Auf Basis unserer strategische Zusammenarbeit mit Bitdefender, bieten wir hier einen Blog zum Thema IT-Security mit Bitdefender an:
Was ist Ransomware?
Ransomware ist Schad-Software, die Dateien verschlüsselt und ein Lösegeld für deren Freigabe fordert. Opfer von Ransomware müssen den Tätern ein Lösegeld zahlen, um wieder an ihre Daten zu gelangen. Üblicherweise wird das Lösegeld in nicht nachverfolgbarer Kryptowährung gefordert. Für die Zahlung wird die Übergabe eines Entschlüsselungsschlüssels in Aussicht gestellt, der manchmal tatsächlich ausgehändigt wird, manchmal aber auch nicht. Als Privatperson trauert man Fotos, Videos oder anderen Dokumenten vielleicht hinterher, wenn man nicht mehr auf sie zugreifen kann, aber für Unternehmen steht noch viel mehr auf dem Spiel. Unter den verschlüsselten Daten könnten sich Firmengeheimnisse befinden, Kundendaten, Konto- und Kreditkarteninformationen oder andere Daten, die bares Geld wert sind.
Die Motivation hinter einem Ransomware-Angriff ist nahezu immer die Zahlung des Lösegelds. In manchen Fällen stecken aber weitreichendere Absichten dahinter, die für Unternehmen noch gravierendere Folgen haben können als der schlichte Verlust von Geld. Die Zukunft des gesamten Unternehmens kann auf dem Spiel stehen, wenn geschäftskritische Daten über einen längeren Zeitraum nicht verfügbar sind. In Extremfällen können auch Menschenleben davon abhängen.
Einige Beispiele prominenter Ransomware-Angriffe der jüngsten Zeit mit gravierenden finanziellen und gesellschaftlichen Folgen:
- Gesundheitswesen: das britische Gesundheitssystem (NHS) (geschätzte Gesamtkosten durch direkte Kosten und reduzierte Produktivität: 20 Millionen Pfund)
- Öffentliche Verwaltung: Bundesstaat Louisiana (Ausnahmezustand ausgerufen), 2 Großstädte in Florida (1,1 Millionen Dollar gezahlt)
- Bildungswesen: University of Utah (457.000 Dollar gezahlt), University of California San Francisco (1,14 Millionen Dollar gezahlt)
Ransomware kann auf einem infizierten Computer oder Server auf verschiedene Weise in Erscheinung treten, oft indem der Zugang zum System komplett verwehrt wird, bis das Lösegeld gezahlt ist: • unwiderrufliche Verschlüsselung sensibler oder persönlicher Dateien
- Androhung der Veröffentlichung sensibler oder personenbezogener Daten
- Sperrung des Bildschirms und des Zugangs zum System
- Blockierung der Ausführung bestimmter Anwendungen, was die Produktivität bremstRansomware ist extrem anpassungsfähig und gezielt darauf ausgelegt, den Erkennungsmechanismen von
Sicherheitslösungen zu entgehen. Selbst kleinste Verzögerungen in der Erkennung können der Schad-Software genug Zeit geben, Dateien unumkehrbar zu verschlüsseln.
Wie gelangt Ransomware ins Unternehmen?
Es gibt viele Wege, auf denen Ransomware in ein Unternehmen gelangen kann, und die Täter können sehr kreativ werden in ihrer Ausnutzung sowohl technischer als auch menschlicher Schwachstellen. Trotz jahrelangem Sicherheitstraining tritt hochriskantes Nutzerverhalten mit erschreckender Häufigkeit auf; dubiose Links werden angeklickt und unbekannte Dateien/Anwendungen werden geöffnet/ausgeführt.
- Gezielte Phishing-E-Mails mit schädlichen Links und Dateianhängen
- Download schädlicher Dokumente, sei es durch das Opfer direkt oder unauffällig im Hintergrund
- Download schädlicher ausführbarer Dateien/Anwendungen, seien es windige Softwareangebote oder gefälschte Produkt-Updates
- Dateilose Angriffe über den Browser direkt im Hauptspeicher, ohne dass die Festplatte jemals mit einbezogen würde
- Infizierte Dokumente und Mediendateien von Tauschbörsen oder Wechseldatenträgern
Abbildung 1: Verbreitete Ransomware-Angriffsvektoren
Worin besteht Ransomware-Schutz?
