Was ist Ransomware-Erkennung?
Ransomware ist, wie die meisten Malware, darauf ausgelegt, einen Computer zu infizieren und unentdeckt zu bleiben, bis sie ihr Ziel erreicht hat. Bei Ransomware besteht das Ziel des Angreifers darin, dass das Opfer erst dann von der Infektion erfährt, wenn es die Lösegeldforderung erhält.
Anti-Ransomware- Lösungen sind darauf ausgelegt, die Infektion früher im Prozess zu erkennen, möglicherweise bevor ein Schaden entsteht. Zu diesem Zweck nutzen sie verschiedene Ransomware-Erkennungstechniken, um die Stealth- und Defense-Evasion-Funktionalität von Ransomware zu überwinden.
Die Notwendigkeit einer Früherkennung
Bei einem Cyber-Angriff ist die Früherkennung immer wichtig. Je früher in der Angriffskette ein Vorfall erkannt und behoben wird, desto geringer ist die Chance für den Angreifer, sensible Daten zu stehlen oder dem Unternehmen auf andere Weise Schaden zuzufügen.
Bei Ransomware ist die Früherkennung sogar noch wichtiger als bei den meisten Angriffen, da der durch Ransomware verursachte Schaden möglicherweise irreversibel ist. Wenn Ransomware Daten verschlüsselt, die nicht in einem sicheren Backup enthalten sind, können diese möglicherweise nicht wiederhergestellt werden, selbst wenn das Opfer das Lösegeld zahlt. Um die Auswirkungen zu minimieren, ist es wichtig, die Ransomware-Infektion vor Beginn der Verschlüsselung zu erkennen und zu beseitigen.
Mit der Weiterentwicklung von Ransomware ist die Früherkennung immer wichtiger geworden. Moderne Ransomware-Varianten filtern häufig die sensiblen Daten eines Unternehmens heraus, bevor sie diese verschlüsseln. Wenn die Ransomware erkannt werden kann, bevor es zu diesem Datendiebstahl kommt, vermeidet das Unternehmen einen Datenverstoß, der teuer und peinlich sein könnte.
Arten von Ransomware-Erkennungstechniken
Eine Ransomware-Infektion kann auf verschiedene Weise identifiziert werden. Zu den häufigsten Ransomware-Erkennungsmechanismen gehören die folgenden:
Erkennung durch Signatur
Die signaturbasierte Erkennung ist die einfachste Möglichkeit, das Vorhandensein von Malware auf einem System zu erkennen. Malware Signaturen umfassen Informationen wie Datei-Hashes, Domänennamen und IP-Adressen der Befehls- und Kontrollinfrastruktur sowie andere Indikatoren, die eine Malware-Probe eindeutig identifizieren können. Signaturbasierte Erkennungssysteme speichern eine Bibliothek dieser Signaturen und vergleichen sie mit jeder Datei, die auf einem System eingegeben oder ausgeführt wird, um festzustellen, ob es sich um Malware handelt.
Allerdings wird die signaturbasierte Erkennung immer weniger nützlich. Die signaturbasierte Erkennung war noch nie gegen neuartige Malware einsetzbar, da für die Malware-Variante keine Signaturen erstellt wurden. Heutzutage verwenden Ransomware-Gruppen für jede Angriffskampagne häufig einzigartige Versionen ihrer Malware (mit unterschiedlichen Datei-Hashes, unterschiedlicher Befehls- und Kontrollinfrastruktur usw.), wodurch die signaturbasierte Erkennung unwirksam wird.
Erkennung durch Verhalten
Die Verhaltenserkennung ist eine weitere Möglichkeit, das Vorhandensein von Ransomware auf einem System zu erkennen. Verhaltensbasierte Erkennungsalgorithmen können so konzipiert werden, dass sie nach bestimmten Aktivitäten suchen, die bekanntermaßen bösartig sind, oder nach anomalen Aktionen suchen, die von der Norm abweichen.
Die verhaltensbasierte Ransomware-Erkennung macht sich die Tatsache zunutze, dass Ransomware ein sehr ungewöhnliches Verhalten aufweist. Beispielsweise erfordert die Verschlüsselungsphase von Ransomware, dass die Malware viele Dateien auf dem System öffnet, ihren Inhalt liest und sie dann mit einer verschlüsselten Version überschreibt. Dieses Verhalten kann bei der Erkennung von Ransomware hilfreich sein, wenn eine Anti-Ransomware-Lösung Dateivorgänge oder Verschlüsselungsvorgänge überwacht und bei diesem ungewöhnlichen Verhalten eine Warnung ausgibt.
Erkennung durch ungewöhnlichen Verkehr
Die Überwachung von Dateivorgängen ist eine Form der verhaltensbasierten Bedrohungserkennung auf Endgeräteebene. Ransomware kann jedoch auch auf Netzwerkebene erkannt werden, indem nach anomalem Datenverkehr gesucht wird, der auf eine Ransomware-Infektion oder Malware im Allgemeinen hinweisen könnte.
In der Vergangenheit führte Ransomware vor Beginn der Verschlüsselung nur wenige Netzwerkvorgänge aus, um ihre Präsenz auf dem System zu verbergen. Moderne Ransomware stiehlt und exfiltriert jedoch sensible Daten, bevor sie verschlüsselt wird, um dem Angreifer zusätzliche Hebelwirkung zu verschaffen und das Opfer zur Zahlung der Lösegeldforderung zu bewegen.
Die Durchführung einer groß angelegten Datenschutzverletzung erfordert die Fähigkeit, große Datenmengen innerhalb des Netzwerks an externe Systeme zu senden, die unter der Kontrolle des Angreifers stehen. Während die Ransomware möglicherweise versucht, diese Datenübertragungen zu verbergen, kann sie möglicherweise anomalen Netzwerkverkehr erzeugen, der erkannt und auf die auf dem System vorhandene Ransomware zurückgeführt werden kann.
Erkennen und schützen Sie sich vor Ransomware mit Harmony Endpoint
Wenn Ransomware ihre Lösegeldforderung auf einem Zielsystem präsentiert hat, ist der Schaden bereits angerichtet. Dies geschieht erst, wenn die Ransomware alle gestohlenen Daten herausgefiltert und die Daten auf dem System verschlüsselt hat.
Der beste Weg, die Auswirkungen einer Ransomware-Infektion abzumildern, besteht darin , sie daran zu hindern, ihre Ziele zu erreichen. Check Point Harmony Endpoint verfügt über marktführende Bedrohungserkennungsfunktionen, wie die MITRE Engenuity ATT&CK-Bewertung 2021 bestätigt.
Um mehr über die Ransomware-Bedrohung und andere Cyberrisiken zu erfahren, denen Ihr Unternehmen ausgesetzt ist, lesen Sie den Bericht „Cyber-Angriff Trends 2021“. Sie können sich auch gerne für eine kostenlose Testversion anmelden, um sich selbst von den Ransomware-Erkennungsfunktionen von Harmony Endpoint zu überzeugen.
Feedback