-Angriffen verringert wird:
- Seien Sie vorsichtig bei unangekündigten E-Mails, die Links oder Anhänge enthalten.
- Sehen Sie sich die E-Mail-Adresse genau an. Eventuell weicht die E-Mail-Adresse von der tatsächlichen Adresse bekannter Unternehmen, Kollegen oder von Freunden ab.
- Für den Fall, dass Ransomware versehentlich geladen wird, sollten Sie Ihre Daten regelmäßig sichern. Dadurch können Sie Ihre Daten wiederherstellen und müssen nicht zahlen.
- Seien Sie vorsichtig bei Angst einflößenden E-Mails, in denen Sie über die Kompromittierung eines Kontos oder persönlicher Daten informiert und dazu aufgefordert werden, sofort auf einen Link zu klicken oder geheime Daten preiszugeben.
- Seien Sie misstrauisch bei E-Mails, die Ihnen einen unerwarteten Geldsegen oder Gewinn versprechen und Sie bitten, auf einen Link zu klicken, um den Gewinn in Anspruch zu nehmen.
- Prüfen Sie die E-Mail-Adressen stets sorgfältig, um sicherzustellen, dass eine E-Mail auch wirklich vom angegebenen Absender stammt.
3. Erste Schritte zur Sensibilisierung von Anwendern
Wir möchten Unternehmen dabei helfen, das Sicherheitsbewusstsein und Wissen ihrer Anwender über Ransomware zu verbessern. Dazu haben wir eine Auswahl kostenloser Ressourcen zusammengestellt, die Anwender dabei unterstützen, bewährte Methoden bei der Arbeit und im Umgang mit persönlichen E-Mails anzuwenden.
Das Proofpoint-Kit zur Steigerung der Aufmerksamkeit für Ransomware bietet Texte, Videos und andere visuelle Inhalte zur Verstärkung sicherer E-Mail-Praktiken, die per E-Mail verschickt, im Web gepostet oder im Büro aufgehängt werden können. Das Kit enthält eine Anleitung für die korrekte Anwendung der Materialien, ein empfohlenes Kommunikationskonzept und einen Bereitstellungsplan. Zudem finden Sie darin Hilfestellungen und Tipps, wie Sie mit einer Kampagne und den bereitgestellten Materialien die Aufmerksamkeit für bessere Kennwörter erfolgreich steigern können.
Weitere Informationen zu Ransomware-Schutz
Auf dieser Seite der Proofpoint-Website können Sie mehr über unsere marktführenden Lösungen und Schutzstrategien erfahren, die Sie bei der Abwehr von Phishing, E-Mail-Betrug, Ransomware und vielem mehr unterstützen.