Powered by:

SecurityeBook

Eine Publikation vonSecurityInsider

Ransomware von A bis Z Bedrohungen von Online-Erpressern verstehen, erkennen und proaktiv abwehren

2 Security-Insider.de | Ransomware von A bis Z

3 Die Erpressersoftware ist zurück – schlimmer als je zuvor

4 Zur aktuellen Bedrohungslage

6 Ransomware: So funktioniert der Star unter den aktuellen Bedrohungen

9 Warum die Gefahr durch Ransomware dramatisch zunimmt

12 Die gemeinen Tricks der Ransomware

14 Wie WildFire, Shade und Co funktionieren

17 So kann Intel Security proaktiv vor Ransomware schützen

19 Case Study: Integriertes IT-Sicherheitssystem beim Verpackungsmittelhersteller MAUSER

22 Seien Sie wachsam! Bleiben Sie auf dem Laufenden!

Inhalt

Vogel IT-Medien GmbHAugust-Wessels-Str. 27, 86156 AugsburgTelefon +49 (0) 821/2177-0E-Mail redaktion@security-insider.deWeb www.Security-Insider.deGeschäftsführer: Werner NieberleChefredakteur: Peter Schmitz, V.i.S.d.P. Autor: Dr. Dietmar Müller Erscheinungstermin: September 2016Titelbild: tonsnoei - Fotolia.com

Haftung: Für den Fall, dass Beiträge oder Informa tionen

unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim

Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich

gekennzeichnet sind, ist der jeweilige Autor verantwortlich.

Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.

Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur

mit schriftlicher Genehmigung der Redaktion.

Nachdruck und elektronische Nutzung: Wenn Sie Beiträge

dieses eBooks für eigene Veröffent li chun gen wie Sonderdru-

cke, Websites, sonstige elektroni sche Medien oder Kunden-

zeitschriften nutzen möchten, erhalten Sie Informationen so-

wie die erforderlichen Rechte über www.mycontentfactory.de,

Tel. +49 (0) 931/418-2786.

Intel Deutschland GmbHOhmstr. 1, 85716 UnterschleißheimTelefon +49 (0)89 37 07-0E-Mail Info_Deutschland@McAfee.comWeb www.mcafee.com/de

Powered by:

3 Security-Insider.de | Ransomware von A bis Z

Laut Bitkom müsse es nun vorrangig um die Bekämpfung von Ransomware gehen, mit deren Hilfe die Opfer zur Zahlung eines Betrages erpresst werden sollen. „Die Er-pressung wird vermutlich auch noch weiter gehen. Der digitale Einbruch in die Daten-banken von Seitensprungportalen diente dazu, die Datensätze auf sog. Darknet-Handelsplätzen anzubieten.“ Anfang die-ses Jahres waren zudem die Schlagzeilen voll, als Daten und Kommunikationswege in mehreren deutschen Kliniken gekapert wurden. Nun ist die Erpressersoftware zurück. Schlimmer als je zuvor, zumal viele Unter-nehmen glauben, gegen Malware umfas-send geschützt zu sein. Offensichtlich gibt es nach wie vor Sicherheitslücken, an die zu wenig gedacht wurde. Mit verheerenden Folgen. Laut dem McAfee Labs Threats Report im Juni 2016 von Intel Security, hat das Ransomware-Aufkommen von 2015 auf 2016 um 116 Prozent zugenommen. Die Schäden dürften Schätzungen zufolge im Milliardenbereich liegen.Das Bundesamt für Sicherheit in der Infor-mationstechnik (BSI) hat im Rahmen der Allianz für Cyber-Sicherheit eine Umfrage zur Betroffenheit der deutschen Wirt-schaft durch Ransomware durchgeführt. Demnach waren ein Drittel (32 Prozent) der deutschen Unternehmen im Zeit-raum Herbst 2015 bis Frühjahr 2016 von Ransomware betroffen – und zwar Firmen

Ransomware hat im vergangenen Jahr erstmals so richtig die

Öffentlichkeit erschüttert. Im Herbst 2015 stellte der Bitkom fest, dass

„die Cyberkriminalität eine boomende und ausdifferenzierte, arbeitsteilig

vorgehende und effizient organisierte Industrie geworden ist“.

aller Größenordnungen. Drei Viertel (75 Pro- zent) der Infektionen waren auf infizierte E-Mail-Anhänge zurückzuführen. Die Auswirkungen des Ransomware-Be-falls waren zum Teil erheblich: Während 70 Prozent der betroffenen Unternehmen an-gaben, dass einzelne Arbeitsplatzrechner befallen waren, kam es in jedem fünften der betroffenen Unternehmen (22 Prozent) zu einem erheblichen Ausfall von Teilen der IT-Infrastruktur, 11 Prozent der Betroffenen erlitten einen Verlust wichtiger Daten. Nach wie vor beobachtet das BSI immer neue Wellen von Ransomware-Angriffen. Auch die Mehrheit der befragten Unternehmen (60 Prozent) schätzt die Bedrohungslage für die eigene Institution als verschärft ein. Fast alle Unternehmen (86 Prozent) haben zusätzliche Maßnahmen getroffen, um sich besser vor Ransomware zu schützen. Dazu zählen die verstärkte Sensibilisierung der Mitarbeiter (76 Prozent) sowie tech-nische Maßnahmen in Bereichen wie der Filterung an Netzübergängen, der Abwehr von Spam-Mails und der Verbesserung der Virenerkennung. 38 Prozent der Befragten planen überdies zusätzliche Maßnahmen im Bereich Datensicherung und Backups.

Wie aber funktioniert Ransomware genau? Wer ist speziell in Gefahr? Wie schützt man sein Netzwerk? Im Folgenden beleuchten wir wichtige Aspekte der gefürchteten Er-presser-Software.

Die Erpressersoftware ist zurück – schlimmer als je zuvor

Einleitung

4 Security-Insider.de | Ransomware von A bis Z

Alleine im vierten Quartal des vergangenen Jahres gab es bei neuen Ransomware-Varianten eine Zunahme um 26 Prozent. Wie konnte das passieren? Open-Source-Ransomware-Code und Ransomware aus der Cloud haben die Arbeit der Cyber- Kriminellen erheblich vereinfacht. Für sie sind die Angriffe potentiell profitabel, aber ohne großes Risiko.Entsprechend stellt Ransomware auch im Jahr 2016 eine große Bedrohung dar. Im Jahr 2015 fanden sich vor allem Ransom-ware-Varianten, die im Tor-Netzwerk als Service gehostet wurden und für Zahlun-gen virtuelle Währungen nutzten. In die-sem Jahr sind neue, aber vergleichbare Varianten aufgetaucht – kein Wunder, da auch unerfahrene Internetkriminelle auf entsprechende Exploit-Kits zugreifen und

Ransomware, auch Erpresser-Software genannt, macht seit seiner

ersten Erwähnung im McAfee Labs Threat Report vom zweiten Quartal

2012 immer wieder neue Schlagzeilen. Kein Wunder: Kaum eine andere

kriminelle Software boomt vergleichbar.

dennoch relativ anonym blei-ben können. Neue Versionen sind dazu übergegangen, heimlich Daten zu verschlüsseln. Der Angrei-fer wartet, bis diese verschlüs-selten Dateien vom nichtsah-nenden Benutzer gesichert wurden, sodass sich die ver-schlüsselten Dateien sowohl auf dem System als auch in der Sicherung befinden, und entfernt dann eines Tages den Schlüssel. Andere neue Vari-anten könnten zum Beispiel Kernel-Komponenten nutzen, um sich in das Dateisystem einzuklinken und Dateien in

dem Moment zu verschlüsseln, wenn der Benutzer darauf zugreift.

Angriff auf Cloud und Mobilgeräte

2015 vermutete McAfee Labs, dass Ransomware auch die Cloud und Mobilge-räte angreifen wird. Im Juni wurde dann der erste Nachweis für eine Erpresser-Software erbracht, die es auf Android-Geräte abge-sehen hat. Das überrascht, denn obwohl Benutzer zunehmend persönliche Dateien auf angreifbaren Mobiltelefonen speichern, ist es ziemlich einfach, verschlüsselte oder beschädigte Dateien vom Cloud-Dienst des App-Anbieters oder aus der lokalen Sicherung wiederherzustellen. Ein Erpres-serversuch läuft dementsprechend ins Leere. Die Summe, die die Cyber-Gangster zu erpressen suchten, war daher auch

Zur aktuellen Bedrohungslage

Kapitel 1

Von den bekannten Ransomware-Familien werden zahllose neue Varianten generiert. (Bild: Intel Security)

5 Security-Insider.de | Ransomware von A bis Z

entsprechend niedrig: Für 30 Dollar wurde die Entschlüsselung des Smartphones in Aussicht gestellt.

Spezielle Branchen und kritische Infrastrukturen im Visier

Eine andere Prognose hat sich ebenfalls bewahrheitet: McAfee Labs erklärte, dass sich Ransomware-Angriffe 2016 nicht nur fortsetzen, sondern deutlich verschlim-mern werden. McAfee Labs sagte zudem voraus, dass die Angreifer einen neuen Schwerpunkt auf spezielle Branchen legen werden, da Unternehmen und Organisa-tionen schneller Lösegelder zahlen werden, um wichtige Abläufe wiederherstellen zu können. Das traf punktgenau zu: Wenigs-tens drei Krankenhaussysteme in den USA wurden im ersten Quartal dieses Jahres von Angreifern mithilfe der Locky-Ransom-ware als Geisel genommen. In einem Fall zahlte das Krankenhaus 17.000 Dollar an Lösegeld. Noch eine Prognose von McAfee Labs traf ins Schwarze – leider: „Im Jahr 2016 und darüber hinaus wird die wachsende Zahl an Schwachstellen in kritischen Infrastruk-turen ein großes Problem darstellen. Er-folgreiche Angriffe auf diese Ziele werden der Gesellschaft enorm schaden“, hieß es in den „Threats Predictions“ für 2016. Tat-sächlich wurde das ukrainische Stromnetz bereits Ende Dezember 2015 angegriffen, was zu einem Stromausfall für 225.000 Menschen führte.Die Gefahr lauert allerdings nicht nur in den USA oder der Ukraine: Im Februar dieses Jahres wurde bekannt, dass Ransomware die digitale Kommunikation des Klinikums Arnsberg unterbrochen hat-te. Daraufhin musste das komplette Sys-tem heruntergefahren werden. Tagelang konnten außer Notfälle keine neuen Pati-enten aufgenommen werden. Auch das Neusser Lukaskrankenhaus in Nordrhein-Westfalen berichtete von einem ähnlichen

Angriff, genauso wie Kliniken in Mönchen-gladbach, Essen, Kleve und Köln. Sogar das nordrhein-westfälische Innenministe-rium war im Dezember 2015 Opfer eines Erpressungsversuchs – von einer enorm hohen Dunkelziffer kann man ausgehen.Laut dem McAfee Labs Threat-Report vom Juni 2016 stiegen die Ransomware-Zahlen im zweiten Quartal dieses Jahres neuer-lich um 24 Prozent, sie setzten damit ihr schnelles Wachstum fort. Die Gefahr ist also keineswegs gebannt – im Gegenteil.

Fazit

2015 dachten wir, es kann nicht schlimmer kommen, doch wir haben uns getäuscht: Immer neuere Varianten von Erpresser-Software befallen Unternehmensnetzwer-ke, öffentliche Einrichtungen und andere Organisationen. Obwohl die Ermittlungs-behörden und die Spezialisten für Cyber-Sicherheit offenbar eng zusammenarbei-ten, hinken sie den Verbrechern hinterher.

Kapitel 1

6 Security-Insider.de | Ransomware von A bis Z

Im Mai 1996 stellten Adam Young und Mati Yung von der Columbia University auf dem Symposium zu Sicherheit und Da-tenschutz der IEEE (IEEE Symposium on Security and Privacy) das Paper „Crypto-virology - extortion-based security threats and countermeasures“ („Kryptovirologie – auf Erpressung basierende Sicherheitsbe-drohungen und Gegenmaßnahmen“) vor. Dabei beschrieben sie die Entwicklung der ersten Ransomware-Prototypen, die auf asymmetrische Verschlüsselung setzten.

Asymmetrische Verschlüsselung

Asymmetrische Verschlüsselung ist eine Form von Kryptografie, bei der ein Schlüs-selpaar zum Ver- und Entschlüsseln ei-ner Datei verwendet wird. Im Fall von Ransomware wird das öffentlich-private Schlüsselpaar vom Angreifer individuell für

Wie genau funktioniert Ransomware? Wie nutzen die Cyber-Kriminellen

sie? Dafür lohnt sich ein kurzer Blick auf die Historie von Ransomware.

das Opfer generiert. Der private Schlüssel zum Entschlüsseln der Dateien bleibt auf dem Server des Angreifers und wird dem Opfer erst nach Zahlung des Lösegel-des übermittelt. In einigen Fällen stellen die Angreifer jedoch noch nicht einmal nach Zahlung des Lösegelds die privaten Schlüssel bereit, sodass die Opfer nicht nur ihres Geldes, sondern auch ihrer Daten beraubt werden. Seit diesem grundlegenden For-

schungsartikel aus dem Jahr 1996 haben Forscher viele Angriffsszenarien in Arti-keln und Reden vorgestellt. Eine der ers-ten bekannten Ransomware-Familien – Gpcode.ak – tauchte im Jahr 2008 in freier Wildbahn auf. Die Malware verschlüsselte eine riesige Anzahl von Dateien auf dem Computer des Opfers. Die bekannteste Ransomware-Familie – CryptoLocker – wurde zum ersten Mal im September 2013 gesichtet. Die damals aktuelle Form von CryptoLocker wurde im Mai 2014 ab-gewehrt, als mit dem GameOver Zeus- Netzwerk einer der wichtigsten Vertei-lungskanäle abgeschaltet wurde.