Wirksamer Ransomware-Schutz erfordert proaktive Wachsamkeit an mehreren Fronten, die alle von der Sicherheitslösung abgedeckt sein müssen.
- Präventiver Schutz – Manipulationssichere Backups erstellen, die von Ransomware nicht befallen werden können
- Vorbeugen und Blockieren – Anpassungsfähige Schutzmechanismen einrichten, die nicht auf Signatur-basierte Erkennungsmethoden angewiesen sind
- Überwachung & Früherkennung – Verdächtige Prozesse und Netzwerkaktivitäten beobachten und auf Anzeichen für Angriffe überprüfen
- Vorfallsbehandlung durch EDR – In der IT-Sicherheit gibt es keinen durchgehend hundertprozentigen Schutz. Deshalb überprüft das EDR-Modul Endpunkte und den Netzwerkdatenverkehr auf verdächtige Vorgänge, um sie bestimmten Vorfällen zuzuordnen und darauf reagieren zu können.
- Schwachstellen patchen – Anfällige Anwendungen und Betriebssysteme automatisch mit den neuesten Patches des Herstellers aktualisieren
- Riskante Konfigurationen anpassen – Durch Erkennung von Fehlkonfigurationen bekannte Einfallstore für Ransomware ausfindig machen und schließen. Dies kann in der Regel automatisch erfolgen.
- Riskantes Nutzerverhalten erkennen – Verhaltensweisen, die Risiken fürs Unternehmen darstellen, erkennen und korrigieren, z. B. Mehrfachverwendung von Passwörtern, Reinfallen auf Phishing-Angriffe, riskante Klicks und Downloads oder Anmeldung an unverschlüsselten Websites.
- Anwendungs- und Gerätesteuerung – Nutzung von Geräten beobachten, nur Ausführung von erforderlichen Anwendungen zulassen und nur Zugriff von erforderlichen externen Geräten zulassen.
Wer gegen Ransomware ankommen will, muss die gesamte Cyber-Killchain verstehen und die eigenen Abwehrmechanismen auf die einzelnen Stadien darin ausrichten.
Abbildung 2: Angriffstechniken von Ransomware und die typische Cyber-Killchain
Abgedeckte Ransomware-Angriffsvektoren
Um sich vor den verheerenden Auswirkungen von Ransomware zu schützen, müssen die verschiedenen Angriffsvektoren abgedeckt werden:
- Phishing- oder Spam-E-Mails mit schädlichen Links oder Dateianhängen
- Download schädlicher Dateien, sei es durch das Opfer direkt oder unauffällig im Hintergrund
- Download schädlicher Anwendungen oder ausführbarer Dateien
- Dateilose Angriffe über den Browser direkt im Hauptspeicher, ohne dass die Festplatte jemals mit einbezogen würde
- Wechseldatentäger und Netzwerk- oder Remote-Freigaben
So funktioniert der Bitdefender-Ransomware-Schutz
Manipulationssichere Backups
Bitdefender erstellt automatisch aktuelle, manipulationssichere Backups von Benutzerdateien, ohne Schattenkopien zu verwenden, denn diese haben sich in der Vergangenheit als zu leicht durch Ransomware löschbar erwiesen. Dieser Vorgang bietet automatische Sicherheit, ohne dass der Benutzer selbst aktiv werden müsste. Ransomware kann die geschützten Backups nicht erreichen, und auch der Benutzer bemerkt von ihnen nichts. Der RansomwareSchutz erkennt, wenn eine potenzielle neue Ransomware versucht, Dateien zu verschlüsseln, und erstellt automatisch eine Sicherungskopie der betroffenen Dateien, die nach erfolgreicher Abwehr der Malware wiederhergestellt wird. Bitdefender blockiert dann alle am Angriff beteiligten Prozesse und startet die Bereinigung. Der Benutzer wird ebenfalls informiert.
