Ransomware geht in die falsche Richtung. Die Angriffe haben ein Rekordhoch erreicht, ebenso wie der Prozentsatz der zahlenden Opfer. Im Jahr 2017 bezahlten 39 % der Opferorganisationen Angreifer, um Daten wiederherzustellen. Diese Zahl kletterte 2018 auf 45 % und erreichte 2019 beunruhigende 58 %.
Das ist eine schlechte Nachricht für Organisationen aller Branchen. Mit Lösegeldern bezahlt werden, Angreifer haben keinen Anreiz zu stoppen. Im dritten Quartal 2020 stieg die durchschnittliche Zahlung um 31 % auf 233.817 US-Dollar, so dass Cyberkriminelle zunehmend gut finanziert wurden und Druck auf die Opfer ausübten, indem sie Datenverschlüsselung mit Datendiebstahl und der Bedrohung durch die Exposition kombinierten.
Überprüfen Sie, ob Entschlüsselungstools.
Wenn Sie bereits getroffen wurden, überprüfen Sie online, ob ein Entschlüsselungstool verfügbar ist. Strafverfolgungsbehörden und Sicherheitsunternehmen haben Entschlüsselungsschlüssel für zahlreiche Versionen von Ransomware durch ein Projekt namens NO MORE RANSOM freigegeben!
Zahlen Sie nicht das Lösegeld.
Ja, die Wiederherstellung von Systemen, die kompromittiert wurden, kann ein langer und kostspieliger Prozess sein. Allerdings können Sie Cyberkriminellen nicht vertrauen, versprechen zu halten. Die Zahlung des Lösegeldes garantiert nicht, dass Sie Ihre Dateien zurückbekommen und Ihre gestohlenen Daten nicht veröffentlicht werden; es garantiert nur, dass die Angreifer Ihr Geld erhalten.
Cybersicherheitsexperten und Politiker fordern Gesetze, die es illegal machen würden, Lösegelder zu zahlen. Darüber hinaus hat das US-Finanzministerium eine Warnung herausgegeben: Ransomware-Opfer, die zahlen – und Firmen, die Lösegeldverhandlungen erleichtern – könnten mit hohen Geldstrafen rechnen, wenn die Angreifer unter Wirtschaftssanktionen der US-Regierung stehen, selbst wenn die Opfer von den Sanktionen nichts wissen.
„Unternehmen, die Ransomware-Zahlungen an Cyber-Akteure im Namen von Opfern erleichtern, einschließlich Finanzinstituten, Cyber-Versicherungsgesellschaften und Unternehmen, die an digitaler Forensik und Incident Response beteiligt sind, fördern nicht nur zukünftige Ransomware-Zahlungsanforderungen, sondern können auch riskieren, gegen ofAC-Vorschriften zu verstoßen.“ –U.S. Treasury Office of Foreign Assets Control (OFAC)
Nehmen Sie Datensicherungen ernst.
Sichern Sie datennicht täglich. Stellen Sie sicher, dass Sie Ihre Fähigkeit zur Wiederherstellung von Systemen und Daten im Falle eines Angriffs gründlich getestet haben. Erwägen Sie, wichtige Ressourcen für Offline-Kaltspeicher zu entfernen. Ihre Sicherungen sind weniger anfällig für Angriffe, wenn sie vom Netzwerk getrennt sind.
Verstärken Sie die Patch-Verwaltung. Konsequente Überwachung auf Schwachstellen.
Aktualisieren Sie regelmäßig Systeme mit den entsprechenden Sicherheitspatches, um sicherzustellen, dass Cyberkriminelle bekannte Fehler nicht ausnutzen, Zugriff auf Netzwerke erhalten und Ransomware verteilen können. Überwachen Sie Patching-Prozesse und bewerten Sie Technologien und Richtlinien, die sie effektiver machen und die Automatisierung nach Möglichkeit nutzen können.
Nehmen Sie multi-Faktor-Authentifizierung. Die meisten Ransomware gewinnt Zugriff durch die Entführung von statischen Passwörtern. Wenn Sie die mehrstufige Authentifizierung für Konten im netzwerkübergreifenden Netzwerk aktivieren, können Sie Angreifer vereiteln, indem Sie zusätzliche Informationen benötigen. Ein Phishing-Angriff kann die Anmeldeinformationen eines Benutzers vernetzen, aber er liefert keine biometrischen Daten oder die Antwort auf eine persönliche Sicherheitsfrage.
Implementieren Sie die geringsten Berechtigungen. Verringern Sie das Risiko, dass Angreifer Zugriff auf kritische Systeme oder vertrauliche Daten erhalten, indem Sie Benutzern nur die minimalen Berechtigungen gewähren, die für ihre Aufgaben erforderlich sind. IAM-Steuerelemente (Identity and Access Management) können Ihnen dabei helfen, den geringsten Berechtigungszugriff zu gewähren, je nach dem Anfordern der Anforderung, dem Kontext der Anforderung und dem Risiko der Zugriffsumgebung.
Filtern Sie Web- und E-Mail-Inhalte. E-Mail mit bösartigen URLs ist die häufigste Ransomware-Angriffsmethode. Implementieren Sie Web- und E-Mail-Inhaltsfiltersteuerelemente, um Bedrohungen zu blockieren und zu isolieren und verdächtige Links aus dem Datenverkehr zu entfernen, bevor Benutzer darauf zugreifen können.
Überwachen Sie die Dateiaktivität. FAM-Lösungen (File Activity Monitoring) überwachen die Dateizugriffsmuster legitimer Benutzer und erkennen ungewöhnliche Aktivitäten. Durch die Implementierung von FAM können Sie Echtzeit- und Verlaufsaufzeichnungen aller Datei- und Ordneraktivitäten in Ihren Netzwerkdateifreigaben bereitstellen. Es ermöglicht Ihnen, infizierte Benutzer und Geräte in Echtzeit zu isolieren, so dass Sie Ransomware-Aktivitäten blockieren und untersuchen können.
Erweitern Sie die Endpunktsicherheit. Sichtbarkeit ist entscheidend für Ransomware-Verteidigung. Endpunkterkennungs- und -antwort-Tools (EDR) kombinieren kontinuierliche Echtzeitüberwachung und Sammlung von Endpunktdaten mit automatisierten Antworten und Analysen. Neue XDR-Lösungen (Extended Detection and Response) erweitern diese Funktionen auf E-Mails, Server, Cloud-Workloads und Netzwerke, um Analysten einen größeren Kontext zu bieten. Sie bringen Warnungen, die durch zahlreiche Sicherheitskontrollen ausgelöst werden, zusammen und ermöglichen eine schnellere Erkennung und Reaktion von Bedrohungen.