Domänen-generierende Algorithmen

Bis vor kurzem waren die größten Ransom-ware-Familien CryptoWall (Versionen 2

Ransomware: So funktioniert der Star unter den aktuellen Bedrohungen

Kapitel 2

Das erste Auftreten von Ransomware ist schon 20 Jahre her. Aber in den letzten drei Jahren explodierte die Verbrei-tung der Erpresser- software. (Bild: Intel Security)

7 Security-Insider.de | Ransomware von A bis Z

und 3), TorrentLocker Version 2 und Curve- Tor-Bitcoin (CTB)-Locker. Dabei schienen die CryptoLocker-Varianten be-reits besiegt: Die ausführbare Datei der Ransomware versuchte, sich über eine fest vorgegebene IP-Adresse mit einem Kontroll-Server zu verbinden. Wenn dieser Versuch fehlschlägt, generiert die Malware mithilfe eines Zufallsalgorithmus einen Domänennamen. Die Domänen-generie-renden Algorithmen (DGAs) beider Mal-ware-Familien wurden geknackt, sodass die Strafverfolgungsbehörden die Domä-nennamen vorhersagen konnten, die im Laufe des Jahres 2014 generiert würden.

Durch die Blockierung und Auflösung die-ser Domänen wurden die Systeme der Opfer daran gehindert, mit dem Kontroll-Server zu kommunizieren sowie weite-ren Schadcode herunterzuladen. Allein bei CryptoLocker wurden im Rahmen der Operation mehr als 125.000 Domänen per Sinkhole blockiert. McAfee Stinger, ein kostenloses Tool zur Erkennung und Ent-fernung von Malware (darunter Crypto-Locker) wurde alleine in den ersten drei Tagen nach der Veröffentlichung mehr als 80.000mal heruntergeladen. Nun sind

jedoch neue, „verbesserte“ Varianten von CryptoLocker im Umlauf.

Spezielle Verschleierungstechniken von CTB-Locker

Ebenfalls noch immer im Umlauf ist aktu-ell der CTB-Locker. Er nutzt ganz speziel-le Verschleierungstechniken, um Sicher-heits-Software zu umgehen, nicht zuletzt Phishing. Wie schon das Bundeskrimi-nalamt im „Bundeslagebild Cybercrime 2013“ feststellte, feiert Phishing aufgrund verbesserter Schadsoftware ein unerfreu-liches Comeback. Zudem sind die den Locker enthaltenden E-Mails „glaubwürdi-

ger“ als andere Ransomware-Kampagnen. So missbraucht die Malware die Namen lokaler Unternehmen und nutzt regi-onalspezifische Dateinamen. Und schließlich setzt CTB- Locker auf ein Partnerpro-gramm, mit dem der Markt in kürzester Zeit mit Phishing-Kampagnen geflutet wurde – noch bevor die Sicherheits-Software der angegriffenen Systeme aktualisiert und An-griffe erkannt und abgewehrt werden konnten. CTB-Locker wird auf vielfäl-tige Weise verbreitet, darun-ter IRC (Internet Relay Chat),

P2P-Netzwerke, Newsgroup-Meldungen, Spam-E-Mails und so weiter. McAfee Labs machte zudem einen ganz neuen Ansatz aus: die Nutzung des bekannten Downloa-ders Dalexis. Um Spam-Schutz-Tools zu täuschen, ist der Downloader in einer ZIP-Datei versteckt, die eine weitere ZIP-Datei mit einer Bildschirmschoner-SCR-Datei enthält. Der CTB-Locker bietet nach einer erfolg-reichen Infektion die kostenlose Entschlüs-selung von fünf Dateien an. Leider wird da-bei keine Verbindung zum Kontroll-Server

Kapitel 2

Die inzestuöse Natur von Ransomware. (Bild: Intel Security)

8 Security-Insider.de | Ransomware von A bis Z

aufgebaut, um den Schlüssel zur Ent-schlüsselung dieser Dateien herunterzu-laden. In diesem Fall könnten Malware-Forscher diese privaten Schlüssel erfassen und versuchen, ihre Muster zu entschlüs-seln. Stattdessen speichert CTB-Locker fünf private Schlüssel in einer zufällig be-nannten Datei mit einer durchschnittlichen Größe von 600 Byte auf dem Computer-laufwerk des Opfers. Dadurch muss keine Verbindung zum Server mit dem privaten Schlüssel des Opfers aufgebaut werden. Erste Kampagnen mit CTB-Locker began-nen Anfang Dezember 2014, doch wirk-lich massenhaft starteten die Kampagnen erst im Januar 2015. CTB-Locker wurde auf Englisch, Niederländisch, Deutsch, Französisch und Italienisch entdeckt. Die Sprachvarianten umfassen sogar die An-hänge, sodass die E-Mails glaubwürdiger wirken.

Fazit

Zusammengefasst kann unter Ransom-ware eine Malware verstanden werden, die die Daten ihres Opfers mittels asymmetri-scher Verschlüsselung als Geiseln nimmt. Die Autoren der Malware lassen sich im-mer neue Tricks und Kniffe einfallen, um die Netzwerke von Organisationen zu kapern. Nach der Zahlung von Lösegeld können die Opfer aber keinesfalls sicher sein, dass ihre verschlüsselten Dateien auch tatsäch-lich wiederhergestellt werden. Ist der Rech-ner befallen, rät das Bundesamt für Sicher-heit in der Informationstechnik deshalb davon ab, auf die Lösegeldforderungen einzugehen. Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungs-nachricht fotografieren und bei der Polizei Anzeige erstatten. Anschließend hilft meist nur ein komplettes Neuaufsetzen und Auf-spielen eines Daten-Backups.

Kapitel 2

9 Security-Insider.de | Ransomware von A bis Z

Ab Ende des Jahres 2014 haben die Auto-ren von Ransomware-Toolkits zudem neue Möglichkeiten der Einnahmeaufteilung eingeführt. Das mündete in ein einträgli-ches, automatisiertes Geschäftsmodell, das drastisch wächst und an dem andere Kriminelle leicht teilnehmen können. Die Partnerprogramme sehen in der Regel vor,

McAfee Labs haben eine massive Zunahme neuer einzigartiger

Ransomware-Binärvarianten ab dem vierten Quartal 2014 gemessen.

Das liegt hauptsächlich an zwei Punkten: Ransomware-Autoren

haben herausgefunden, wie einfach es sein kann, sich in die

Ransomware-Versorgungskette einzuklinken. Zum anderen haben sie

die Entdeckung von Ransomware-Binärvarianten erschwert.

das ergaunerte Geld in Form von Bitcoins im Verhältnis von 70:30 zu teilen. Von 400 Euro Lösegeld erhält der Angreifer 280, der Autor 120 Euro. Der Angreifer bekommt mehr Geld, weil er die Risiken trägt.

Keine Programmierkennt-nisse mehr erforderlich

Das geht soweit, dass der Angreifer selbst über keiner-lei Programmierkenntnisse mehr verfügen muss. Beim „Ransomware-as-a-Service“-Modell muss er einfach nur bereit sein, die Ransomware zu verbreiten. Das geschieht gewöhnlich durch E-Mail-Botnets, die auch ein Laie ein-

fach einrichten kann. Der Partner meldet sich hierfür lediglich an und lädt im An-schluss eine maßgeschneiderte Ransom-ware-Binärvariante herunter. Die Malware verfügt über detaillierte Zahlungsanwei-sungen sowie -informationen und macht es dem Partner leicht, am Ransomware-Spiel teilzunehmen. Nie war es so einfach,

Warum die Gefahr durch Ransomware dramatisch zunimmt

Kapitel 3

Maßgeschneiderte Ransomware-Binär-varianten sorgen für die explosionsartige Verbreitung der Erpresser-Software. (Bild: Intel Security)

10 Security-Insider.de | Ransomware von A bis Z

ein Cyber-Gangster zu sein – das alleine erklärt schon den massiven Anstieg an Ransomware-Angriffen.Die Strippenzieher von Ransomware-Kam-pagnen sind zudem auf schnellen Profit aus und nutzen daher Spam-Kampagnen sowie Exploit-Kits – sie schießen quasi mit Schrotflinten auf Spatzen. Wenn sie Glück haben, ist auch einmal ein großer Vogel unter den Opfern. Große Vögel finden sich logischerweise vorwiegend in wohlhaben-den Ländern, denn dort können sich die

Opfer das Lösegeld leisten. McAfee Labs beobachtet, dass sich in diesem Jahr der Schwerpunkt der Bedrohung auf Branchen wie das Gesund-heitswesen, Finanzinstitute und lokale Behörden verlagert hat. Diese sind am schnells-ten dazu bereit, Lösegelder zu zahlen.

Auch Mac OS X im Visier

Bislang wurden in der Regel nur Microsoft Office-, Adobe PDF- und Grafikdateien ver-schlüsselt. In diesem Jahr jedoch sind auch andere Da-teiformate, die typischerweise in Unternehmensumgebungen genutzt werden, ins Visier ge-raten. Auch die Angriffe auf Microsoft Windows wurden 2016 fortgesetzt. Da Mac OS X immer beliebter wird, war es nur eine Frage der Zeit, bis Ransomware-Varianten auch für dieses Betriebssystem auf-tauchten. Im Frühjahr dieses Jahres war es soweit: Wie das Institut für Internet-Sicherheit mitteilte, verschlüsselte der Er-pressungs-Trojaner KeRanger erstmals auch Daten von Mac-Nutzern. Der Schädling

versteckt sich im BitTorrent-Client Trans-mission. Im Jahr 2014 hat es zwar schon der Erpressungs-Trojaner FileCoder auf OS-X-Nutzer abgesehen, die Ransom ware war aber nicht voll funktionsfähig. Und auch Linux steht mittlerweile im Faden-kreuz der Erpresser.

Professionell organisiert

Ganz generell gehen Ransomware-Autoren und deren Partner immer professionel-ler vor. So nutzen sie mittlerweile etwa

Kapitel 3

Auch die Auswertung der Erpressungsversuche läuft automatisch ab. (Bild: Intel Security)

Ransomware-as-a-Service – so einfach funktioniert es. (Bild: Intel Security)

11 Security-Insider.de | Ransomware von A bis Z

Telemetrie-Dashboards, die allerlei Infor-mationen wie etwa den Preis für die Kam-pagne, den pro Binärvariante gezahlten Betrag, das infizierte Betriebssystem oder die jeweilige Zeitzone anzeigen. So können sie ihre Anstrengungen besser abstimmen, um maximale Erträge zu erzielen.Ein anderer Grund für die Zunahme von Ransomware ist der Einsatz von Poly-morphismus – eine Technik, die es der Ransomware ermöglicht, an jedem ange-griffenen System eine andere, eindeuti-ge Signatur zu verwenden. So kann eine Ransomware-Familie mit einem einzi-gen Toolkit theoretisch eine unbegrenzte Anzahl einzigartiger Ransomware-Binär-varianten hervorbringen. Um es einfach zu sagen: Durch die so immer neu entstehen-den Ransomware-Varianten wird der Viren-schutz von Firmen und Einzelpersonen löchrig geschossen.

Fazit

Die Gefahr von Ransomware nimmt un-ter anderem auch deshalb zu, weil auch weniger begabte Cyber-Kriminelle damit ihr Glück versuchen können. In anderen Worten: Jeder Laie kann einen Erpres-sungsversuch mit einem entsprechenden, leicht aus dem Internet herunterladbaren Toolkit unternehmen. Und wenn er sich der mittlerweile ausgereiften Methode des Phishings bedient, kann jeder noch so vorsichtige Benutzer plötzlich am Haken hängen.

Kapitel 3

12 Security-Insider.de | Ransomware von A bis Z

Folgende Technologien stellen die Basis einer jeden Ransomware dar: • Virtuelle Währungen: Durch die Nutzung

virtueller Währungen als Methode zur Lösegeldzahlung können Angreifer nicht mehr über das herkömmliche Banken-system verfolgt und aufgespürt werden.

• Tor-Netzwerk: Durch die Verwendung des Tor-Netzwerks können die Angreifer den Standort ihrer Kontroll-Server mit den privaten Schlüsseln ihrer Opfer leich-ter verbergen.

• Wechsel zu Mobilgeräten: Im Juni 2014 entdeckten Forscher die erste Ransom-ware-Familie, die Daten auf Android-Ge-räten verschlüsselt. „Pletor“ verwendete AES-Verschlüsselung, um die Daten auf der Speicherkarte des Telefons zu ver-schlüsseln und nutzte Tor, SMS oder

Ransomware nutzt für seine Erpressungsversuche eine Reihe

von Technologien. Im Folgenden stellen wir die gängigsten

Komponenten vor und führen auch neueste Kniffe an. Im Anschluss

sehen wir uns die Arbeitsweise von aktueller Ransomware an.

HTTP, um sich mit den Angreifern in Ver-bindung zu setzen.

• Angriff auf Massenspeichergeräte: Im August 2014 begann Synolocker, NAS-Speicher und Rack-Stationen von Synology anzugreifen. Die Malware nutzt eine Schwachstelle in ungepatchten Ver-

sionen der NAS-Server aus, um per Fernzugriff alle Da-ten mit RSA 2.048-Bit- oder 256-Bit-Schlüsseln zu ver-schlüsseln.

Neue, clevere Tricks der Erpresser

Der bereits thematisierte CTB-Locker tauchte zum ersten Mal im Dezember 2014 auf. Wäh-rend die Zahl der CryptoWall-Varianten in Version 1 und 2 re-lativ konstant blieb, verbreitete

sich Version 3 ab September 2014 durch das Netzwerk des Banking-Trojaners Dyre massiv. Denn neue Ransomware-Varianten bedienen sich auch ganz neuer Tricks. Laut den Experten der McAfee Labs werden sich in kommender Ransomware bald fol-gende Tücken verstecken:• Verschlüsselung von Namen: Die neu-

esten Versionen von Ransomware ver-schlüsseln jetzt nicht mehr nur Dateien, sondern auch deren Namen. Dadurch sind sie praktisch nicht wieder auffindbar.

Die gemeinen Tricks der Ransomware

Kapitel 4

Beispiel einer Zahlungs-aufforderung. (Bild: Intel Security)

13 Security-Insider.de | Ransomware von A bis Z

• Veröffentlichungsandrohung: Manche Ransomware stellt seit neustem in Aus-sicht, sensible Dateien des Opfers auf den eigenen Server zu laden und bei Nichtbezahlung zu veröffentlichen.

• Selbstständige Suche nach Schwach - stellen: Ransomware wie Linux.Encoder.1, die erste Linux-Ransomware, sucht selbstständig nach Sicherheitslücken in (Shopping-)Sites und nutzt diese aus. Nach seinem Start verschlüsselt er zunächst Dateien in /home, /root/, /var/lib/mysql und weiteren Server-Ver-zeichnissen; anschließend nimmt er sich das Root-Verzeichnis vor und verschlüs-selt von dort ausgehend bestimmte Da-teitypen.

Folgende Funktionen werden die Malware-Autoren nach Ansicht von McAfee Labs schon bald einführen:• Verzögerte Lösegeldforderungen: Ran-

somware verschlüsselt unerkannt im Hin-tergrund. Backup und Archiv-Programme kopieren die verschlüsselten Dateien in ihren Speicher und überschreiben vor-hergehende, unverschlüsselte Versionen. Nun sind sowohl die Daten als auch de-ren Backup in der Hand des Erpressers.

• Kompromittierung des kompletten Netzwerkes: Ransomware geht gele-gentlich wie Würmer vor und vervielfältigt sich selbst, nachdem sie einmal ausge-führt wurde. Kombiniert mit Eigenschaf-ten, wie sie der Netzwerk-Virus Stuxnet aufwies – der zum Ausspionieren des iranischen Atomprogramms diente –, ist damit die Kaperung ganzer Netzwerke möglich.

• Verschlüsselung während des Zugriffs: Ransomware wird Kernel-Komponenten einsetzen, um sich in das Dateisystem einzuklinken und Dateien zu verschlüs-seln, während der Benutzer darauf zu-greift. So kann maximaler Schaden an-gerichtet werden.

• Asymmetrische Verschlüsselung: Ran- somware-Autoren merken, dass die Verwendung eines zentralisierten Repository‘s für die Verschlüsselungs-schlüssel eine Schwachstelle in ihrer Strategie darstellt, weil es einen An-griffspunkt für Schutzmaßnahmen bie-tet. McAfee Labs sagt vorher, dass asym metrische Verschlüsselungen ohne zentra lisiertes Repository auftauchen werden.

Ransomware-Autoren haben also eine Reihe schlauer Tricks entwickelt, damit ihre Arbeit Erfolg hat. Wie schädlich di-verse Ransomware sein kann, sehen wir anhand konkreter Beispiele im folgenden Kapitel.

Fazit

Online-Erpresser müssen heutzutage kein spezielles Fachwissen mehr haben. Die cleveren Autoren von Ransomware erle-digen die Arbeit für sie. Mit immer neuen Tricks und den beiden Grundbausteinen Bitcoins und Tor-Netzwerk können sie ihre Forderungen immer ungenierter stellen.

Kapitel 4

14 Security-Insider.de | Ransomware von A bis Z

Den Strafverfolgungsbehörden gelang es zwar, das Botnet hinter CryptoLocker zu demontieren – das Erfolgsmodell wurde aber von anderen Malware-Autoren über-nommen. Viele neue Ransomware-Vari-anten sind unmittelbar mit CryptoLocker verwandt. Dazu gehören CryptDefense,

Mit CryptoLocker trat im September 2013 quasi der Prototyp aller

modernen Ransomware-Trojaner auf. Durch die Kombination

von Möglichkeiten, wie sie gerade beschrieben wurden, etwa

asymmetrische Verschlüsselung und Verwendung von Bitcoins für

Zahlungen, konnte er schnell viel Geld einspielen. Schätzungen

zufolge brachte CryptoLocker seinem Autor 27 Millionen Dollar ein,

bevor die Ransomware unschädlich gemacht wurde.

TorrentLocker, CTB-Locker, CryptoWall, TeslaCrypt und AlphaCrypt. McAfee Labs hat bestätigt, dass in all diesen Abkömm-lingen Code von CryptoLocker enthalten ist.

WildFire

Zu den Nachfolgern von CryptoLocker zählt auch WildFireLocker. Genau genom-men ist er noch näher mit dem Zyklon-Locker verwandt und nutzt den asymme-trischen Verschlüsselungs-Algorithmus AES-256, um die Dateien der Opfer zu ka-pern. Während der Verschlüsselung ändert WildFire den Namen jeder verschlüsselten Datei in das folgende Format: Filename #WildFire_Locker#[original file name]##.[original extension].wflx. Danach wird das Opfer gleich auf drei Wegen über die Ver-schlüsselung informiert – und zwar per .txt, .html und .bmp.Die bmp-Datei besagt, dass die Dateien verschlüsselt wurden und dass Benutzer nun Lösegeld zahlen müssen. Die bmp-Datei fordert Benutzer auf, die Text-Datei im „Eigene Dateien“-Ordner für detaillierte Informationen zu lesen. Die Textdatei mit dem Namen HOW_TO_UNLOCK_FILES_README_(victim‘s unique ID).txt erläutert,

Wie WildFire, Shade und Co funktionieren

Kapitel 5

Opfer von WildFire sehen folgendes auf ihrem Bildschirm.(Bild: Intel Security)

15 Security-Insider.de | Ransomware von A bis Z

dass das Opfer innerhalb einer Woche 299 Euro oder Dollar in Bitcoins bezahlen muss. Wenn die Zahlung nicht innerhalb von sieben Tagen erfolgt, wird das Lösegeld auf 999 Euro bzw. Dollar erhöht. Auf der HTML-Site von WildFire werden darauf hin Zahlungsanweisungen präsentiert und ein Hinweis auf die verbleibende Zeit bis zur Erhöhung des Lösegelds gegeben.

