Ein Ransomware-Angriff scheint meist aus dem Nichts zu kommen. Doch Experten haben fünf Anzeichen ausgemacht, die auf eine bevorstehende Attacke hindeuten.
Foto: Pixabay

IT-Sicherheit

Bei diesen fünf Anzeichen droht ein Ransomware-Angriff

Ein Ransomware-Angriff scheint meist aus dem Nichts zu kommen. Doch Experten haben fünf Anzeichen ausgemacht, die auf eine bevorstehende Attacke hindeuten.

Bei der Kooperation mit Opfern von Ransomware-Angriffen analysiert das Managed Threat Response Teams (MTR-Team) von Sophos die letzten ein bis zwei Wochen vor der Entdeckung eines Angriffs. Fällt einer von fünf Indikatoren auf, wird dieser genauer kontrolliert. Jedes dieser Anzeichen ist mit ziemlicher Sicherheit ein Hinweis dafür, dass Angreifer herumgeschnüffelt haben, wie das Netzwerk genau aussieht und wie sie Zugang zu Accounts erlangen können, um eine Ransomware-Attacke zu starten.

Angreifer nutzen dabei oftmals legitime Administrator-Werkzeuge, um das Set-up für eine Attacke zu gestalten. Deshalb können die folgenden fünf Tools oftmals schnell im Tagesgeschäft untergehen und sind leicht zu übersehen. Für das Aufspüren potentieller Ransomware-Attacken sind sie allerdings ganz klar Warnsignale, die unbedingt näher untersucht werden sollten.

1. Netzwerk-Scanner (besonders auf dem Server)

Die Erpresser starten normalerweise damit, Zugang zu einem Rechner zu bekommen, auf dem sie nach Informationen suchen: handelt es sich um Mac oder Windows, wie lautet der Domain- oder Unternehmens-Name, über welche Admin-Rechte verfügt der Computer etc. Im zweiten Schritt untersuchen sie, welche weiteren Nutzer mit welchen Zugängen auf dem Netzwerk arbeiten. Der einfachste Weg, das herauszufinden, ist ein Netzwerk-Scan. Falls ein entsprechender Scanner wie zum Beispiel AngryIP oder Advanced Port Scanner entdeckt wird, sollte man bei den Administratoren nachfragen. Wenn keiner dieser Scanner offiziell benutzt wird, ist eine nähere Untersuchung Pflicht.

2. Tools zur Deaktivierung von Antivirus-Software

Verfügen die Angreifer über Admin-Rechte, werden sie oft versuchen, installierte Sicherheitssoftware zu deaktivieren. Dabei helfen ihnen Applikationen, die bei der erzwungenen Beseitigung solcher Software assistieren, wie Process Hacker, IOBit Uninstaller, GMER oder PC Hunter. Diese kommerziellen Werkzeuge sind legitim, aber in falschen Händen prekär. Sicherheitsteams und Administratoren sollten hellhörig werden, wenn diese Programme plötzlich in ihrem System auftauchen.

3. Die Präsenz von Mimikatz

Jeder Hinweis auf das Auftauchen des Tools Mimikatz sollte untersucht werden. Kann sich keiner der Administratoren für den Einsatz des Programms verbürgen, ist das eine tiefrote Warnflagge: Mimikatz ist eines der populärsten Hacking-Werkzeuge für den Diebstahl von Anmeldedaten. Angreifer setzen in diesem Zusammenhang auch auf den Microsoft Process Explorer (enthalten in Windows Sysinternals), ein rechtmäßiges Tool, das den lokalen Sicherheits-Authentifizierungsserver LSASS.exe aus dem Speicher lesen und eine .dmp-Datei erstellen kann. Diese können Angreifer nach dem Export in ihr eigenes System mit Mimikatz bearbeiten, um Benutzernamen und Passwörter zu extrahieren.

4. Muster ungewöhnlichen Verhaltens

Jeglicher Systemeingriff zur immer gleichen Zeit oder in einem sich wiederholenden Muster ist ein Indikator dafür, dass noch irgendwo etwas Ungewolltes passiert, selbst wenn schadhafte Dateien entdeckt und entfernt wurden. Sicherheitsteams sollten sich deshalb fragen, warum diese Situation zurückkehrt. Es handelt sich oft um ein Zeichen dafür, dass doch noch ein schädlicher Prozess ausgeführt wird, der nur noch nicht identifiziert ist.

5. Testangriffe kündigen einen bevorstehenden Ransomware-Angriff an

Vereinzelt führen Angreifer Testattacken auf ein paar Computer durch, um die Schlagkraft ihrer Angriffsmethode zu überprüfen, oder ob Sicherheitssoftware sie stoppt. Wird die Attacke gestoppt, ändern die Angreifer ihre Taktik und versuchen es erneut. Hacker wissen dann allerdings, dass ihre Zeit begrenzt ist und sie schnell auffliegen können. Deshalb ist es nach erfolglosen Testattacken oft nur eine Frage von Stunden, bis ein weitaus größerer Angriff erfolgt.

Foto: Michael Hirschka/Pixelio

Antimalware-Lösungen

Nutzen oder Nichtsnutz?

Ein Test von aktuellen Antimalware-Lösungen sollte zeigen, welche Erkennungsraten erzielt werden, wenn man die traditionelle signaturbasierte Erkennung eliminiert. Stattdessen warfen die Ergebnisse die Frage auf, ob Antimalware-Lösungen heute überhaupt noch nützlich sind.

Foto: Kaspersky Lab ZAO/ securelist.com

Operation Roter Oktober

Cyberspionage-Angriffe auf Regierungen

Kaspersky Lab hat Details über eine Cyberspionage-Kampagne veröffentlicht, die sich seit mindestens fünf Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern richtet.

Foto: Antje Delater/ Pixelio

Websense-Studie

Die kommenden Cyber-Attacken 2013

Schadhafte mobile Apps, zunehmend staatlich geförderte Angriffe und ein Comeback bösartiger E-Mails: Das sind nur einige der Cyber-Bedrohungen, die der Sicherheitsexperte Websense in seinem Bericht "Websense 2013 Security Predictions" für 2013 vorhersagt.

Citrix sieht sich mit massiven Problemen aufgrund einer Sicherheitslücke in seinem System konfrontiert.
Foto: Flickr

IT-Sicherheit

Wer hat Citrix und wo ist die Sicherheitslücke?

Beim BSI häufen sich die Meldungen erfolgreicher Angriffe auf Citrix. Einen Patch für die Sicherheitslücke gibt es noch nicht. Experten warnen vor einer Katastrophe.