Vorbeugen und Blockieren
HyperDetect und Schutz vor dateilosen Angriffen
Bitdefender entdeckt und blockiert dateilose Angriffe automatisch noch vor der Ausführung und verhindert so, dass Dateien verschlüsselt werden oder das System unzugänglich wird. HyperDetect ist durch seine hochentwickelten maschinell lernenden Algorithmen in der Lage, dateilose Angriffe noch vor deren Ausführung zu entdecken und zu blockieren. Selbst unbekannte Malware wird mit hoher Genauigkeit erkannt. Durch Analysen auf Code-Ebene können dateilose Ransomware-Angriffe in jeder Phase der Killchain bekämpft werden.
Maschinell lernender Malware-Schutz
Bitdefender trainiert und verbessert seine Malware-Erkennungsmechanismen durchgehend und automatisch auf der
Grundlage eines der größten Stichprobenbestände der Branche, der über ein globales Sensornetzwerk gefüttert wird. Ransomware entwickelt sich ständig weiter, doch Bitdefender erkennt auch neue Muster zuverlässig sowohl vor als auch während der Ausführung.
Erweiterter Exploit-Schutz
Ransomware-Autoren setzen Exploit-Kits ein, mit denen sie Schwachstellen ausnutzen, für die es entweder noch keine Patches gibt oder existierende Patches noch nicht aufgespielt wurden. So verschaffen sie sich Zugang zum angegriffenen System. Bitdefender legt sein Augenmerk auf Angriffstechniken, um Systeme zu schützen und die Verbreitung von Ransomware zu unterbinden. Dank der hochentwickelten Exploit-Schutz-Technologien ist Bitdefender in der Lage, schädliche Prozesse schnell zu erkennen und automatisch abzubrechen.
Netzwerkschutz
Im Netzwerkschutz werden Verhaltensheuristiken eingesetzt, um die Aktivität auf dem Host-Netzwerk in Echtzeit zu analysieren und die Steuerungselemente gegen Exploit-Techniken zu härten und so zu verhindern, dass sensible Daten aus dem Netzwerk geschleust werden. Durch maschinell lernende Algorithmen werden Ransomware-Exploits blockiert, die versuchen über Einfallstore wie BlueKeep ins Netzwerk zu gelangen. Der Netzwerkschutz stoppt schädliche Aktivitäten in verschiedenen Phasen der Killchain: Erstzugriff, Zugangsdatenklau, Ausspähung und laterale Bewegungen.
Überwachung und Früherkennung
Advanced Threat Control
GravityZone überwacht laufende Prozesse in Echtzeit – Änderungen an Registry-Schlüsseln, Lese-/Schreibprozesse an Dateien, Verschlüsselungsaktivität – um verdächtige oder schädliche Prozesse ausfindig zu machen, die dann entweder automatisch oder manuell von IT-Sicherheitsteams abgebrochen werden.
Vorfallsbehandlung durch EDR
Ist alle Angriffe können blockiert oder verhindert werden, und manche Angriffsformen machen sich erst mit der Zeit bemerkbar. EDR wird immer eine zentrale Rolle im Ransomware-Schutz spielen. GravityZone EDR gleicht verschiedene
Angriffs- und Gefährdungsindikatoren automatisch mit auf dem System und im Netzwerk beobachteter schädlicher Aktivität ab und trägt so zur schnellen und gezielten Bekämpfung bei, damit die Verweildauer des RansomwareAngriffs gering gehalten und Dateien möglichst schnell wiederhergestellt werden können.
Umgang mit Risiken im System und im Faktor Mensch
Schwachstellenbehebung
Systeme, auf denen nicht die neuesten Patches installiert wurden, sind deutlich anfälliger für Ransomware-Angriffe. Das Modul GravityZone Patch Management hilft Unternehmen dabei, ihre Betriebssysteme und Anwendungen über die gesamte installierte Windows-Basis hinweg jederzeit auf dem neuesten Stand zu halten, egal ob Arbeitsplatzrechner, physische oder virtuelle Server.
System-Fehlkonfigurationen
Durch Fehlkonfigurationen können leicht Einfallstore für Ransomware entstehen; das können BrowserSicherheitseinstellungen sein, Netzwerk- und Passworteinstellungen oder Sicherheitseinstellungen des
Betriebssystems wie offene Ports, überflüssige laufende Dienste und Administrator-Tools wie PowerShell. GravityZone überprüft das System auf Fehlkonfigurationen und kann viele Einstellungen automatisch aus der Ferne anpassen. Wo diese automatische Anpassung nicht möglich ist, werden die Administratoren benachrichtigt und aufgefordert die entsprechenden Einstellungen selbst vorzunehmen.
