Ransomware hat sich zu einem der größten Geschäftsmodelle der Cyberkriminalität entwickelt und kostet Unternehmen jedes Jahr Milliarden von Dollar. Bei einer Ransomware-Attacke stehlen oder verschlüsseln Cyberkriminelle wertvolle Daten und verlangen dann eine Zahlung für die Rückgabe dieser Daten. Diese Angriffe sind längst nicht mehr nur ein Ärgernis für Konsumenten, sondern haben sich mittlerweile zu ausgeklügelter Malware mit fortschrittlichen Verschlüsselungsmethoden entwickelt – und keine Branche, kein Land und keine Unternehmensgröße ist dagegen immun.
Der Schutz Ihrer Organisation vor Ransomware und anderen Arten von Malware erfordert eine schnelle Reaktion. Denn mit jeder Sekunde, die verstreicht, werden mehr Dateien verschlüsselt und mehr Geräte infiziert, was sowohl den Schaden als auch die Kosten in die Höhe treibt. IBM Security QRadar SIEM hilft Ihnen, diese Sicherheitsbedrohungen schnell zu erkennen, sodass Sie sofort Maßnahmen auf der Basis fundierter Informationen ergreifen können, um die Auswirkungen des Angriffs zu verhindern oder zu minimieren.
„Das definitive Ransomware-Handbuch“ lesen
Bericht „Kosten eines Datenschutzverstoßes“ aus dem Jahr 2022 lesen
Im Kampf gegen Ransomware ist eine frühzeitige Erkennung und Prävention entscheidend. QRadar SIEM bietet intelligente Sicherheitsanalysen, durch die Sie verwertbare Erkenntnisse zu Ihren kritischen Bedrohungen erhalten.
21 % aller Cyberangriffe sind Ransomware¹
Die durchschnittlichen Kosten einer Ransomware-Attacke betragen 4,54 Millionen US-Dollar2
Die Zahl der Linux-Ransomware mit neuem Code ist um 146 % gestiegen3
Ransomware durchläuft, wie die meiste Malware, mehrere Phasen. QRadar SIEM kann in allen diesen Phasen bekannte und unbekannte Ransomware erkennen. Die frühzeitige Erkennung kann bei der Vermeidung von Schäden in späteren Phasen helfen. QRadar bietet Inhaltserweiterungen, die Hunderte von Anwendungsfällen umfassen, um Alerts für alle diese Phasen zu generieren. Die Inhaltserweiterungen werden über die App Exchange bereitgestellt und bieten Zugang zu den neuesten Anwendungsfällen. IBM Security® X-Force® Threat Intelligence-Listen werden als Referenzen in Anwendungsfällen verwendet, um die neuesten bekannten Hinweise auf Kompromittierungen (Indicators of Compromise, IOCs) wie IP-Adressen, Malware-Dateihashes, URLs und mehr zu finden.
Die meiste „bekannte“ Malware und Ransomware kann in einem frühen Stadium gefunden werden. Für die Erkennung unbekannter Ransomware bietet QRadar SIEM Anwendungsfälle, die sich auf die Erkennung von Ransomware-Verhaltensweisen konzentrieren. Der QRadar SIEM Use Case Manager ermöglicht die Erkennung von Ransomware-Verhaltensmustern für Endpunkte, Anwendungsserver (vor Ort und in der Cloud) und Netzwerkgeräte (Firewalls) in Ihrer gesamten IT- und OT-Infrastruktur. Der Use Case Manager kann Ihnen mithilfe der MITRE ATT&CK-Matrix zeigen, ob Sie Anwendungsfälle oder Regeln haben, die diese Phasen umfassen.
In dieser Phase sieht Ransomware wie andere Malware aus. Es werden Phishingverfahren verwendet, um Ihre ahnungslosen Mitarbeiter dazu zu verleiten, auf einen Link oder eine ausführbare Datei in einer E-Mail, einem Honeypot, in sozialen Medien oder einer Textnachricht zu klicken.
Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Verteilungsverhalten und zum Auffinden bekannter Ransomware:
- In eine E-Mail eingebettete ausführbare Datei
- E-Mail- oder Web-Kommunikation mit einem feindlichen Host
- Verdächtiger E-Mail-Betreff
Jetzt geht es darum, schnell zu sein. Die Ransomware befindet sich nun in Ihrer Umgebung. Wenn die Ransomware einen „Dropper“ verwendet hat, um in der Verteilungsphase nicht entdeckt zu werden, schlägt der Dropper jetzt zu: Er lädt die „echte ausführbare Datei“ herunter und führt sie aus.
Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Infizierungsverhalten:
- Erkennung schädlicher Dateien oder Prozesse
- Erkennung von Hinweisen auf Kompromittierungen/schädlichen IOCs
- Dateidecodierung oder -download mit anschließender verdächtiger Aktivität
Die Ransomware scannt den Rechner, um die Verwaltungsrechte zu analysieren, die sie anfordern könnte, um beim Booten ausgeführt zu werden, den Recoverymodus zu deaktivieren, Spiegelkopien zu löschen und vieles mehr.
Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Stagingverhalten:
- Versuch der Löschung von Spiegelkopien und Sicherungen
- Deaktivierung der Recovery in der Bootkonfiguration
Da die Ransomware den Rechner nun vollends in Beschlag genommen hat, beginnt sie mit der Ausspähung des Netzwerks (Angriffspfade) sowie von Ordnern und Dateien mit vordefinierten Endungen und anderen Elementen.
Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Ausspähungsverhalten:
- Versuch der Löschung von Spiegelkopien und Sicherungen
- Größenbeschränkungen für die Datenübertragung
Jetzt beginnt der eigentliche Schaden. Typische Aktionen sind: Erstellen von Dateikopien, Verschlüsselung der Kopien und Ablegen der neuen Dateien am ursprünglichen Speicherort. Die Originaldateien können exfiltriert und aus dem System gelöscht werden. Das gibt den Angreifern die Möglichkeit, das Opfer zu erpressen, indem sie damit drohen, den Verstoß öffentlich zu machen oder sogar gestohlene Dokumente an die Öffentlichkeit gelangen zu lassen.
Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Verschlüsselungsverhalten:
- Exzessives Löschen oder Erstellen von Dateien
- Verdächtige Anzahl von Dateien, die auf demselben Rechner umbenannt oder verschoben werden (UNIX)
- Größenbeschränkungen für die Datenübertragung
Der Schaden ist angerichtet und der Benutzer erhält eine Nachricht, wie er das Lösegeld bezahlen kann, um den Entschlüsselungsschlüssel zu erhalten. Zu diesem Zeitpunkt gibt es außer der Erstellung der Entschlüsselungsanweisungsdatei nicht viel mehr zu ermitteln.
Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Benachrichtigungsverhalten:
- Erstellung einer Instruktion zur Ransomware-Entschlüsselung
Anwendungsfälle zur Erkennung von Ransomware finden Sie in den folgenden Content Extensions, die in der App Exchange bereitgestellt werden (Link befindet sich außerhalb von ibm.com):
- IBM QRadar Phishing and Email Content Extension (Link befindet sich außerhalb von ibm.com)
- IBM QRadar Security Threat Monitoring Content (Link befindet sich außerhalb von ibm.com)
- IBM QRadar Endpoint Content Extension (Link befindet sich außerhalb von ibm.com)
Nach der ersten Infizierungsphase ist das Timing entscheidend. Je früher Sie die Ransomware entdecken, desto früher können Sie Ihren Plan für die Reaktion auf einen Vorfall (Incident Response, IR) einleiten. Je besser der Reaktionsplan ist, desto schneller können Sie verhindern, dass die Ransomware die verschiedenen Phasen durchläuft. NIST (Link befindet sich außerhalb von ibm.com) und SANS (Link befindet sich außerhalb von ibm.com) haben IR-Richtlinien zusammengestellt, die sich bereits bewährt haben. Es gibt einige zentrale Aspekte eines jeden Reaktionsplans.
Vorhandene Sicherungen. Offline-Sicherungen sind bei einer Ransomware-Attacke entscheidend. Stellen Sie sicher, dass Sie wissen, wo diese Sicherungen sind und wie Sie Ihre Systeme wiederherstellen können. Nehmen Sie in Ihren Reaktionsprozess auf, an wen Sie sich für jedes Ihrer kritischen IT-Assets wenden können.