Kurios: Die Opfer werden auf der Internet-seite aufgefordert, andere Cyber-Kriminelle zu kontaktieren, um sie um die Entschlüs-selung ausgewählter Dateien zu bitten. Diese Aktion soll beweisen, dass eine Ent-schlüsselung der Dateien prinzipiell mög-lich ist und es sich also lohnt, das Lösegeld zu zahlen.Die meisten Opfer von WildFire finden sich in Belgien und den Niederlanden – die

Phishing-Mails waren in Holländisch abge-fasst und sahen zudem sehr überzeugend aus. Es wurde von einer verpassten Paket-sendung berichtet, im Anhang könne man einen neuen Termin vereinbaren. Der Virus selbst war jedoch in eben diesem Anhang versteckt. Die erste WildFire-Erpresser-Mail wurde am 17. Mai dieses Jahres von einem Server in den Vereinigten Arabischen Emiraten versandt, Zahlungen gehen an eine .RU- beziehungsweise .SU-Domain. Dass der Angreifer ein russischer Patriot ist, legen nicht nur diverse kyrillische Textpassa-gen nahe, sondern auch eine Selbstbe-schränkung der Malware: Sie führt sich in verschiedenen Ländern des früheren Ost-blocks nicht aus.Gerüchteweise lassen die Cyber-Gangster mit sich handeln und geben Dateien für weniger als die geforderten 299 Euro wie-der frei. McAfee konnte einen Blick auf das Kontroll-Server-Panel der Kriminellen werfen. Demnach hat WildFire alleine im August dieses Jahres rund 6.000 Systeme befallen, bis Ende des Monats gingen Zah-lungen in Höhe von etwa 80.000 Euro ein. Nicht schlecht für einen „Ransomware-as-a-Service“ (RaaS).

Shade

Potentiell „gemeiner“ ist die mutmaß-lich ebenfalls im Osten Europas kreierte Shade-Ransomware. Sie war Ende 2014 erstmals aufgetaucht und hatte ihren Hö-hepunkt im Sommer dieses Jahres. Erst Ende Juli konnte Intel Security in Koopera-tion mit Europol, der holländischen Poli zei sowie Kaspersky Lab das dahinterliegende Botnet ausheben und die nach AES 256 verschlüsselten Dateien „befreien“. Be-troffen waren in erster Linie Deutschland, Russland und die Ukraine. Gemein war Shade deshalb, weil er zusätzlich diverse Schadsoftware auf dem infizierten Com-puter installierte, darunter der berüchtigte

Kapitel 5

Die Phishing-Mails von WildFire waren in Holländisch abgefasst und sahen zudem sehr überzeugend aus. (Bild: Intel Security)

16 Security-Insider.de | Ransomware von A bis Z

Kapitel 5

Passwort-Hacker CMSBrute. Sicherheits-experten gehen sogar davon aus, dass Shade und CMSBrute vom selben Autor entworfen wurden. Zusätzlich wurden die Trojaner Muref, Kovter und Zemot in befal-lene Systeme eingeschleust.

Gemeinsam gegen das organisierte Verbrechen

Intel Security war am Ausheben von Ransomware wie WildFire, Shade oder auch der CryptoWall 3-Familie maßgeb-lich beteiligt und ist Gründungsmitglied der Cyber Threat Alliance (CTA). Das Ziel der Gruppe ist der Austausch und die gemein-same Nutzung von sicherheitsrelevanten Informationen, um Abwehrmechanismen gegen fortschrittliche Gegner zu verbes-sern. Durch Shade Version 1 und 2 ver-schlüsselte Dateien können mittlerweile durch ein Intel Security-Tool entschlüsselt werden.

Fazit

Am Beispiel von WildFire, Shade und Co kann man erkennen, wie wichtig die Zusammenarbeit von Ermittlungsbehör-den und Security-Spezialisten geworden ist. Nur durch intensiven Informationsaus-tausch ist den Cyber-Gangstern beizukom-men. Gut, dass Intel Security und andere 2014 die Cyber Threat Alliance ins Leben gerufen haben. Das Ziel der gemeinsamen Nutzung von Informationen ist es, das Be-wusstsein bezüglich der fortschrittlichen Cyberbedrohungen zu erhöhen und Ab-wehrmechanismen gegen fortschrittliche Gegner zu verbessern.

17 Security-Insider.de | Ransomware von A bis Z

Um gar nicht erst zum Opfer von Erpres-sungsversuchen zu werden, sollten Unter-nehmen einige grundlegende Richtlinien und Verfahrensanweisungen befolgen:• Führen Sie regelmäßig Benutzerschu-

lungen zur Verbesserung des Sicher-heitsbewusstseins durch. Die meisten Ransomware-Angriffe beginnen mit einer Phishing-E-Mail. Daher ist die Sensibili-sierung der Benutzer absolut unverzicht-bar.

• Halten Sie Systeme auf dem neuesten Patch-Stand. Viele von Ransomware missbrauchte Schwachstellen können mit Patches geschlossen werden.

Hat sich eine Ransomware erst einmal eingeschleust, ist der

Schaden groß. Doch mit geeigneten Sicherheitsmaßnahmen

können Unternehmen sich vor Angriffen wehren.

• Seien Sie äußerst vorsichtig, wenn Sie Anhänge öffnen. Konfigurieren Sie Ihre Virenschutz-Software so, dass E-Mail- und Instant-Messaging-Anhänge auto-matisch gescannt werden.

• Fallen Sie nicht auf Phishing-Versuche in Spam-Mails herein. Klicken Sie nicht auf Links in E-Mails oder Instant Messages.

Allen Compliance- und Sicherheitsvorga-ben zum Trotz kommt es immer wieder zu Infektionen. Statistiken zeigen, dass von zehn E-Mails, die von Angreifern gesendet wurden, mindestens eine erfolgreich ist. Und wer hat sich selbst noch nicht dabei ertappt, „versehentlich“ einen ungescann-ten Anhang „mal schnell“ angeklickt zu haben?

Intel Security-Technologien für den präventiven Schutz

Um menschliche Schwächen zu kompen-sieren, hat Intel Security Technologien entwickelt, die Unternehmen sowohl auf den Endgeräten als auch im Netzwerk prä-ventiv vor Bedrohungen wie Ransomware schützen.

McAfee Web Gateway Malvertising, Drive-by-Downloads und böswillige URLs, die in vertrauenswürdige Webseiten eingebettet sind, sind nur einige

So kann Intel Security proaktiv vor Ransomware schützen

Kapitel 6

Die Phishing-Kampa-gnen von CryptoWall Version 3. (Bild: Intel Security)

18 Security-Insider.de | Ransomware von A bis Z

der Angriffsmethoden, mit denen Ransom-ware übertragen wird. Das McAfee Web Gateway hat diese Art der Bedrohung mithilfe signaturloser Verhaltensanalysen sowie der Integration von McAfee Global Threat Intelligence (McAfee GTI) im Auge.

McAfee Advanced Threat Defense McAfee Advanced Threat Defense ist eine mehrschichtige Malware-Erkennungslö-sung, die mehrere Analysemodule kombi-niert. Die Lösung schützt sowohl mithilfe signatur- sowie reputationsbasierter Er-kennung, statischer Analyse und Emu-lation in Echtzeit als auch dynamischer Sandbox- sowie statischer Code-Analyse zuverlässig vor verbreiteter Ransomware wie CTB-Locker oder CryptoWall.

McAfee Threat Intelligence Exchange Die Informationsplattform McAfee Threat Intelligence Exchange blockiert unbekann-te oder neue ausführbare Dateien und bie-tet, dank umfassender Bedrohungsanaly-se, Ausführungsschutz und verbesserter Sichtbarkeit u.v.m., präventiven Schutz vor Ransomware.

McAfee Endpoint Security 10McAfee Endpoint Security 10 bietet genau die Funktionen, die Sicherheitsexperten heute benötigen, um die Vorteile der An-greifer zu überwinden: intelligente Schutz-maßnahmen, die zusammenarbeiten, sowie ein Framework, das die komplexen Umge-bungen von heute und morgen vereinfacht. Zusätzliche Technologien zur Bedrohungs-abwehr, darunter Dynamic Application Containment (DAC), sind ebenfalls Teil des integrierten McAfee Endpoint Security 10- Frameworks, das Organisationen dabei unterstützt, sich auch gegen die neuesten Bedrohungen, darunter Ransomware, Grey-ware sowie „Patient-Zero“, zu schützen.So bietet zum Beispiel Dynamic Applica-tion Containment Schutz vor verdächtigen

Anwendungen durch die sofortige Ein-dämmung und blockiert mithilfe von an-passbaren Regeln bösartiges Verhalten. Die verdächtige Anwendung darf dabei zwar in den Speicher geladen werden, ist allerdings in seiner Aktionsausführung ein-geschränkt. So kann beispielsweise eine Regel definiert werden, dass die Anwen-dung zwar einsatzbereit im Gerät gespei-chert werden kann, jedoch keinen Kontakt aufnehmen darf, um einen Verschlüsse-lungsschlüssel abzurufen oder eine Datei-änderung, wie z. B. die Verschlüsselung der Datei, vornehmen darf.

McAfee Network Security Platform McAfee Network Security Platform ist für die Durchführung tiefgehender Netzwerk-datenverkehr-Überprüfungen ausgelegt. Sie bietet unter anderem eine vollständige Analyse der Protokolle, des Verhaltens und der Bedrohungs-Reputation sowie eine erweiterte Malware-Analyse. Durch die Integration mit McAfee Advanced Threat Defense kann die Plattform darüber hinaus verdächtige Dateien überprüfen und gege-benenfalls ablehnen.

Mit den genannten Technologien von Intel Security können sich Unternehmen sowohl auf den Endgeräten als auch im Netzwerk präventiv vor Bedrohungen wie Ransom-ware schützen.

Fazit

Hochentwickelte gezielte Angriffe über-winden Sicherheitssysteme mithilfe von Methoden wie Irreführung und durch Um-gehung von Abwehrmaßnahmen. Vernetz-te und automatisierte Sicherheitslösungen erkennen gezielte Angriffe und verbinden sich mit vorhandenen Abwehrmaßnahmen, um Bedrohungsinformationen umgehend in Maßnahmen zum Schutz der wertvollen Unternehmensdaten umzuwandeln.

Kapitel 6

19 Security-Insider.de | Ransomware von A bis Z

Im Gegensatz zu zahlreichen Einzellösun-gen setzt Thomas Langer, Leiter der Ab-teilung für Netzwerk- und IT-Sicherheit bei MAUSER, auf ein Sicherheitsmodell, das sowohl Daten und Arbeitsabläufe als auch Management-Dashboards in eine zentral zu verwaltende und erweiterbare Umge-bung integriert.

Thomas Langer hatte folgende Ansprüche: Das System sollte in der Lage sein, Daten der Gefahrenanalyse und den damit zusammen-hängenden Informatio-nen mit allen Endpunk-ten, Netzwerken und Schnittstellen in allen 80 Produktionsstätten und vier Rechenzentren zu teilen, um dann unver-

züglich und ohne zusätzliches menschli-ches Eingreifen auf aktuelle Geschehnisse angemessen reagieren zu können. Darüber hinaus sollte die Lösung aus vergangenen Vorfällen lernen können, um sich so eigen-ständig zu verbessern und sich zu einer intelligenten und anpassungsfähigen Ab-wehr gegen zukünftige Cyber-Bedrohun-gen zu formieren.

Wie kann und sollte ein umfassendes und flexibles Abwehrsystem

gegen Ransomware und andere IT-Sicherheitsgefahren aussehen?

Der internationale Verpackungsmittelhersteller MAUSER mit

Hauptsitz in Brühl, Deutschland, hat es vorgemacht.

Warum Intel Security?

Thomas Langer begann, gemeinsam mit Mitarbeitern aus dem Netzwerk- und Si-cherheitsteam, nach einem Anbieter zu suchen, der MAUSER bei der Implemen-tierung eines offenen, miteinander vernetz-ten Sicherheitssystems unterstützen kann. „Intel Security war das einzige Unterneh-men das uns helfen konnte, unsere mittel- bis langfristige Strategie zu optimieren“, so Langer. „Selbst die leistungsfähigsten Ein-zellösungen sind in ihrer Effektivität einge-schränkt, solange sie nicht die relevanten Informationen miteinander austauschen und so voneinander lernen.“

Das Abwehrbollwerk

Um seine neue, umfassende Strategie zu verfolgen, erwarb und implementierte MAUSER den McAfee Enterprise Security Manager als SIEM, zusammen mit der McAfee Advanced Threat Defense Appli ance – die dynamische und stati-sche Code-Analysen nach der Sandbox-Technik durchführt – sowie McAfee Threat Intelligence Exchange und Application Data Monitoring. Das System läuft über den McAfee Data Exchange Layer, eine bidirek-tionale Schnittstelle, die dazu dient, Daten und Prozessinformationen auszutauschen.

Integriertes IT-Sicherheits-system beim Verpackungs-mittelhersteller MAUSER

Case Study

Thomas Langer, Leiter der Abteilung für Netzwerk- und IT-Sicherheit, MAUSER

Intel Security war das einzige Unternehmen das uns helfen konnte, unsere mittel- bis langfristige Strategie zu optimieren.

20 Security-Insider.de | Ransomware von A bis Z

McAfee Application Data Monitoring über-wacht dazu wichtige Netzwerkdienste, wie z.B. DNS. Das Sicherheitskonzept von Intel Security, das bisher für den Schutz von MAUSERs Endgeräten zuständig war, sah immer schon die Möglichkeit der Auto-matisierung und Integration weiterer Ein-zelsysteme vor. Doch durch die Ergänzung der McAfee Advanced Threat Defense Appliance, dem McAfee Enterprise Security Manager so-wie McAfee Threat Intelligence Exchange hebt die MAUSER Gruppe ihre Gefahren-prävention auf ein neues Niveau. So vereinfacht die McAfee Advanced Threat Defense Appliance die Entdeckung von besonders hartnäckigen und ziel-gerichteten Angriffen. Zeitgleich macht McAfee Enterprise Security Manager Be-drohungen und Risiken schneller sichtbar, die mithilfe von McAfee Threat Intelligence Exchange gemeinsam mit vielen anderen relevanten Daten mit dem gesamten Un-ternehmensnetzwerk geteilt werden.

