Experten von Kaspersky haben eine detaillierte Analyse der Taktiken, Techniken und Ablaufprozesse der acht häufigsten Ransomware-Gruppen – Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte und BlackCat – durchgeführt. Beim Vergleich der Methoden und Tools von Angreifern in verschiedenen Phasen des Angriffs kamen sie zu dem Schluss, dass viele der Gruppen ein ähnliches Schema verfolgen. Dadurch lassen sich effektive universelle Gegenmaßnahmen schaffen, die die Infrastruktur eines Unternehmens vor Ransomware schützen können.
Details der Studie mit einer tiefgründigen Analyse jeder Technik sowie Anwendungsbeispiele in freier Wildbahn finden Sie im Bericht Common TTPs of modern ransomware groups. Er enthält zudem Regeln zur Erkennung bösartiger Techniken im SIGMA-Format.
Der Bericht ist in erster Linie für SOC-Analysten, Threat-Hunting- und Threat-Intelligence-Experten sowie Spezialisten im Bereich Vorfallsreaktion und -analyse bestimmt. Unsere Forscher haben in dem Bericht jedoch auch Best Practices zur Bekämpfung von Ransomware aus verschiedenen Quellen gesammelt. Die wichtigsten Empfehlungen zum Schutz der Unternehmensinfrastruktur in der Präventionsphase haben wir im Anschluss für Sie zusammengefasst.
Angriffsvorbeugung
Im Idealfall sollte ein Ransomware-Angriff gestoppt werden, bevor die Bedrohung bis in den Unternehmensbereich vordringen kann. Die folgenden Maßnahmen helfen, das Risiko eines Angriffs zu mindern:
Filtern des eingehenden Datenverkehrs. Richtlinien zum Filtern von eingehendem Datenverkehr sollten auf allen Edge-Geräten implementiert werden – Router, Firewalls, IDS-Systeme. Vergessen Sie nicht, E-Mails auf Spam oder Phishing zu filtern. Es ist ratsam, eine [KATA placeholder]Sandbox[/KATA placeholder] zum Validieren von E-Mail-Anhängen zu nutzen.
Blockieren schädlicher Websites. Beschränken Sie den Zugriff auf bekannte schädliche Websites. Zum Beispiel durch die Implementierung von Proxy-Servern. Auch der Einsatz von Threat-Intelligence-Daten-Feeds zur Führung aktueller Listen von Cyberbedrohungen kann sich als nützlich erweisen.
Einsatz von Deep Packet Inspection (DPI). Eine Lösung der DPI-Klasse auf Gateway-Ebene ermöglicht die Prüfung des Datenverkehrs auf Malware.
Schadcode blockieren. Verwenden Sie Signaturen, um Malware zu blockieren.
RDP-Schutz. Wenn möglich, deaktivieren Sie das RDP. Sollte dies nicht möglich sein, platzieren Sie Systeme mit einem offenen RDP-Port (3389) hinter einer Firewall und erlauben Sie den Zugriff darauf nur über ein VPN.
Multi-Faktor-Authentifizierung. Verwenden Sie Multi-Faktor-Authentifizierung, starke Passwörter und automatische Richtlinien zur Kontosperrung an allen Punkten mit Fernzugriff.
Liste erlaubter Verbindungen. Erstellen Sie IP-Zulassungslisten durch den Einsatz von Hardware-Firewalls.
Patchen Sie bekannte Schwachstellen. Patchen Sie Schwachstellen in Fernzugriffssystemen und Geräten mit direkter Verbindung zum Internet umgehend.
Der Bericht enthält zudem Tipps zum Schutz vor Exploits und Lateral Movement sowie Empfehlungen zur Bekämpfung von Datenlecks und zur Vorbereitung auf einen Vorfall.
Zusätzlicher Schutz
Um Unternehmen mit zusätzlichen Tools auszustatten, die helfen können, die Ausbreitung eines möglichen Angriffs so früh wie möglich zu verhindern und einen Vorfall zu untersuchen, haben wir unsere EDR-Lösung aktualisiert. Die neue Version Kaspersky Endpoint Detection and Response Expert eignet sich für Unternehmen mit ausgereiften IT-Sicherheitsprozessen. Sie kann in der Cloud oder serverbasiert bereitgestellt werden. Weitere Informationen zu den Funktionen unserer Lösung finden Sie hier.