Ransomware gehört nach wie vor zu den beliebtesten Angriffswerkzeugen von Hackern. Und leider zu den effektivsten. Und darüber hinaus kennen die Steigerungsraten keine Grenzen - in 2016 waren es 3.500 Prozent Steigerung - und ca. 41 Prozent aller Unternehmen weltweit wurden 2016 von den Plagegeistern heimgesucht. Die aktuellen Zahlen für 2017 scheinen den Trend zu bestätigen, aber der heiße Herbst und Winter dazu steht uns ja noch erst bevor!

Zur Historie Ransomware:

  • AIDS Trojaner • Entdeckt in 1989
  • FBI Lockscreen • Circa 2011 • Reveton Trojan Familie

2006 begann die Implementierung der effektiven asymmetrischen RSA-Verschlüsselung.

Ab 2011 kam Ransomware dann so richtig in Fahrt. Im dritten Quartal 2011 wurden 60.000 neue Ransomware-Varianten entdeckt. 

Im dritten Quartal 2012 waren es mit über 200.000 schon mehr als dreimal so viele. Vom dritten Quartal 2014 bis zum ersten Quartal 2015 stieg die Anzahl der neuen Varianten bereits um mehr als das Sechsfache. Größtenteils besteht diese Ransomware-Flut “nur“ aus Kopien der großen und bekannten Ransomware, welche Trittbrettfahrer unters Volk bringen – was aber deren Gefährlichkeit keinen Abbruch tut!

Es gibt mittlerweile so unglaublich viele Ransomware-Varianten, und diese Entwicklung ist alles andere als rückläufig. Hier ein paar wichtige Namen, die Sie kennen sollten:

  • CryptoLocker – 2013
  • Locker –  2013
  • CryptoLocker 2.0 –  2013
  • CryptorBit – 2013
  • CryptoWall –  2014
  • Cryptoblocker – 2014
  • CTB-Locker – 2014
  • SimplLocker – 2014
  • LowLevel04 – 2014
  • SynoLocker – 2014
  • OphionLocker – 2014
  • Pclock – 2015
  • CryptoWall 2.0 – 2015
  • TeslaCrypt – 2015
  • VaultCrypt – 2015
  • CryptoWall 3.0 – 2015
  • CryptoWall 4.0 – 2015
  • LowLevel04 – 2015
  • Chimera – 2015
  • Ransom32 - 2016
  • 7ev3n - 2016
  • Locky - 2016
  • SamSam bzw. SAMAS - 2016
  • KeRanger - 2016
  • Petya - 2016
  • Maktub - 2016
  • Jigsaw - 2016
  • CryptXXX - 2016
  • ZCryptor - 2016

Nach wie vor sind folgende Varianten aktiv (in alphabetischer Reihenfolge):

  • Cerber
  • EternalRocks
  • Fruitfly
  • Goldeneye
  • LeakerLocker
  • Mamba
  • Notpetya
  • Nuclear BTCWare
  • Petya
  • SLocker
  • Spora
  • SyncCrypt
  • WannaCry

(Auflistung historisch sowie heute noch aktiv, - nicht vollständig)

Das Perfide an Ransomware  heute: Ransomware ist schon lange nicht mehr auf Windows beschränkt - IOS, OSX, Android und Linux sind ebenfalls längst betroffen.

Und das zweifelhafte Geschäftsmodell wird weiter ausgeweitet: IoT und IIoT sowie der gesamte Gesundheitsbereich werden die nächsten Opfer sein. Das bedeutet also, Smart Home ebenso wie Smart Fab, ebenso beispielsweise Implantate wie Insulinpumpen oder Herzschrittmacher stehen auf der "Opferliste 4.0".

Die ganz modernen Varianten wie EternalRocks agieren gar nicht mehr wie klassische Malware, deswegen lassen sich auch viele SIEM-Tools, welche auf periodischer Analyse der Log-Daten aufbauen, so effektiv täuschen.

Auch Signatur-basierte Malware-Erkennungstools (IDS) erkennen oftmals den Schad-Code gar nicht. Nach wie vor sehr gut geschützt sind jedoch Unternehmen, auf bewährte Sicherheitslösungen setzen, bei denen das Netzwerk in Echtzeit automatisch auf Verhaltensweisen, welche auf einen Angriff Rückschlüsse zulassen, untersucht werden. Damit werden dann auch die sehr modernen Varianten von Ransomware wie beispielsweise EternalRocks bereits in einem sehr frühen Stadium enttarnt.

Der Domain-Name, der als "Kill Switch“ für WannaCry agiert, ist höchstwahrscheinlich gar kein Kill Switch, sondern eine ausgefeilte Technik, um Sandboxing auszuhebeln. Dadurch, dass die Domain aktiviert wird, erhält die Ransomware die Information, dass sie in einer Sandbox läuft. Um weder analysiert noch entdeckt zu werden, deaktiviert sich daraufhin die Ransomware einfach selbst. Moderne Ransomware wie EternalRocks haben aber gar keine Anti-Sandbox-Funktion. Diese neue Generation kann also nicht so einfach deaktiviert werden.

Mit SIEM und IDS haben Sie also eine trügerische Sicherheit, welche Ihnen speziell zu EternalRocks oftmals versagen wird!

Wenn EternalRocks also unentdeckt bleibt, verbreitet er sich zügig innerhalb privater Netzwerke und auch über das Internet. EternalRocks verwendet das SMB-Protokoll und infiziert schnell Systeme, ohne dass die Nutzer dazu extra betrügerische Links in Phishing-Mails oder ähnliches anklicken müssen.

Beunruhigend ist für die Fachleute, dass sich die Malware im Vergleich zu WannaCry zumindest bislang eher passiv verhält. Es wurde bislang keine Verbindung zum Herunterladen von Schadcode hergestellt.

Allerdings sorgt der Wurm dafür, dass auf den betroffenen Systemen zusätzliche Einfallstore für weitere Malware für zukünftige Attacken entstehen.

Aktuell verhält sich EternalRocks noch ruhig.

EternalRocks setzt auf EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch und SMBTouch. Das sind alles öffentlich gemachte Exploits der NSA.

Werden Sie jetzt aktiv – bevor es die Schädlinge in Ihrem Unternehmen werden! Stellen Sie sich den Herausforderungen!

Holen Sie sich also nun Ihre kostenlose Daten-Risikobewertung!

Wir zeigen Ihnen, wo in Ihrem Unternehmen die größten Gefahren liegen!

Wir verlängern unsere Aktion und bieten die Daten-Risikobewertung für einen begrenzten Zeitraum weiter unverbindlich und komplett kostenfrei an.

Wir ermitteln Problembereiche, priorisieren Risiken und definieren konkrete Schritte zur Verbesserung des Datenschutzes.

WIE DAS FUNKTIONIERT:
Varonis-Techniker bewerten die Sicherheit Ihrer unstrukturierten Daten, indem sie die Metadaten in Ihrer Umgebung erfassen und analysieren.

  • Bestimmen und Eingrenzen der beteiligten Infrastruktur
  • Auflisten und Bewerten der Zugriffberechtigungen und deren Nutzung
  • Identifizieren und Priorisieren gefährdeter Bereiche

WAS SIE ERHALTEN:
Mit Abschluss der Beurteilung erhalten Sie einen Bericht, der die wichtigsten Erkenntnisse zusammenfasst, eine Rangliste der identifizierten Schwachstellen nach Risikostufe enthält sowie Empfehlungen, wie Sie diese Schwachstellen beheben können.

button kostenlose daten risikobewertung

 
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen