Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Letzte Woche in Ransomware: die Woche vom 21. Juni

Ransomware in den Nachrichten Als Darkside ihren Ransomware-Angriff auf die amerikanische Infrastruktur startete, erregte die Gruppe die Aufmerksamkeit der US-Strafverfolgungsbehörden, was schließlich zu ihrer Auflösung im Mai führte. Dies hat...
Michael Raymond
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    Ransomware in den Nachrichten

    Als Darkside ihren Ransomware-Angriff auf die amerikanische Infrastruktur startete, erregte die Gruppe die Aufmerksamkeit der US-Strafverfolgungsbehörden, was schließlich zu ihrer Auflösung im Mai führte. Dies hat jedoch andere Gruppen nicht davon abgehalten, sich als Darkside auszugeben und gefälschte Darkside-Erpresser-E-Mails an Unternehmen in der Energie- und Lebensmittelbranche zu senden.

    In einer aktuellen Studie von Cybereason wurde festgestellt, dass 80 % der Unternehmen, die ein Lösegeld gezahlt haben, letztendlich von einem zweiten Angriff betroffen waren, wobei die Hälfte davon erneut von derselben Gruppe angegriffen wurde. Es ist leicht zu verstehen, warum es verlockend sein könnte, ein Lösegeld zu zahlen, denn das FBI berichtet von einem Anstieg der Gesamtverluste durch Ransomware im Jahr 2020 um 225 %. Doch wenn man der Cybereasons-Studie glauben schenkt, ist es keine langfristige Lösung, einfach das Lösegeld zu zahlen.

    „In nur einer Stunde bringe ich Ihnen die Grundlagen von Ransomware bei und was Sie tun können, um sich darauf vorzubereiten und dagegen zu schützen.“

    Es gibt gute Nachrichten: Die ukrainische Polizei hat 21 Wohnungen im Zusammenhang mit der Ransomware-Bande Clop durchsucht und dabei sechs Personen festgenommen.

    Und dieser Fall wird Ihnen sicher noch in den Sinn kommen, wenn Sie das nächste Mal Ihren Computer zur Reparatur bringen: Die südkoreanische Polizei hat einen Computerreparateur verhaftet, der Ransomware hergestellt und verbreitet hat. Es wird vermutet, dass durch den Betrug über 300.000 Dollar an Ransomware-Zahlungen erzielt wurden.

    Auf dem jüngsten Gipfel zwischen Biden und Putin wurde über Cyber-Bedrohungen gesprochen, einschließlich Ransomware. Hier vertrat Biden den Standpunkt, dass bestimmte Sektoren, die für ein Land von entscheidender Bedeutung sind, nicht Ziel solcher Angriffe werden dürfen. Was genau diese Gespräche bringen werden und welche realen Maßnahmen ergriffen werden, bleibt zu sehen.

    Ransomware-Forschung

    Jüngste Untersuchungen zeigen, dass die „GOLD WINTER“-Gruppe möglicherweise die Ransomware Hades betreibt und sich auf große und lukrative Ziele konzentriert, die sonst von opportunistischeren Ransomware-Gruppen ignoriert werden. Die Abwesenheit von Hades in Foren und auf Marktplätzen hat Secureworks zu dem Schluss gebracht, dass es sich um private Ransomware handelt. Und die Tor-basierten Websites, die für Hades verwendet werden, scheinen darauf hinzudeuten, dass es für jedes Opfer individuell angepasst wird. Die Ransomware verwendet zwei Zugriffsvektoren für den Anfang. Der erste sind gestohlene Anmeldedaten, die für den Zugriff auf ein VPN ohne Zwei-Faktor-Authentifizierung verwendet werden, und der andere ist SocGholish, eine Malware, die mit gefälschten Browser-Updates arbeitet. Der Blog-Beitrag geht sehr detailliert auf die Hades-Ransomware und die Gruppen ein, die sie einsetzen.

    Prodaft hat auch einen ausführlichen Bericht über die LockBit-Ransomware veröffentlicht. Lockbit ist ein relativ neues Ransomware-Programm, das in den letzten Monaten an Popularität gewonnen hat und mit einem Ransomware-as-a-Service-Modell arbeitet.

    Red Team Ransomware 

    Ransom0 ist eine gut gewartete Open-Source-Ransomware auf Python-Basis, die auf GitHub gehostet wird. Sie bietet alle Standardfunktionen, die man von Ransomware erwarten würde, einschließlich der Suche nach Dateien, deren Verschlüsselung sowie dem Senden von Daten und der Möglichkeit, die Daten zu entschlüsseln. Dadurch ist sie ein potenziell sehr nützliches Werkzeug für Red Teams oder andere Sicherheitsprüfungsteams, um zu testen, wie die Teilnehmer auf einen Ransomware-Angriff reagieren würden.

    Es handelt sich um ein einfaches Ransomware-Programm, das frei und offen auf GitHub verfügbar und komplett in Rust geschrieben ist. Es verwendet eine Reihe von Anti-Reversing-Techniken und die standardmäßige AES-Verschlüsselung. Starten Sie eine virtuelle Umgebung und testen Sie, wie gut Ihr System gegen eine Rust-basierte Ransomware ankommt.

    Schutzmaßnahmen für das Blue Team

    Die Gruppe, die hinter der Avaddon-Ransomware steckt, scheint verschwunden zu sein, nachdem sie von den Strafverfolgungsbehörden in den USA und Australien zu sehr unter die Lupe genommen wurde. Dadurch bleiben einige Opfer potenziell ohne eine Möglichkeit zurück, wieder Zugriff auf ihre Dateien zu erhalten. Wenn Ihre Dateien von Avaddon betroffen sind, das mit AES-256 und RSA-2048 verschlüsselt, dann sollte dieser Emsisoft-Decrypter Ihr Problem kostenlos lösen können.

    Mit dem AWS-Self-Service-Tool zur Sicherheitsbewertung, bereitgestellt vom Team von Amazon Web Services, können Kunden mithilfe der Open-Source-Projekte „Prowler“ und „ScoutSuite“ schnell Sicherheitsprüfungen durchführen.

    KilledProcessCanary ist ein einfaches Programm, das eine Reihe von Prozessen erzeugt, die sich gegenseitig überwachen. Es geht von der Hypothese aus, dass bestimmte Ransomware-Programme Dienste anhalten, wenn sie den Verschlüsselungsprozess beginnen. Wenn dies erkannt wird, feuert es ein Canary-DNS-Token ab, um Sie zu benachrichtigen. KilledProcessCanary sollte sicherlich nicht Ihre erste Verteidigungslinie sein, aber das Tool kann Ihnen möglicherweise helfen, einen Ransomware-Angriff abzufangen, bevor alle Dateien komplett verschlüsselt sind.

    Kommende Sicherheitskonferenzen

    CyberSecurity Festival (16., 23. und 30. Juni)

    Das Cybersecurity Festival besteht aus einer Reihe von Präsentationen und Podiumsdiskussionen, die von Branchenexperten veranstaltet werden und die Teilnehmer über grundlegende Fragen der Cybersicherheit aufklären sollen. Die Anmeldung ist kostenlos – warum also nicht teilnehmen?

    Der Cyber Strategy Retreat 2021 (14.–15. Juli)

    Der Cyber Strategy Retreat zielt darauf ab, die Zusammenarbeit zwischen Geschäfts-, Technologie- und Risikomanagement-Führungskräften zu erleichtern. Der Retreat konzentriert sich darauf, über Compliance-orientierte Programme hinauszugehen und Cybersicherheitsrisiken wie Ransomware im größtmöglichen Umfang zu bewältigen.

    International Conference on Cybersecurity 2021 (19.–22. Juli)

    Die International Conference on Cybersecurity (ICCS) wird vom FBI und der Fordham University veranstaltet und bringt Regierung, Privatwirtschaft und Wissenschaft zusammen, um aktuelle Cyberbedrohungen wie Ransomware zu diskutieren.

    BLACK HAT USA 2021 (31. Juli bis 5. August)

    Die Black Hat ist eine der größten jährlichen Sicherheitskonferenzen. Sie ist die Firmenversion von Defcon und daher eine hervorragende Gelegenheit, sich mit Sicherheitsexperten wie dem Varonis-Team vertraut zu machen. Kommen Sie unbedingt an unserem Stand vorbei!

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Raymond
    Michael Raymond

    Michael Raymond ist ein Sicherheitsforscher und Videoproduzent für die YouTube-Kanäle Null Byte und SecurityFWD.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?