Von Hector Avalos, VP Sales Europe, Middle East, Africa & Russia, Versa Networks
DarkSide, eine cyberkriminelle Gruppe, die Ransomware erstellt, hat sich professionell organisiert, um groß angelegte Angriffe auf Unternehmen zu starten. Ihr Ziel: Geld verdienen durch Lösegeldforderungen an die Opfer ihrer Angriffe. Ihr jüngster Angriff auf die Colonial Pipeline in den USA hat dem betroffenen Unternehmen schmerzlich bewusst gemacht, dass jede trügerische Sicherheit ihren Preis hat und dass man daraus lernen muss.
DarkSide-Cyberangriffe verschlüsseln oder stehlen in der Regel Daten von Unternehmen und löschen diese dann von verschiedenen Geräten oder deren Systemen. Sobald der Angriff erfolgreich ist, fordert DarkSide von seinen Opfern ein Lösegeld im Austausch für die Entschlüsselung der Daten oder die Rückgabe der gelöschten Daten.
Aufgrund von Lücken in der Cyberabwehr von Unternehmen sowie einer zunehmenden Raffinesse der von den kriminellen Angreifern verwendeten Tools und Methoden werden Cyberangriffe immer häufiger. Die Sicherheitsrichtlinien und -kontrollen in den Unternehmen können mit dieser Entwicklung kaum Schritt halten, so dass die Hacker ausreichend Angriffsflächen für ihre Cyberattacken finden.
Vorbereiten auf Ransomware-Angriffe
Die Anzahl der Ransomware-Angriffe ist in den letzten zwei Jahren deutlich gestiegen. Um sich davor zu wappnen, sollten Unternehmen unbedingt ihren Schutz und den ihrer Netzwerke verstärken.
Neben einer Überwachung des gesamten IT-Systems sollte ein regelmäßiges Backup sicherstellen, dass keine wichtigen Daten im Falle eines Angriffs verloren gehen. Dabei gilt es zu bedenken, dass DarkSide auch die Möglichkeit hat, gesicherte Daten zu verschlüsseln und zu löschen. Eine Lösung könnte sein, die Sicherheit der beteiligten Backup-Systeme zu verbessern.
Phishing-Angriffe werden verwendet, um die Kontrolle über E-Mails zu übernehmen. Sowohl die Betreffzeile der E-Mail als auch ihr Inhalt können Aufschluss über den Absender der E-Mail geben. Sicherheitsschulungen für Mitarbeiter können helfen, Sicherheitsvorfälle zu begrenzen. Darüber hinaus kann die E-Mail-Filterung helfen, Bedrohungen zu erkennen, bevor sie die Mitarbeiter erreichen.
Eine kürzlich durchgeführte Studie kommt zu dem Schluss, dass die Verwendung mehrerer Produkte und damit eine gewisse Diversifizierung des Schutzes die Absicherung des Unternehmens einfacher macht als die Verwendung nur eines Produkttyps. Die Klassifizierung des Netzwerks in verschiedene Ebenen kann dabei helfen, die Sicherheitsmaßnahmen entsprechend zu organisieren und die Angriffsfläche zu reduzieren.
Sicherheit des Domain Controllers verstärken
Das Unternehmen sollte zudem eine Kennwortrichtlinie und interne Dateizonen einführen, um zu verhindern, dass Personen auf unerwünschte Dateien und Ordner zugreifen. Das Prinzip besteht darin, die seitliche Bewegungserkennung für den Ost-West-Verkehr zu nutzen.
Aus technischer Sicht ist es wichtig, die Sicherheit des Domain Controllers zu verstärken. Folgende Punkte gilt es dabei zu beachten:
- Erstellen eines Replikats des Domänencontrollers, Benutzer erhalten lediglich den Zugriff auf die Replikate.
- Durchsetzung einer Firewall-Richtlinie für den Domänencontroller
- Bereitstellen von EDR auf dem Domänencontroller
- Erkennung seitlicher Bewegungen für den Datenverkehr, der in den Domänencontroller eintritt und ihn verlässt.
Damit ein Unternehmen seinen Schutz vor Übernahmen optimieren kann, muss es den Zugriff auf Anonymisierer und TOR-Proxys blockieren, aber auch Intrusion-Prevention-Systeme in die Lage versetzen, andere Arten von Command-and-Controll-Servern zu erkennen und zu blockieren. Die Sicherheit von Dateifreigaben sollte ebenfalls verstärkt werden und es sollten Firewall-Richtlinien für diese Freigaben eingerichtet werden.
Es wäre ratsam, Anwendungen zu patchen, wenn Sicherheitsupdates verfügbar sind. Anwendungen können Sicherheitsschwachstellen einführen und zu einem Problem für Unternehmen werden.
