Ransomware: Alte Bekannte, immer wieder neu und erfolgreich - Vectra Networks gibt Tipps zur Erkennung und Bekämpfung

München, (PresseBox) - Vectra Threat Labs, die Abteilung zur Malware-Analyse bei Vectra Networks™, einem führenden Anbieter für die automatisierte Erkennung von laufenden Cyberangriffen, hat die Ransomware-Attacke „WannaCry“ analysiert. Das Fazit von Vectra Networks: Die Art und Weise, wie Computer durch WannaCry infiziert wurden, ist neu. Das grundsätzliche Verhalten der Ransomware entspricht jedoch den gängigen Mustern.

WannaCry und seine Varianten verhalten sich ähnlich wie andere Ransomware Angriffe, die Vectra bereits erkannt hat. Dies gelingt besonders zuverlässig durch die Erkennung der Verhaltensweisen von Ransomware, anstatt sich nur auf spezifische Exploits oder Malware zu konzentrieren. Viele der auffälligen Verhaltensweisen von WannaCry betreffen die Aufklärung und seitliche Bewegung im Netzwerk der betroffenen Unternehmen.

Erkennung von WannaCry und seiner Varianten

Entscheidend ist: Bevor die Ransomware irgendwelche Dateien verschlüsseln kann, muss sie erst File Shares im Netzwerk finden – die Internal Reconnaissance-Phase ist eine Phase der sogenannten Kill Chain. Vectra ist in der Lage, das Verhalten der Malware beim Durchforsten des Netzwerks zu erkennen und alle Verhaltensweisen, die mit infizierten Hosts assoziiert werden, zu kategorisieren. Hosts, die bereits mit Ransomware infiziert sind, stellen eine sehr große Gefahr dar, und sie erhalten deshalb höchste Priorität.

Unternehmen, die in Sachen IT-Sicherheit auf künstliche Intelligenz setzen, waren bereits vor WannaCry geschützt.

Experten für IT-Sicherheit und künstliche Intelligenz (KI) haben festgestellt, dass infizierte Hosts die folgenden Verhaltensweisen aufweisen:


Command-and-Control-Kommunikation über das TOR-Netzwerk.
Analyse (Sweeping) des internen Netzwerks und des Internets auf Port 445 zur Erfassung von Computern mit der Sicherheitslücke MS17-010.
Automatisierte Replikation von Malware, sobald ein Computer mit der Sicherheitslücke MS17-010 gefunden wurde.
Verschlüsselung von Dateien auf lokalen und gemappten Files Shares.


Wie lässt sich die Reaktion auf WannaCry und seine Varianten verbessern?

Vectra Networks empfiehlt die Konfiguration von E-Mail-Alerts, wenn das System Verhalten entdeckt, das WannaCry und seinen Varianten entspricht.  Vectra sieht in diesem Fall eine hohe Priorität für Aktivitäten auf Port 445, um frühe Indikatoren für einen Angriff zu erkennen:


Interner und externer Port Sweep
Interner Darknet-Scan
Automatisierte Replikation
Ransomware-verdächtige Aktivitäten
Auflistung von File Shares


Eine Alarmierung im Falle von sämtlichen erkannten TOR-Aktivitäten ist ebenso empfehlenswert. Der Onion Router (TOR) ist kein Tool, das für gewöhnlich in Unternehmen verwendet wird und ist oft ein Indikator dafür, dass jemand versucht, seinen Standort und seine Aktivitäten zu verbergen. TOR-Aktivitäten sind oft ein Grund, um einem möglichen schädlichen Verhalten auf den Grund zu gehen.

Durch die Einteilung des Verhaltens von Angreifern je nach Bedrohungslevel und Wahrscheinlichkeit können schnell Hosts für eine Reaktion priorisiert werden. Hierzu werden Schwellenwerten für E-Mail-Benachrichtigungen bestimmt.

Welche Reaktion auf einen erkannten Angriff ist sinnvoll?

Ein System, das auf künstliche Intelligenz setzt,   liefert dem Sicherheitsverantwortlichen alle Informationen, um eine fundierte Entscheidung zu treffen. Wenn eine oder mehrere dieser verdächtigen Verhaltensweisen auf einem Host erkannt wird, kann der Benutzer eine von mehreren Aktionen automatisieren, abhängig von der Bedrohungsstufe und internen Richtlinien.


Der Host muss aus dem Netzwerk entfernt oder in Quarantäne gesetzt werden. WannaCry hat virale oder wurmähnliche Ausbreitungstendenzen gezeigt. Die Trennung eines Hosts vom Netzwerk ist der schnellste Weg, um seine Verbreitung zu stoppen.
Quarantäne aller Hosts, die als Ziel-IP-Adressen bei der Erkennung einer automatisierten Replikation aufgelistet sind, wenn sie von einem Host kontaktiert wurden, bei dem alles auf eine WannaCry-Infektion hindeutet.
Re-Imaging der infizierten Hosts und Wiederherstellung von Dateien aus einem Offline-Backup, um eine Neuinfektion zu vermeiden.
Im Falle der Erkennung einer Ransomware-Datei-Aktivität sollten verschlüsselte Dateien auf den Dateifreigaben aus einer Offline-Sicherung wiederhergestellt werden.


Was kommt als nächstes?

Dies war nur einer von vielen weiteren Angriffen, die kommen werden. Diese Angriffe haben unterschiedliche Namen und verwenden unterschiedliche Exploits. Was sich aber nicht ändert, ist die Art der Angriffe und ihr Verhalten. „Während wir nicht wissen, was genau der nächste große Angriff sein wird und wann er stattfinden wird, wissen wir, dass wir bereit sein müssen. Unternehmen benötigen hierfür Unterstützung. Fortschritte in der künstlichen Intelligenz ermöglichen es, mittels neuer Technologie die Fähigkeiten der Sicherheitsteams zu erweitern. Die Sicherheitsbranche muss sich dahingehend orientieren, künftig das Verhalten des Angreifers in Echtzeit zu identifizieren“, erklärte Gérard Bauer, Vice President EMEA bei Vectra Networks.

Vectra Networks GmbH

Vectra Networks™ ist der führende Anbieter von Lösungen für die Echtzeit-Erkennung von laufenden Cyber-Angriffen. Die automatisierte Threat-Management-Lösung des Unternehmens kontrolliert permanent den internen Netzwerkverkehr, um Cyber-Angriffe zu erkennen, während sie noch stattfinden. Die Lösung korreliert dann die Bedrohungen mit den Hosts, die angegriffen werden, und stellt einen einzigartigen Kontext bereit, was die Angreifer konkret ausführen. Unternehmen sind somit schneller in der Lage, Schaden zu verhindern oder zu begrenzen. Vectra räumt jenen Angriffen Vorrang ein, die das größte Risiko für das Unternehmen darstellen, und ermöglicht es so den Unternehmen, unverzüglich zu entscheiden, wie sie ihre Zeit und Ressourcen am sinnvollsten verwenden sollten. 2015 wurde Vectra von Gartner als "Cool Vendor in Security Intelligence" ausgezeichnet. Gartner würdigte damit das Unternehmen dafür, dass es sich den Herausforderungen bei der Erkennung von Bedrohungen nach einem Sicherheitsvorfall stellt. Zu den Investoren von Vectra zählen Khosla Ventures, Accel Partners, IA Ventures und AME Cloud Ventures. Der Hauptsitz des Unternehmens befindet sich in San Jose, Kalifornien. Weitere Informationen erhalten Sie unter www.vectranetworks.com


Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

M&A und die Frage der IT-Sicherheit

Bei ei­ner Fu­si­on wer­den recht­li­che selbst­stän­di­ge Un­ter­neh­men zu ei­ner wirt­schaft­li­chen und recht­li­chen Ein­heit ver­bun­den. In Zei­ten der Di­gi­ta­li­sie­rung drängt sich die Fra­ge auf, wie die IT-In­fra­struk­tu­ren der fu­sio­nier­ten Fir­men eben­falls ve­r­ein­heit­licht wer­den kön­nen – oh­ne dass es zu qua­li­ta­ti­ven Ein­bu­ßen und Si­cher­heits­ri­si­ken kommt.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.