Sophos hat eine neue Ausgabe in seiner englischsprachigen Reihe der \u201ePlaybooks for Defenders\u201c ver\u00f6ffentlicht. Mit dem Titel \u201eHow Ransomware Attacks<\/a>\u201c beschreiben die SophosLabs detailliert, wie unterschiedliche Ransomware-Varianten ihre Opfer angreifen und welche Vorsichtsma\u00dfnahmen zum Schutz zu treffen sind. Das Kompendium richtet sich speziell an IT- sowie Security-Fachleute und ist eine Erg\u00e4nzung zum j\u00fcngsten Sophos Threat Report 2020<\/a>. Analysiert werden elf der g\u00e4ngigsten und best\u00e4ndigsten Ransomware-Familien, darunter Ryuk, BitPaymer und MegaCortex.<\/p>\n Detaillierte Einblicke in die Vorgehensweise der Kriminellen \u00a0<\/strong>Verbreitung: <\/u>Ransomware wird typischerweise auf eine von drei Arten verteilt: Als Kryptowurm, der sich schnell auf andere Computer repliziert, um eine maximale Wirkung zu erzielen (z.B. WannaCry). Eine weitere Variante ist Ransomware-as-a-Service (RaaS), der verst\u00e4rkt im Dark Web als Distributions-Kit verkauft wird (z.B. Sodinokibi). Die dritte Art der Verteilung erfolgt mittels eines automatisierten, aktiven gegnerischen Angriffs, bei dem Angreifer die Ransomware nach einem automatisierten Scan von Netzwerken f\u00fcr Systeme mit schwachem Schutz manuell einsetzen.<\/p>\n Kryptographisches Code Signing: <\/u>Kryptographische Code Signing Ransomware mit einem gekauften oder gestohlenen legitimen Zertifikat versucht Sicherheitssoftware davon zu \u00fcberzeugen, dass der Code vertrauensw\u00fcrdig ist und keine Analyse ben\u00f6tigt.<\/p>\n Privilegien: <\/u>Um Privilegien beziehungsweise Zugriffsrechte zu erh\u00f6hen, nutzen Angreifer leicht verf\u00fcgbare Exploits wie EternalBlue. Auf diese Weise kann der Angreifer Programme wie Remote Access Tools (RATs) installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen sowie neue Konten mit vollen Benutzerrechten erstellen und Sicherheitssoftware deaktivieren.<\/p>\n Bewegung im Netz: <\/u>Angreifer nutzen die seitliche Bewegung bei ihrer Jagd im Netzwerk nach Datei- und Backup-Servern, um die volle Wirkung des Ransomware-Angriffs zu entfalten. Dabei bleiben sie unter dem Radar, quasi unbemerkt. Innerhalb einer Stunde k\u00f6nnen Angreifer ein Skript erstellen, um die Ransomware auf vernetzten Endpunkten und Servern zu kopieren und auszuf\u00fchren.<\/p>\n Fernangriffe: <\/u>Dateiserver sind oft nicht mit der Ransomware infiziert. Stattdessen l\u00e4uft die Attacke typischerweise auf einem oder mehreren kompromittierten Endpunkten, wobei ein privilegiertes Benutzerkonto missbraucht wird Der Zugriff kann auch \u00fcber das Remote Desktop Protocol (RDP) oder via Remote Monitoring and Management (RMM)-L\u00f6sungen erfolgen.<\/p>\n Dateiverschl\u00fcsselung und Umbenennung: <\/u>Es existiert eine Reihe von unterschiedlichen Methoden zur Dateiverschl\u00fcsselung, einschlie\u00dflich des einfachen \u00dcberschreibens des Dokuments. Die meisten Methoden werden durch das L\u00f6schen des Backups oder der Originalkopie erg\u00e4nzt, um den Wiederherstellungsprozess zu verhindern.<\/p>\n Tipps zum Ransomware-Schutz<\/strong><\/p>\n Die vollst\u00e4ndigen englischen Dokumente k\u00f6nnen hier abgerufen werden: Playbook How Ransomware Attacks<\/a> und How the Most Damaging Ransomware Evades IT Security<\/a><\/p>\n<\/p><\/div>\n
<\/strong>Im neuesten Playbook for Defenders beschreiben die SophosLabs detailliert, wie Ransomware versucht, unbemerkt an der Security vorbeizuschl\u00fcpfen. Meist nutzen die Angreifer daf\u00fcr vertrauensw\u00fcrdige und legitime Prozesse, um dann \u00fcber interne Systeme eine maximale Anzahl von Dateien zu verschl\u00fcsseln sowie Backup- und Wiederherstellungsprozesse zu deaktivieren, bevor ein IT-Sicherheitsteam einschreiten kann. Die wichtigsten Kapitel des Kompendiums umfassen:<\/p>\n\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/11\/ransomware.png\"\/)
<\/p>\n