Ransomware verhindern

Aktuelle Ransomware Warnung

Jetzt Beratung anfragen

FON: 07127 / 811 610

WAS KÖNNEN WIR FÜR SIE TUN?

BSI warnt aktuell vor gezielten Ransomware Attacken auf Unternehmen

In einer aktuellen Sicherheitswarnung des BSI wird vor der gezielten Ausführung von Verschlüsselungstrojaner gewarnt.

 

"Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren". Erklärt der Präsident Arne Schönborn.

Pressemeldung BSI

 

Bei den gezielten Angriffen liegen die Lösegeldforderungen erheblich höher, als bei herkömmlichen Ransomware Angriffen. Das BSI geht von existenzbedrohenden Datenverlusten aus und ruft vor allem Mittelständische Unternehmen auf sich zu schützen.

 

Beobachtung der Angriffe

Folgende Angriffsszenarien beobachten wir zur Zeit:

 

Das erste Eindringen in Unternehmensnetze ist in der Regel ein einfaches Verfahren, dass jedoch nur sehr schwer zu erkennen ist. Die weiteren Schritte erfordern ein profundes Fachwissen über IT Systeme und bestätigen, dass die Angreifer dabei genau wissen wie moderne Infrastrukturen aufgebaut sind.

 

Empfehlungen nach einer festgestellten Infektion:

Nach einem erfolgten Angriff, sind folgende Maßnahmen zu empfehlen:

 

  • Neuinstallation der Domänencontroller
  • Löschen aller zur Zeit des Angriffs vorhandenen Admins und Erstellen neuer personifizierter Admin Accounts.
  • Scan aller Server und Arbeitsplatzrechner in einem Quarantäne Netz mit mindestens zwei Scannern.
  • Untersuchung aller Systeme (Script) in Registry, Dateien, Autorun, etc.
  • Komplette Logs in der Firewall aktivieren
  • Integration eines Logservers, inkl. Darstellung von Geo- und Whois-Daten
  • Aktives blockieren der Angreifer-Adressen
  • Neu Installation der offensichtlich betroffenen Maschinen
  • Separierung der Datensicherung (direkt am Backup-Server, ohne Domänen Anbindung)
  • Netzwerk Segmentierung
  • Abschaltung aller OPEN-VPN Verbindungen
  • Den LAN Zugriff für mobile Geräte unterbinden
  • Kein direkter Internet-Zugriff für Server- oder Arbeitsplatzrechner
  • Einführung Web-Proxy mit Content-Filter (Abklärung Betriebsrat, falls vorhanden)
  • Löschung aller deaktivierte und in der Domäne gelöschten Benutzerprofilen auf allen Geräten
  • Rücksetzung aller Benutzer Kennwörter und des krbtgt - Caches

 

Mit diesen Maßnahmen ist es möglich, in kurzer Zeit die wichtigsten Prozesse wiederherzustellen und einen einfachen Basis Schutz zu ermöglichen.

 

Allgemeine Empfehlungen:

 

  • Administrations-Konzept mit Zugriffsbeschränkungen und speziellen Admin-Konten einführen.
  • Eigenes Kommunikations-Konzept mit dokumentierten Zugängen.
  • Überprüfung der Dienste Konten mit entsprechenden Einschränkungen.
  • Überprüfung der Admin-Freigaben und Protokolldaten.
  • Ggf. Hardware Erneuerung in sinnvollen Etappen
  • Neuinstallation aller Server (mindesten Win 2016 mit UEFI-Boot)
  • Einführung von Desktop Firewalls
  • Etablierung Notfallplan (inkl. Abhängigkeiten) und Notfallteam
  • Aktualisierung Backup Konzept (Snapshot Konzepte)
  • Dokumentation und Dezimierung der eingesetzten Dienstleisterzugänge.
  • Remote Access Zugänge sichern, falls vorhanden, möglichste KEINE Client-VPNs
  • Application Control auf allen Clients und Servern
  • Sandboxing verfahren für Dateien die in’s Unternehmen übertragen werden (Mail, Download, USB, Wechselplatten etc.)

 

Dies sind Basis Empfehlungen. Jedes Unternehmen hat andere Anforderungen und Gegebenheiten. Gerne unterstützen wir Sie mit technischen Empfehlungen, die jedoch von Fall zu Fall unterschiedlich ausfallen.