Emotet ist zurück: Was tun gegen Ransomware?

13. Dezember, 2021

„Emotet“ galt lange Zeit als besonders gefährliche Ransomware-Variante. Hochprofessionelle Phishing-Mails konnten viele Benutzer*innen täuschen und Systeme infizieren.

FBI und Europol deaktivierten im Jänner 2021 schließlich das dahinterliegende Netzwerk. Seit Mitte November 2021 verdichten sich jedoch Hinweise, dass Emotet wieder aufflammt. Die Cyberkriminellen hinter der Schadsoftware scheinen im Hintergrund weiterhin aktiv zu sein und samt neuer Versionen der Malware wieder vermehrt in Erscheinung zu treten. Es wird weiterhin empfohlen, die historisch bekannten Kontroll-Server von Emotet zu blockieren. [1]

Nicht zu Unrecht ist Ransomware in vielen Unternehmen ein prominentes Thema mit sehr vielen offenen Fragen. Im November 2021 hat das SANS Institute die Ergebnisse ihres „Ransomware Detection and Incident Response Reports“ veröffentlicht. Verschiedene Cyberangriffsszenarien wurden dabei mit bekannten Ransomware-Strategien verglichen. Der wichtigste Punkt dabei: Für den Ernstfall braucht es einen vorbereiteten Incident-Prozess, um eine schnelle und verzögerungsfreie Reaktion zu ermöglichen. Besonders bei Ransomware-Attacken zählt jede Minute, um die negativen Auswirkungen möglichst gering zu halten. [2]

Wie kann man Cyberkriminellen ihr Vorhaben erschweren?

Im Report des SANS Instituts wurden die Vorgehensweisen bei Cyberattacken und Ransomware-Angriffen tiefgehend analysiert. Bei Letzteren zeigen sich drei Punkte als besonders relevant, um Sicherheitsvorfälle zu verhindern.

1) Benutzerkonten mit vielen Rechten

Vermeiden Sie Accounts im System, die für die notwendigen (täglichen) Tätigkeiten mit sehr hohen Rechten versehen sind. Besonders solche überprivilegierten und nicht überprüften Accounts sind hochgradig anfällig für Ransomware-Angriffe.

2) Ignorieren oder zu spätes Reagieren auf auffälliges Verhalten

Ransomware erzeugt besonders am Anfang in den betroffenen Systemen und Netzwerken auffällige Aktivitäten und z.B. auch zusätzlichen Netzwerkverkehr. An diesem Punkt ist noch vieles zu retten, wenn schnell reagiert wird. Treffen Sie Vorkehrungen, um solche Vorkommnisse schnellstmöglich zu melden und darauf zu reagieren.

3) Keine klaren Aktionen und fehlende Handlungsanweisungen

Im Verdachtsfall hilft nur das schnelle Identifizieren und Trennen von betroffenen Ressourcen. Das kann das Sperren eines auffälligen Accounts sein, das Blockieren von auffälligem Datenverkehr nach intern oder extern, aber auch das vollständige Isolieren von ganzen Systemen. Nur durch schnelles und konsequentes Handeln ist eine treffende Schadensminimierung möglich. Verlieren Sie keine Zeit, bevor der Angreifer sich tief einnisten, weiterverbreiten sowie wichtige Systeme zerstören kann.

Wie gelingt eine erfolgreiche Wiederherstellung?

Im SANS-Report wird auf fünf elementare Komponenten eines Incident-Plans eingegangen, um möglichst unbeschadet durch einen Cyberangriff zu kommen.

  1. Vorbereitung und Definition von notwendigen Prozessen
  2. Überwachung zur Entdeckung von Vorkommnissen
  3. Definition von Schritten zur schnellen Eindämmung bei Vorfällen
  4. Maßnahmen zur nachhaltigen Behebung der Störung/des Angriffs
  5. Vorkehrungen zur sicheren Wiederherstellung der Systeme und Daten

Empfohlen wird außerdem ein kontinuierlicher Verbesserungsprozess, um sich den rasch wandelnden Bedrohungen besser anzupassen:

  1. Durchführung von Post mortem-Analyse, Verbessern der Infrastruktur sowie Anpassen und Optimieren des Notfallplans

Fazit: Ransomware bleibt weiterhin eine kritische Bedrohung für Unternehmen. Die Vorgehensweise ist nach wie vor oft sehr zielgerichtet und nutzt meist die gleichen Muster: Über die Suche nach Schwachstellen in erreichbaren Systemen und/oder zielgerichtete E-Mail-Phishing-Angriffe auf Mitarbeiter*innen erfolgt als Zutritt ins Unternehmensnetzwerk. Gute Vorbereitung auf solche Cyberattacken und ein aktuell gehaltener Notfallplan können dabei helfen, die Auswirkungen und Schadensfälle deutlich zu minimieren.

Leseempfehlung:

Do’s and Don’ts bei Ransomware

Quellen:

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download