App-Schwachstellen
Veraltete Anwendungen mit bekannten Schwachstellen können von Ransomware-Autoren leicht ausgenutzt werden, um unerwünschte Programmaktivitäten auszulösen oder schädliche Inhalte aus dem Internet herunterzuladen. Solch riskante Anwendungen können entweder auf eine neuere, sicherere Version aktualisiert werden oder vom System entfernt, wenn der Benutzer sie nicht unbedingt braucht. GravityZone überprüft das System auf solche Anwendungen und gibt eine Risikobewertung der Schwachstellen aus, damit die Administratoren entsprechende Abhilfemaßnahmen ergreifen können.
Riskantes Benutzerverhalten
Doch selbst an den bestgeschützten Systemen erhöhen die Menschen, die mit ihnen arbeiten, das Infektionsrisiko jedes Mal, wenn Sie eine E-Mail öffnen, auf einen Link klicken oder eine Datei herunterladen. GravityZone analysiert aufgerufenen Websites, heruntergeladene Dateien, verwendete Speicherorte sowie Anmeldungen an riskanten Websites überwacht die Sicherheit von Passwörtern sowie das Problem der Mehrfachbenutzung.
Warum Sie den Bitdefender-Ransomware-Schutz benötigen
Umfassenden Ransomware-Schutz für Endpunkte zu haben ist essenziell, denn Endpunkte sind das Einfallstor für den Zugriff auf Dateiserver und andere Ziele, auf denen hochsensible Daten gespeichert sind. Mit dem BitdefenderRansomware-Schutz erhalten Sie:
- die Sicherheit, dass Ihr Unternehmen vor allen typischen Ransomware-Angriffsvektoren geschützt ist, ohne dass Sie selbst Hand anlegen müssen
- die Seelenruhe, dass Ihre Sicherheitslösung anpassungsfähig genug ist, um neue und unbekannte RansomwareTechniken abzuwehren
- den Wegfall der Abhängigkeit von problematischen lokalen Backups und langen Wiederherstellungszeiten von Cloud-Backups
- die Möglichkeit, Dateien vorfallsbasiert lokal oder über das Netzwerk wiederherzustellen und Systeme von Ransomware zu befreien
- Niemand ist vor Fehlern gefeit! Bitdefender rückt die Balance zwischen restriktiven Sicherheitsvorschriften und Produktivität wieder zurück in Richtung der Produktivität.
Bitdefender-Ransomware-Schutz
Anwendungsfälle
Bitdefender deckt mehr Ransomware-Schutz-Anwendungsfälle ab als die Konkurrenz und gibt IT-Sicherheitsteams alles an die Hand, was sie benötigen, um Ransomware in Schach zu halten. Durchdachte Abwehr- und
Bereinigungsfunktionen greifen auf sämtlichen Ebenen vom Endpunkt über das Netzwerk bis hin zur GravityZoneAdministratorkonsole, egal ob der ursprüngliche Angriff erfolgreich war oder nicht.
Lokaler Ransomware-Schutz
Um den Ransomware-Schutz auf lokaler Ebene greifen zu lassen, können Administratoren die Bitdefender-
Sicherheitsrichtlinien so konfigurieren, dass Endpunktprozesse überwacht und verschlüsselte Dateien wiederhergestellt werden können, sobald die anpassungsfähige Technologie den Angriff erkennt und blockiert. Und selbst wenn eine Ransomware es schaffen sollte, lokale Dateien zu verschlüsseln, können sie mit Bitdefender unmittelbar wiederhergestellt werden, entweder automatisch oder manuell von einem Administrator.
Ransomware-Schutz aus der Ferne
Um den Ransomware-Schutz aus der Ferne greifen zu lassen, können Administratoren die Pfade von
Netzwerkfreigaben beobachten lassen, die von außen zugänglich sind, und so verhindern, dass dort gespeicherte
Dateien verschlüsselt werden. Auf dem Remote-Endpunkt bestätigt der Benutzeragent dann, dass der RansomwareSchutz den schädlichen Prozess abgebrochen und die Dateien geschützt hat. Bitdefender-Administratoren können über die Berichtsfunktion mehr über die IP-Adresse herausfinden, von der aus der Ransomware-Angriff gestartet wurde, sowie über das Sicherheitsmodul, mit dem der Angriff abgewehrt wurde. Sie können es auch so einrichten, dass sie eine E-Mail erhalten, wenn ein Angriff blockiert wurde. In dieser E-Mail sind weitere Informationen zur IP-Adresse des Angreifers enthalten.