Identifizierung von Teams, Tools und Rollen. Wenn die Ransomware die verschiedenen Phasen von der ersten Infizierung bis zur Verschlüsselung durchläuft, ändert sich die Struktur des Reaktionsteams. Dies bedeutet in der Regel, dass mehr Personen im gesamten Unternehmen einbezogen werden müssen. Oftmals müssen auch andere Anbieter zur Unterstützung herangezogen werden. Und im Falle einer Sicherheitsverletzung müssen die Rechtsabteilung, externe Aufsichtsbehörden und Kunden informiert werden. Zu wissen, wer wann zu kontaktieren ist, ist entscheidend. Es ist wichtig, eine aktuelle Kontaktliste zu pflegen, aber entscheidend für eine effektive Reaktion ist es, diese Kontaktpersonen in Ihren Prozess zu integrieren. Papier und PDFs sind ausreichend. Wichtig ist jedoch, dass Sie über die richtigen Tools und entsprechende Automation verfügen, die dem gesamten Team Zugang zum Ransomware-Reaktionsprozess, zu Aktionen und zur Langzeitdokumentation geben.
Ein gut definierter Prozess und Automation. Ein Reaktionsprozess kann viele Aufgaben enthalten und mehrere Entscheidungspunkte umfassen. Es empfiehlt sich, Ihren Prozess an den Phasen auszurichten, die von NIST und SANS beschrieben werden. Sie können Ihren Reaktionsprozess zum Beispiel nach den folgenden Phasen organisieren:
- Erkennung und Identifikation
- Aufbereitung und Überprüfung
- Eindämmung und Korrektur
- Recovery und Mitteilung
QRadar SOAR bietet Playbooks, mit denen Sie Ihren Reaktionsprozess definieren und die vielen Aktionen automatisieren können, die ein Analytiker für ein schnelles Durchlaufen der einzelnen Phasen ausführen muss. QRadar SOAR Breach Response kann die notwendigen Aufgaben für die Meldung an die Aufsichtsbehörden auf der Grundlage der exponierten persönlichen Informationen erstellen.
Inventar der IT-Assets, Berechtigungsinhaber und persönlichen Informationen. Wenn ein System infiziert ist, muss ein Sicherheitsanalyst den Systemverantwortlichen sowie die Anwendungen und Daten kennen. Asset-Management-Lösungen wie ServiceNow oder SAP können dabei helfen, die Kontakte für Systeme zu verwalten. IBM Security® Discover and Classify kann Ihnen dabei helfen, Datenquellen und persönliche Informationen in jeder Quelle zu finden. So wissen Analytiker im Falle eines Datenschutzverstoßes, ob irgendwelche Verordnungen betroffen sind.
Die Stadt Los Angeles, das LA Cyber Lab und IBM haben ihre Kräfte gebündelt, um Bedrohungsdaten bereitzustellen und gefährdete lokale Unternehmen zu schützen.
Die Integration von Daten, die Analyse von Protokollen und die Priorisierung von Vorfällen hilft dem vietnamesischen Immobilieninvestitions- und Entwicklungsunternehmen, Sicherheitsbedrohungen zu erkennen und darauf zu reagieren.
Durch das Hosting einer QRadar SIEM-Lösung auf einem hochleistungsfähigen IBM FlashSystem®-Speicher bietet Data Action (DA) alternativen Banken mehr Sicherheit.
Die Erkennung von Bedrohungen von der Mitte bis zum Endpunkt mit QRadar SIEM schützt Ihr Unternehmen in vielerlei Hinsicht.
Integrieren Sie die Lösungen von IBM Security zur Suche nach Cyberbedrohungen in Ihre Sicherheitsstrategie, um Bedrohungen schneller abzuwehren und zu mindern.
Integrieren Sie Compliance-Pakete in QRadar SIEM, um die Einhaltung von Vorschriften sicherzustellen und die Berichterstattung zu automatisieren.
Stoppen Sie Cyberangriffe schnell mit der Erkennung von Bedrohungen nahezu in Echtzeit durch QRadar SIEM.