Ransomware-Erkennungstechniken

Was ist Ransomware-Erkennung?

Ransomware ist, wie die meisten Malware, darauf ausgelegt, einen Computer zu infizieren und unentdeckt zu bleiben, bis sie ihr Ziel erreicht hat. Bei Ransomware besteht das Ziel des Angreifers darin, dass das Opfer erst dann von der Infektion erfährt, wenn es die Lösegeldforderung erhält.

Anti-Ransomware- Lösungen sind darauf ausgelegt, die Infektion früher im Prozess zu erkennen, möglicherweise bevor ein Schaden entsteht. Zu diesem Zweck nutzen sie verschiedene Ransomware-Erkennungstechniken, um die Stealth- und Defense-Evasion-Funktionalität von Ransomware zu überwinden.

Die Notwendigkeit einer Früherkennung

Bei einem Cyber-Angriff ist die Früherkennung immer wichtig. Je früher in der Angriffskette ein Vorfall erkannt und behoben wird, desto geringer ist die Chance für den Angreifer, sensible Daten zu stehlen oder dem Unternehmen auf andere Weise Schaden zuzufügen.

Bei Ransomware ist die Früherkennung sogar noch wichtiger als bei den meisten Angriffen, da der durch Ransomware verursachte Schaden möglicherweise irreversibel ist. Wenn Ransomware Daten verschlüsselt, die nicht in einem sicheren Backup enthalten sind, können diese möglicherweise nicht wiederhergestellt werden, selbst wenn das Opfer das Lösegeld zahlt. Um die Auswirkungen zu minimieren, ist es wichtig, die Ransomware-Infektion vor Beginn der Verschlüsselung zu erkennen und zu beseitigen.

Mit der Weiterentwicklung von Ransomware ist die Früherkennung immer wichtiger geworden. Moderne Ransomware-Varianten filtern häufig die sensiblen Daten eines Unternehmens heraus, bevor sie diese verschlüsseln. Wenn die Ransomware erkannt werden kann, bevor es zu diesem Datendiebstahl kommt, vermeidet das Unternehmen einen Datenverstoß, der teuer und peinlich sein könnte.

Arten von Ransomware-Erkennungstechniken

Eine Ransomware-Infektion kann auf verschiedene Weise identifiziert werden. Zu den häufigsten Ransomware-Erkennungsmechanismen gehören die folgenden:

Erkennung durch Signatur

Die signaturbasierte Erkennung ist die einfachste Möglichkeit, das Vorhandensein von Malware auf einem System zu erkennen. Malware Signaturen umfassen Informationen wie Datei-Hashes, Domänennamen und IP-Adressen der Befehls- und Kontrollinfrastruktur sowie andere Indikatoren, die eine Malware-Probe eindeutig identifizieren können. Signaturbasierte Erkennungssysteme speichern eine Bibliothek dieser Signaturen und vergleichen sie mit jeder Datei, die auf einem System eingegeben oder ausgeführt wird, um festzustellen, ob es sich um Malware handelt.

Allerdings wird die signaturbasierte Erkennung immer weniger nützlich. Die signaturbasierte Erkennung war noch nie gegen neuartige Malware einsetzbar, da für die Malware-Variante keine Signaturen erstellt wurden. Heutzutage verwenden Ransomware-Gruppen für jede Angriffskampagne häufig einzigartige Versionen ihrer Malware (mit unterschiedlichen Datei-Hashes, unterschiedlicher Befehls- und Kontrollinfrastruktur usw.), wodurch die signaturbasierte Erkennung unwirksam wird.

Erkennung durch Verhalten

Die Verhaltenserkennung ist eine weitere Möglichkeit, das Vorhandensein von Ransomware auf einem System zu erkennen. Verhaltensbasierte Erkennungsalgorithmen können so konzipiert werden, dass sie nach bestimmten Aktivitäten suchen, die bekanntermaßen bösartig sind, oder nach anomalen Aktionen suchen, die von der Norm abweichen.

Die verhaltensbasierte Ransomware-Erkennung macht sich die Tatsache zunutze, dass Ransomware ein sehr ungewöhnliches Verhalten aufweist. Beispielsweise erfordert die Verschlüsselungsphase von Ransomware, dass die Malware viele Dateien auf dem System öffnet, ihren Inhalt liest und sie dann mit einer verschlüsselten Version überschreibt. Dieses Verhalten kann bei der Erkennung von Ransomware hilfreich sein, wenn eine Anti-Ransomware-Lösung Dateivorgänge oder Verschlüsselungsvorgänge überwacht und bei diesem ungewöhnlichen Verhalten eine Warnung ausgibt.

Erkennung durch ungewöhnlichen Verkehr

Die Überwachung von Dateivorgängen ist eine Form der verhaltensbasierten Bedrohungserkennung auf Endgeräteebene. Ransomware kann jedoch auch auf Netzwerkebene erkannt werden, indem nach anomalem Datenverkehr gesucht wird, der auf eine Ransomware-Infektion oder Malware im Allgemeinen hinweisen könnte.

In der Vergangenheit führte Ransomware vor Beginn der Verschlüsselung nur wenige Netzwerkvorgänge aus, um ihre Präsenz auf dem System zu verbergen. Moderne Ransomware stiehlt und exfiltriert jedoch sensible Daten, bevor sie verschlüsselt wird, um dem Angreifer zusätzliche Hebelwirkung zu verschaffen und das Opfer zur Zahlung der Lösegeldforderung zu bewegen.

Die Durchführung einer groß angelegten Datenschutzverletzung erfordert die Fähigkeit, große Datenmengen innerhalb des Netzwerks an externe Systeme zu senden, die unter der Kontrolle des Angreifers stehen. Während die Ransomware möglicherweise versucht, diese Datenübertragungen zu verbergen, kann sie möglicherweise anomalen Netzwerkverkehr erzeugen, der erkannt und auf die auf dem System vorhandene Ransomware zurückgeführt werden kann.

Detect and Protect Against Ransomware with Check Point Endpoint Security

Wenn Ransomware ihre Lösegeldforderung auf einem Zielsystem präsentiert hat, ist der Schaden bereits angerichtet. Dies geschieht erst, wenn die Ransomware alle gestohlenen Daten herausgefiltert und die Daten auf dem System verschlüsselt hat.

The best way to mitigate the impact of a ransomware infection is to prevent it from achieving its goals. Check Point Endpoint Security has market-leading threat detection capabilities as confirmed by the 2021 MITRE Engenuity ATT&CK Evaluations.

To learn more about the ransomware threat and other cyber risks facing your organization, check out the 2021 Cyber Attack Trends report. You’re also welcome to sign up for a free trial to see Check Point Endpoint Security’s ransomware detection capabilities for yourself.