Vorfallsmanagement in GravityZone
Mit GravityZone haben IT-Sicherheitsteams den vollen Überblick über die Angriffs-Killchain und die vom RansomwareAngriff betroffenen Dateien. Bitdefender EDR erkennt die Wein zum-Aktivität, und die Sicherheitsadministratoren können dann entweder den aktiven schädlichen Prozess abbrechen oder die infizierten Dateien in die Quarantäne verschieben. Sie können die IP-Adresse auch dauerhaft auf eine Sperrliste setzen.
Abbildung 3: Darstellung der gesamten Ransomware-Killchain in GravityZone
GravityZone macht den Unterschied
Funktionen zur Abwehr und Beseitigung von Ransomware sind in der Managementkonsole von GravityZone sowie im BEST-Client (Bitdefender Endpoint Security Tools) auf mehreren Ebenen eingebaut, wodurch sich die Lösung deutlich von der Konkurrenz abhebt.
| Die optimale Kombination der Ransomware-Schutzmechanismen in GravityZone | |
| Mehrere Abwehrschichten | Am Endpunkt und im Netzwerk, vor der Ausführung und während des Zugriffs, dateibasiert und dateilos |
| Mehrere Erkennungsschichten | Prozessinspektion, Registry-Überwachung, Code-Inspektion, Hyper-Detect |
| Mehrere
Wiederherstellungsschichten |
Effektives Rollback vom lokalen Endpunt, aus der Ferne oder nach EDRVorfall |
| Anpassungsfähige
Sicherheitsmechanismen |
Hochentwickelter Exploit-Schutz, anpassungsfähige Heuristiken, trainierbare maschinell lernende Algorithmen |
| Technologien zur Risikoeingrenzung | Automatische Patch-Installation, Behebung von Systemfehlkonfigurationen, Beobachtung von riskantem Benutzerverhalten |
| Manipulationssichere Backups | Verzicht auf anfällige Schattenkopien; Backups können nicht von Ransomware gelöscht werden |
| Ransomware-Schutz aus der Ferne | Blockierung von Ransomware-Angriffen aus der Ferne und übers Netzwerk und Sperrung von IP-Adressen der Angreifer |
| Unternehmensweite Bereinigung | Prozessabbruch aus der Ferne, unkomplizierte Quarantänisierung und Entfernung von Dateien |
Die optimale Kombination der Ransomware-Schutzmechanismen in GravityZone
Der Endpunktsicherheitsanbieter mit den meisten Auszeichnungen
Bitdefender belegt in unabhängigen Tests und Bewertungen durch Dritte stets Spitzenplätze:
- Platz 1 und Editors‘ Choice von PC Mag in der Kategorie „Best Hosted Endpoint Protection and Security Software for 2020“
- Platz 1 und Editors‘ Choice von PC Mag in der Kategorie „Best Mac Antivirus Protection for 2020“
- Sieger im Wave-Report von Forrester im Bereich Cloud-Workload Security im 4. Quartal 2019
- „Der wichtigste EDR-Anbieter, den Sie nicht in Betracht gezogen haben, dies aber hätten tun sollen“ – Forrester Research
- 100% Erkennung bei realistischen Bedrohungen, AV-Test (Januar bis August 2020)
Bitdefender GravityZone in Aktion
- Sehen Sie selbst: Dieses Demo-Video erläutert kurz und prägnant die zahlreichen Mechanismen, mit den Bitdefender vor Ransomware schützt.
So schützen Sie sich vor Ransomware
Nutzen Sie unser einzigartiges, zeitlich begrenztes Angebot, und testen Sie GravityZone Ultra Plus 90 Tage lang in der Vollversion.
Dienstleister können eine kostenlose Test-Vollversion der mandantenfähigen Lösung Bitdefender GravityZone Cloud MSP Security erhalten..
