Microsoft: Windows Defender ATP stoppt Ransomware

Microsoft hat Ergebnisse einer Untersuchung zur Ransomware Cerber veröffentlicht. Sie war demnach zwischen 15. Dezember und 16. Januar für 26 Prozent aller Ransomware-Angriffe verantwortlich. Die Studie soll zudem belegen, dass Windows Defender Advanced Threat Protection (ATP) in der Lage ist, die Verbreitung von Erpressersoftware im Firmennetzwerk einzudämmen, falls eine Desktop-Antivirensoftware einen Schädling ins System gelassen hat.

„Unsere Forschung zu verbreiteten Ransomware-Familien zeigt, dass sich Kampagnen über Tage oder sogar Wochen erstrecken können, währenddessen sie ähnliche Dateien und Techniken anwenden. Solange Unternehmen schnell die ersten Fälle einer Infektionen oder den ‚Patienten Zero‘ finden können, können sie oftmals eine Ransomware-Epidemie effektiv stoppen“, schreibt Tommy Blizard, Mitglied des Windows Defender ATP Research Team, in einem Blogeintrag.

Cerber ist mit einem Anteil von 26 Prozent die derzeit häufigste Ransomware (Bild: Microsoft).Blizard unterstellt, da unterschiedliche Ransomware-Familien ähnliche Techniken verwenden, dass sich die durch Cerber gewonnenen Erkenntnisse auch auf andere Varianten übertragen lassen. Das soll schnellere Reaktionen von IT-Administratoren erlauben.

Unter anderem soll Windows Defender ATP einen PowerShell-Befehl erkannt haben, der benutzt wird, um Cerber zu verteilen. Zudem erstellte die Sicherheitssoftware eine Warnung, als das PowerShell-Skript eine Verbindung zu einer Seite im TOR-Netzwerk herstellte, um eine ausführbare Datei herunterzuladen. „Das Personal des Security Operations Center (SOC) kann solche Warnungen benutzen, um die Quell-IP-Adresse zu ermitteln und über die Firewall zu blockieren, was verhindert, dass andere Maschinen die ausführbare Datei herunterladen. In diesem Fall war die ausführbare Datei eine Ransomware“, ergänzte Blizard.

Windows Defender ATP erkannte der Studie zufolge aber auch, wie Cerber automatisch nach dem Download des Payload gestartet wurde und welche Aktionen Cerber unmittelbar vor Beginn der Dateiverschlüsselung ausführte. Die daraus resultierenden Warnmeldungen lieferten Sicherheitsexperten zusätzliche Informationen und hälfen ihnen, einen Ransomware-Ausbruch zu verhindern.

Loading ...

„Die Forschung befürwortet Machine-Learning-Modelle und Algorithmen zur verhaltensbasierten Erkennung, um Ransomware in unterschiedlichen Stadien zu erkennen, von der Verteilung per E-Mail oder über Exploit-Kits bis zu dem Punkt, an dem Opfer das Lösegeld zahlen“, so Blizard weiter.

Windows Defender ATP ist Bestandteil der Enterprise-Version von Windows 10. Mit dem kommenden Creators Update erhält die Software neue Funktionen, mit denen Microsoft – wie auch mit der Studie zu Cerber – Unternehmen zum Umstieg auf Windows 10 bewegen will. Neue Sensoren können künftig beispielsweise nur im Speicher ausgeführte Malware und Kernel-Level-Exploits aufspüren. Neu ist auch die Möglichkeit, Informationsquellen hinzuzufügen. Microsoft integriert zudem neue Werkzeuge für die Isolierung infizierter Computer.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

8 Stunden ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

16 Stunden ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago