SophosLabs gibt in seinem aktuellen Snatch-Report interessante Einsichten in die Cybercrime-Szene. Diese setze nicht nur auf das Verschlüsseln von Daten, sondern filtere gezielt auch Daten heraus, um Unternehmen damit im Zusammenhang mit der DSGVO zu erpressen.

Bei Snatch handelt es sich um eine neue Ransomware-Variante, die mit variierenden Techniken vorgeht und unter anderem einen Neustart übernommener Computer im abgesicherten Modus veranlasst, wie SophosLabs und Sophos Managed Threat Response in einem Bericht schreiben. Durch den abgesicherten Modus hebele die Schadsoftware verhaltensorientierte Schutzmaßnahmen aus, die speziell nach Ransomware-Aktivitäten wie das Verschlüsseln von Daten Ausschau halten. Der britische IT-Security-Anbieter Sophos geht davon aus, dass Cyberkriminelle auf diese Weise eine neue Angriffstechnik etabliert haben, um fortschrittliche Schutzmechanismen auszuhebeln.

Darüber hinaus haben die Sicherheitsforscher noch einen weiteren Trend erkannt: Kriminelle filtern immer häufiger Daten heraus, bevor der eigentliche Ransomware-Angriff startet. Anschließend nutzen sie die entwendeten Daten zu einem späteren Zeitpunkt für Erpressungen, etwa im Zusammenhang mit der DSGVO. Dieses Vorgehen hat Sophos beispielsweise bei Ransomware-Gruppen wie Bitpaymer festgestellt.

Im Snatch-Report beschreiben die Sicherheitsspezialisten, wie Hacker versuchen, über unsichere IT-Fernzugriffsdienste einen Zugang zu erlangen, etwa über das Remote Desktop Protocol (RDP). Ferner liefert der Bericht zahlreiche Hintergrundinformationen zur Szene und beschreiben unter anderem, wie die Snatch-Schöpfer versuchen, Kollaborateure in Dark-Web-foren zu rekrutieren.

Snatch startet den befallenen PC im abgesicherten Modus, um verhaltensbasierte Schutzmechanismen auszuschalten. Bild: Sophos

Als mögliche Schutzmaßnahmen gegen Ransomware wie Snatch empfiehlt Sophos ein proaktives Vorgehen beim Threat Hunting. Dabei sollte ein professionelles Sicherheitsteam – im Unternehmen oder in Form eines externen Dienstleisters – zum Einsatz kommen, um mögliche Bedrohungen rund um die Uhr zu überwachen. Eine weitere Maßnahme sei der Einsatz von Machine beziehungsweise Deep Learning für das verhaltensbasierte Erkennen von Malware am Endpoint.

Wo möglich, sollte das Unternehmen Fernzugriffsdienste identifizieren und stoppen, die aus dem öffentlichen Netz zugänglich sind. Ist ein Fernzugriff zwingend für die Arbeitsprozesse nötig, muss dieser unbedingt via VPN mit Multifaktor-Authentifizierung, Passwort-Prüfung und präzisen Zugangskontrollen geschützt sein, so der Sicherheitsanbieter weiter. Darüber hinaus müsse jeder Server mit Fernzugriff mit aktueller Software ausgestattet sein, hinsichtlich Login-Versuchen und Abweichungen überwacht werden und mit einer Endpoint-Sicherheitssoftware geschützt sein.

Zudem sollten Nutzer, die mit Fernzugriffsdiensten eingeloggt sind, für den Rest des Firmennetzwerks nur über begrenzte Rechte verfügen. Für Administratoren-Accounts empfiehlt Sophos die Verwendung einer Multifaktor-Authentifizierung.

Darüber hinaus können Unternehmen laut Hersteller öffentliche Netzwerk-Scan-Dienste heranziehen, um nach offenen RDP-Ports in ihrem IP-Bereich zu suchen.

Weitere Informationen finden sich unter www.sophos.de.

Timo Scheibe ist Redakteur bei der LANline.