Seit Erscheinen der Ransomware Akira sehen sich vor allem große und an Kritis oder NIS 2 gebundene Unternehmen mit einer neuen Gefahr konfrontiert. Diese ist insbesondere deshalb recht hoch, da bisher noch kein Decryptor für die aktuellen Versionen der Malware existiert und sich die Gruppe hauptsächlich auf Opfer konzentriert, bei denen sie hohe Lösegelder erpressen kann.
„Gegen neue Bedrohungen helfen traditionelle Sicherheitslösungen meist nur sehr begrenzt“, so Gregor Erismann, CCO von Exeon Analytics. „Man benötigt zu deren Abwehr vor allem Technologien, die Angriffsversuche frühzeitig erkennen und automatisiert Gegenmaßnahmen initiieren und das Sicherheitspersonal alarmieren können.“
Viele SIEM-Systeme (Security Information and Event Management) bieten laut Erismann zwar Tools und Funktionen, um die Auswirkungen von Ransomware zu erkennen, zu bewerten und zu mindern, allerdings nur mit vordefinierten Anwendungsszenarien als Grundlage. Darüber hinaus können native Endpunktlösungen – ebenfalls nur, wenn sie mit vorkonfigurierten Playbooks ausgestattet sind – Incident Response Verfahren auslösen, und die Beseitigung von Malware erzwingen. Gegen bisher unbekannte Angriffsmuster und speziell auch KI-gestützte, dynamische Angriffe sind solche Lösungen jedoch unwirksam, da sie nur auf bisher bekannte Muster reagieren.
NDR erkennt auffällige und ungewohnte Verkehrsmuster
Für die frühzeitige Erkennung von dynamischen Ransomware-Angriffen ist daher laut Exeon eine ständige Überwachung des gesamten Netzwerkverkehrs über ein NDR-System erforderlich (Network Detection and Response). Durch Monitoring und Visibilität der VPN-Verbindungen können Unternehmen, die NDR einsetzen, Ransomware-Angriffe wie die von Akira erkennen, indem sie den Netzwerkverkehr ständig auf ungewöhnliche oder unbekannte Muster analysieren. Dazu können auch untypische Spitzen bei der Datenübertragung oder ungewöhnliche Kommunikation zwischen Geräten gehören.
In der Lösung ExeonTrace setzt Exeon dabei auf KI und Maschinelles Lernen (ML), so dass Verkehrsmuster, die von den etablierten (und maschinell erlernten) Baselines abweichen, frühzeitig erkannt werden. Das System sucht nach ungewöhnlichen Mustern, einem unerwarteten Anstieg des Datenverkehrs oder wiederholten Fehlversuchen bei der Anmeldung. Es überprüft auch die Protokolle, die etwa von Cisco ASA-Geräten oder anderen Firewalls stammen. Über Cisco ASA schleust Akira seine Malware ein.
ML ermöglicht es ExeonTrace, unbekannte Angriffe zu entdecken, indem es historische Daten korreliert oder anomale Aktivitäten identifiziert, die möglicherweise bösartig sind. Dieser Ansatz ist probabilistisch und nicht deterministisch. Dabei kann die integrierte Metadatenanalyse deutlich höhere Datenmengen verarbeiten als Deep Packet Inspection und auch verschlüsselten Datenverkehr analysieren. So gewinnt man eine signifikante, historische Korrelation, die einen proaktiven Umgang mit Bedrohungen ermöglicht.