Das System ist lernfähig

Darüber hinaus lernen alle Systeme, die mit McAfee Threat Intelligence Exchange verbunden sind, auf Basis jener Infor-mationen voneinander und können ihren Schutz sowie ihre Erkennungsfunktionen im Laufe der Zeit anpassen und verbes-sern. Durch die Verbindung von McAfee Threat Intelligence Exchange mit dem McAfee Enterprise Security Manager, der McAfee Advanced Threat Defense Appli-ance und dem McAfee ePolicy Orchestrator (McAfee ePO) – die Konsole, mit der MAUSER bisher seine Endpunkte ver-waltete – ist das Unternehmen auf einem guten Weg, all seine Ziele bezüglich IT-Si-cherheit zu erreichen.

CIO war schnell überzeugt

Um auch dem CIO das neue Sicherheits-konzept sowie die Rolle von Intel Security

darin näherzubringen, lud das Sicherheits-team ihn in das Intel Security Executive Briefing Center (EBC) in Amsterdam ein. Im dort stattfindenden Meeting wurde ihm von Vorstandsmitgliedern von Intel Security das vernetzte Sicherheitskonzept de-monstriert. Nachdem auf seine Fragen und Bedenken durch Sicherheitsexperten eingegangen wurde, war er vom neuen Sicherheitssystem überzeugt. „Unsere Computer sind über die ganze Welt verteilt und ich kann nicht rund um die Uhr arbeiten. Wenn aber das Intel Security-System etwas Verdächtiges entdeckt, kann ich darauf vertrauen, dass es die entspre-chenden Gegenmaßnahmen ergreift und mir die Details in einem Bericht zukommen lässt, den ich lesen kann, sobald ich wie-der im Büro bin“, so Langer. Er sieht auch einer zukünftigen Automatisierung von Arbeitsabläufen mit Hilfe von Intel Security gelassen entgegen.

Erster Beweis der Leistungs-fähigkeit nach 12 Stunden

Es hat nicht lange gedauert – gerade ein-mal zwölf Stunden –, bis das Intel Security-System seinen Wert zum ersten Mal unter Beweis stellen konnte. „Als wir am nächsten Morgen zur Arbeit kamen, zeigte die Protokolldatei, dass un-sere Systeme versucht hatten, schädliche Software aus dem Internet abzurufen. In unserem Standort in China hatte sich ein externer Mitarbeiter unerlaubt mit dem MAUSER-Netzwerk verbunden. Der Laptop war mit Schadsoftware verseucht, welche gleich mit einem C&C-Server Kontakt auf-nehmen wollte. Unsere Firewall hat dies bemerkt und geblockt. Der McAfee Enter-prise Security Manager hat den Log-Ein-trag der Firewall als gefährlich erkannt und sofort als Alarm ausgegeben, sodass wir zeitnah mit der Analyse beginnen konnten. Bei der Menge an Protokolldateien hätten wir diese Malware ohne das Intel Security-

Case Study

21 Security-Insider.de | Ransomware von A bis Z

System niemals so schnell entdecken können.“

Ausblick

Der nächste Schritt für MAUSER ist es nun, weitere Sicherheitslösungen zum be-stehenden Sicherheits-Framework hinzu-zufügen. Dafür kommt in erster Linie die McAfee Web Gateway Appliance in Frage. „Wir werden auf alle Fälle nach Produkten Ausschau halten, die mit McAfee Threat Intelligence Exchange und McAfee Data Exchange Layer zusammenarbeiten“, sagt Langer. „Nach unserer Auffassung sind sie bereits jetzt der Standard und eine Grundvoraussetzung. Neue Produkte zu erwerben, die nicht mit der Intel Security-Plattform im Austausch stehen, würde keinen Sinn ergeben.“ Langer zeigt sich überzeugt, dass der integrierte Ansatz von Intel Security die Sicherheit des gesamten Unternehmens höchst effektiv gewähr-leistet.

Fazit

MAUSER setzt auf eine SIEM-Lösung in Kombination mit einer Advanced Threat Defense Appliance sowie Lösungen zum Austausch von Bedrohungsdaten und Data Monitoring. Angesichts der Tatsache, dass die MAUSER Gruppe nur über eine begrenzte Anzahl an Security-Mitarbeitern verfügt, fiel der Automatisierung der Be-drohungsbekämpfung eine essentielle Rol-le im Sicherheitskonzept zu. In Zukunft soll ein infizierter Computer sogar automatisch vom Netz getrennt und unter Quarantäne gestellt werden können, wenn er versucht Schadsoftware zu verbreiten. Gleichzei-tig soll automatisch eine Firewall-Regel erstellt werden, die ihn daran hindert, weiter auf das Netzwerk oder Internet zu - zugreifen. Darüber hinaus lernen alle eingesetzten Systeme auf Basis jener Informationen voneinander und können ihre Schutz-

sowie Erkennungsfunktionen permanent anpassen und verbessern. Auch die Mög-lichkeit, alle wichtigen Informationen auf einem zentralen Dashboard verfolgen zu können, spart dem Sicherheitsteam wert-volle Zeit.

Case Study

22 Security-Insider.de | Ransomware von A bis Z

Weitere Informationen zu Ransomware

Weitere Informationen zum Thema Ransomware finden Sie auf einer eigens eingerichteten Webseite, die alle Ressourcen von Intel Security bündelt, die seit der ersten Erwähnung von Ran-somware im McAfee Labs Threats Report: Second Quarter 2012 auf- und ausgebaut wurden. Interessenten erhalten White Papers und Reports zum Thema, genauso wie TechTalks und jede Menge Blog-Beiträge von namhaften Autoren wie beispielsweise „Ransomware Targets Healthcare Sector“. In den Lösungsübersichten sowie technischen Briefings erfah-ren Sie detailliert, wie automatisierte und integrierte Lösungen aufgebaut sein müssen, um lückenlosen Schutz zu gewährleis-ten. Zusätzlich finden sich viele spezialisierte Breakout-Sessions auf Intel Security‘s jährlicher Sicherheitskonferenz FOCUS 16. In Artikeln wie „Combating Ransomware“ finden auch technisch Versierte nützliche Angaben zur Gefahrenabwehr.

Webcasts zur umfassenden IT-Security

Halten Sie sich mit Live-Webcasts über die neuesten Innovatio-nen und Ankündigungen von Intel Security auf dem Laufenden. So erläutert beispielsweise Marcus Viertel, Intel Security-Experte für Unternehmenstechnologie und Verantwortlicher für Advanced Threat Defense im EMEA-Raum, am 14. September, wie man Crypto-Ransomware einen Schritt voraus bleiben kann sowie am 23. November wie Sie sich vor Ransomware-Angriffen schüt-zen können. Natürlich können diese und viele andere Webcasts zum Thema auch im On-Demand-Archiv nachträglich angesehen werden.

Aktuelle News für den EMEA-Raum

Bleiben Sie auf dem Laufenden – mit dem EMEA Intel Security Newsroom.

Ransomware entwickelt sich ständig weiter, aber

auch die Schutzmaßnahmen gegen die Angriffe.

Intel Security informiert Sie beständig über aktuelle

Entwicklungen.

Seien Sie wachsam! Bleiben Sie auf dem Laufenden!

Weitere Informationen