Sophos empfiehlt die folgenden Best Practices, um sich vor Ransomware und den damit verbundenen Cyberattacken zu schützen:
Auf strategischer Ebene
- Mehrschichtiger Schutz. Da immer mehr Ransomware-Angriffe auf Erpressung abzielen, sind Backups nach wie vor notwendig, aber alleine nicht ausreichend. Es ist wichtiger denn je, Cyberkriminelle von vornherein fernzuhalten oder sie schnell zu entdecken, bevor sie Schaden anrichten. Unternehmen sollten einen mehrschichtigen Schutz einsetzen, um Angriffe an möglichst vielen Stellen im Unternehmen zu erkennen und zu blockieren.
- Kombination aus menschlicher Expertise und Technologie. Der Schlüssel zum Stoppen von Ransomware ist eine umfassende Verteidigung, die eine spezielle Anti-Ransomware-Technologie und eine von Menschen geführte Bedrohungsjagd kombiniert. Die Technologie bietet den Umfang und die Automatisierung, die ein Unternehmen benötigt, während menschliche Expert:innen am besten in der Lage sind, die verräterischen Taktiken, Techniken und Verfahren zu erkennen, die darauf hinweisen, dass ein Angreifer versucht, ein Netzwerk zu infiltrieren. Wenn Unternehmen nicht über die entsprechenden Fähigkeiten verfügen, können sie die Unterstützung von externen Cybersicherheitsspezialist:innen in Anspruch nehmen.
Auf tagtäglicher taktischer Ebene
- Warnungen zuverlässig checken. Geeignete Tools, Prozesse und Ressourcen (Mitarbeitende) müssen zur Verfügung stehen, um Bedrohungen in der Umgebung zu überwachen, zu untersuchen und darauf zu reagieren. Ransomware-Gruppen planen ihre Angriffe oft außerhalb der Stoßzeiten, an Wochenenden oder in den Ferien, da sie davon ausgehen, dass nur wenige oder gar keine Mitarbeiter:innen aufpassen.
- Immer wichtig: Sichere Passwörter. Starke Passwörter sind eine der ersten Verteidigungslinien. Passwörter sollten einmalig oder komplex sein. Dies lässt sich mit einem Passwort-Manager, der die Anmeldedaten der Mitarbeitenden speichern kann, leichter bewerkstelligen.
- Multifaktor-Authentifizierung (MFA). Selbst starke Passwörter können kompromittiert werden. Jede Form der Multifaktor-Authentifizierung ist besser als gar keine, um den Zugang zu wichtigen Ressourcen wie E-Mail, Remote-Management-Tools und Netzwerkressourcen zu sichern.
- Sperrung zugänglicher Dienste. IT-Teams sollten Netzwerk-Scans von außen durchführen sowie Ports, die häufig von VNC, RDP oder anderen Fernzugriffstools verwendet werden, identifizieren und sperren. Wenn ein Rechner über ein Remote-Management-Tool erreichbar sein muss, sollte dieses Tool hinter ein VPN oder eine vertrauenswürdige Netzwerkzugangslösung gesetzt werden, die MFA als Teil der Anmeldung verwendet.
- Auf Segmentierung und Zero-Trust setzen. Kritische Server sollten voneinander und von Workstations getrennt werden, indem sie in separate VLANs eingebunden werden. Gleichzeitig sollte auf ein Zero-Trust-Netzwerkmodell hingearbeitet werden.
- Offline-Backups von Informationen und Anwendungen. Backups sollten auf dem neuesten Stand sein und ihre Wiederherstellbarkeit muss sichergestellt sein. Ebenso nützt eine Kopie des Backups offline.
- Inventarisierung von Vermögenswerten und Konten. Unbekannte, ungeschützte und nicht gepatchte Geräte im Netzwerk erhöhen das Risiko und schaffen eine Situation, in der bösartige Aktivitäten unbemerkt bleiben könnten. Eine aktuelle Bestandsaufnahme aller angeschlossenen Recheninstanzen ist unerlässlich. Es sollten Netzwerk-Scans, IaaS-Tools und physische Überprüfungen gemacht werden, um sie zu lokalisieren und zu katalogisieren. Zudem muss Endpunktschutz-Software auf alle Rechner, die nicht geschützt sind.
- Korrekte Konfiguration der Sicherheitsprodukte. Auch ungeschützte Systeme und Geräte sind anfällig. Es ist wichtig, dass die Sicherheitslösungen ordnungsgemäß konfiguriert sind, und die Sicherheitsrichtlinien regelmäßig überprüft und, falls erforderlich, validiert und aktualisiert werden. Neue Sicherheitsfunktionen werden nicht immer automatisch aktiviert. Der Manipulationsschutz sollte aktiv sein.
- Überprüfung von Active Directory (AD). Unternehmen sollten regelmäßig alle Konten in der AD überprüfen, damit nicht mehr Konten Zugriff haben, als für ihren Zweck erforderlich ist. Sobald Mitarbeitende aus dem Unternehmen ausscheiden, gilt es ihre Konten umgehend zu deaktivieren.
- Alles patchen. Windows und andere Betriebssysteme und Software müssen auf dem neuesten Stand sein. Patches bitte korrekt installieren und für kritische Systeme wie Computer mit Internetanschluss oder Domänencontroller bereitstellen.
Sophos Endpoint-Produkte, wie etwa Intercept X, schützen Anwender, indem sie die Aktionen und das Verhalten von Ransomware und anderen Angriffen erkennen. Die CryptoGuard-Funktion blockiert den Versuch, Dateien zu verschlüsseln. Integrierte Endpoint-Erkennung und -Reaktion, einschließlich Sophos Extended Detection and Response (XDR), können dabei helfen, skrupellose Aktivitäten zu erfassen, wenn zum Beispiel Angreifer kennwortgeschützte Archive erstellen, wie sie bei der Memento Ransomware-Attacke verwendet wurden.
Weitere Informationen finden Sie in dem Report über Memento Ransomware in den SophosLabs Uncut.
www.sophos.de