Ransomware Abwehr – ohne IT-Monitoring geht nichts

Wieder ist es passiert, dieses Mal gleich bei elf Unternehmen in Weiden in der Oberpfalz (Bayern) – Ransomware – wieder lahmgelegte IT-Systeme, wieder Lösegeldforderungen und wieder scheint eine Phishing-E-Mail die Ursache gewesen zu sein. Dabei reicht die Infektion eines Unternehmens durch einen fehlgeleiteten Klick auf eine E-Mail aus, um das IT-System zu infizieren. Dann springt die Infektion auf verbundene IT-Systeme von anderen Unternehmen wie Auftragnehmern oder Partnern über und verschlüsselt auch dort wertvolle Daten. Phishing-E-Mails, die vom gehackten Unternehmen kommen, können dann wiederum IT-Systeme in Geiselhaft nehmen und verbreiten die Schadsoftware von dort aus weiter. Im schlimmsten Fall löst dies eine Kettenreaktion aus. Derzeit wird bei den betroffenen Unternehmen ermittelt.

Christian Have, CTO bei LogPoint erklärt: „Ransomware zu stoppen ist keine leichte Aufgabe. Die Wirtschaftskraft, die hinter den Gruppierungen steht, ist beträchtlich. Viele aktive Gruppen verfügen über richtige Unternehmensstrukturen, mit Rollen und Verantwortlichkeiten, die wie eine Softwareentwicklungsfirma aufgebaut sind. Diese kriminellen Organisationen sind gut finanziert und hoch motiviert – ihre Einnahmequellen beginnen und enden nicht damit, dass die Opfer ein Lösegeld zahlen. Es gibt ein ganzes Ransomware-Ökosystem, das aus erfolgreich ausgeführten Angriffen Kapital schlägt, wie Ransomware-as-a-Service, Broker, die Teams von hochspezialisierten Entwicklern bereitstellen, die Malware programmieren und bereitstellen können, oder Gruppen, die nicht aktiv den Betrieb stören oder Lösegeld fordern. Einige verkaufen sogar den Zugang zu den Opfern, damit andere Gruppen daraus Kapital schlagen können.

Erfolgreich sind die Gruppen nur, weil sich die IT-Abteilungen nicht ausreichend um die Grundlagen kümmern, Patching, sichere Konfigurationen oder das Befolgen von Best Practices. Leider ist das ein Muster, das sich bei vielen der jüngsten Angriffe wiederholt. Es ist nicht ohne Grund so, dass alle Sicherheitsexperten Patching und Basiskonfigurationen als einige der ersten Empfehlungen für Unternehmen zur Stärkung ihrer Cybersicherheitsbemühungen formulieren. Warum also patchen Unternehmen nicht einfach alles, implementieren das Zero-Trust-Modell und erzwingen überall eine Multi-Faktor-Authentifizierung?

Der IT-Betrieb ist auch so schon schwierig genug. Das Security-Operations-Team, das IT-Operations-Team und das Enterprise-Risk-Management-Team denken oft in Silos und haben unterschiedliche Ziele. Die Abstimmung von Aktivitäten und Zielen über verschiedene Abteilungen hinweg ist zweifelsohne Teil des Problems.

Die Probleme bei der Nachverfolgung der aktuellen Vorfälle in Weiden sind ein weiterer Beleg dafür, dass Strafverfolgungsbehörden grenzüberschreitend zusammenarbeiten müssen, um Ransomware-Gruppen ins Visier zu nehmen. Silos innerhalb von Organisationen müssen aufgebrochen und die Teams für Cybersicherheit, IT-Betrieb und Risikomanagement dazu gebracht werden, dieselbe Sprache zu sprechen und die Erwartungen anzugleichen.

LogPoint kann Unternehmen dabei helfen, Detection und Incident Response-Maßnahmen aufeinander abzustimmen. Die SIEM-Software nimmt Protokolldaten auf, die Sicherheitsexperten nutzen können, um Ransomware-Varianten wie FiveHands, Egregor oder Ryuk leicht zu erkennen. Durch das Einlesen von Log-Daten können speziell geschulte Security Analysten die Systeme nach weiteren Informationen über bekannte Probleme abfragen, z. B. nach erkannten Schwachstellen, Abweichungen von Best Practices oder Unternehmensrichtlinien. Durch die Kombination von Protokolldaten mit Schwachstellendaten, Konfigurationskonformität und einer erweiterten Abfrage des Systems können die unbekannten Probleme aufgedeckt werden, indem genauere Risikobewertungen der Infrastruktur und ihrer Komponenten formuliert werden.“