Das Cyberark Research Lab hat das Verhalten Tausender Samples weit verbreiteter Ransomware (Erpressersoftware) untersucht und identische Muster entdeckt. Die Erkenntnisse sollen es Unternehmen ermöglichen, das Risiko einer Infektion zu senken und die Ausbreitung eines Ransomware-Angriffs zu stoppen.

Cyberark, IT-Sicherheitsspezialist aus Petach Tikvah (Israel), hat eine detaillierte Studie zu Ransomware veröffentlicht. Im Rahmen der Studie hat das Cyberark Research Lab laut eigenem Bekunden mehr als 23.000 im Netz aktive Samples weit verbreiteter Ransomware-Familien analysiert, um Erkenntnisse über das typische Verhalten der Schadsoftware zu erhalten. Aus den Verhaltensmustern habe man Strategien abgeleitet, die dabei helfen, die Auswirkungen eines Angriffs einzudämmen.

Nach der Verschlüsselung eines Datenbestands beziehungsweise Rechners versuchen manche Ransomware-Varianten, sich im Unternehmensnetz weiter auszubreiten. Bild: Cyberark

Nach der Verschlüsselung eines Datenbestands beziehungsweise Rechners versuchen manche Ransomware-Varianten, sich im Unternehmensnetz weiter auszubreiten. Bild: Cyberark

Ransomware ist eine häufige und zunehmende Gefahr, so Cyberark, vor allem für Unternehmen: Im Jahr 2015 wurden laut dem Security-Anbieter fast 407.000 Versuche von Ransomware-Infektionen registriert und mehr als 325 Millionen Dollar von den Opfern erpresst – Tendenz steigend. Deshalb habe man über 30 weit verbreitete Malware-Familien analysiert, darunter Cryptolocker, Petya und Locky.

 

Die Studie „Analyse von Ransomware und mögliche Strategien zur Eindämmung“ hat laut Cyberark folgende Schwerpunkte:

 

• Untersuchung des Ablaufs der Infektion im Netzwerk und Analyse der Gründe beziehungsweise Auslöser für die Ausführung von Ransomware bis hin zur Verschlüsselung,

• Diskrepanzen und Gemeinsamkeiten bei der Ausführung von Ransomware in Abhängigkeit von Zugriffsrechten auf das lokale Administratorkonto, das Benutzerkonto oder Verschlüsselungs-Keys,

• Entwicklung von Eindämmungs- und Schutzstrategien unter Einbeziehung von Endpunkt-Security, Best-Practice-Backup-Vorgehensweisen und Anwendungssteuerung, um das Risiko von Ransomware-Infektionen für Unternehmen zu senken.

 

Eine zentrale Erkenntnis war laut Cyberark, dass der Schutz zu 100 Prozent effektiv ist, wenn die lokalen Administratorrechte entfernt werden und zugleich eine Anwendungssteuerung mit Greylisting aktiv ist. Die hohe Bewertung dieses Ansatzes ergab sich im Vergleich mit der Effizienz der anderen Eindämmungsstrategien – unter anderem mit traditioneller Antivirensoftware.

 

Man habe herausgefunden, dass eine große Zahl moderner Malware lokale Administratorrechte erfordert, um richtig zu funktionieren – daneben existiere aber auch eine große Zahl, die diese Rechte nicht braucht: 70 Prozent der Ransomware-Varianten versuchen, sich Administratorrechte anzueignen. Erhielten sie die Rechte nicht, wurden davon aber trotzdem 90 Prozent ausgeführt.

 

Es habe sich gezeigt, dass sich Ransomware unterschiedlich verhält. Unternehmen sollten daher lokale Administratorrechte stets entfernen und mit der Anwendungssteuerung kombinieren, um eine Verschlüsselung durch die Schadsoftware zu verhindern, rät Cyberark.

 

„Ransomware stellt sich für Angreifer als zuverlässige und geeignete Methode dar, Unternehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder – in der Hoffnung, die Daten wiederzubekommen – den Kidnapper zu bezahlen“, so Michael Kleist, Regional Director DACH bei Cyberark in Düsseldorf.

„Die klassischen Antiviren-Lösungen sind bei der Abwehr von Ransomware nicht effektiv“, so Kleist weiter. „Es ist deshalb nötig, einen proaktiven Ansatz bei der Absicherung von Endpunkten und Servern zu verfolgen, denn nur so lässt sich ein Unternehmen gegen Malware schützen, die sich rasant verbreitet und verändert.“

 

Die Untersuchung des Cyberark Research Lab ist zu finden unter www.cyberark.de/resource/analyse-von-ransomware-und-moegliche-strategien-zur-eindaemmung.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.