Emotet, Trickbot, Ryuk - Ein explosiver Malware-Cocktail
Wie kann ein Cyberangriff eigentlich ablaufen? Ist ein Unternehmen ins Visier genommen, verbinden sich Angreifer oft über die Hintertür von Trickbots mit den Unternehmens-Systemen und schauen sich im Netzwerk um. Interne Informationen können einfach abgezogen werden. Nach der "Kapertour" entscheiden die Täter, ob der Zugang zum Netzwerk unauffällig offen bleibt, um die Opfer später weiter auszuspionieren. Wichtige Daten werden dabei verschlüsselt.
Anschließend kommt es oft zur Erpressung. Eine Verschlüsselungssoftware liegt auf dem Server im Kundennetz. Anschließend wird die Aktivierung einer Gruppenrichtlinie vorgenommen, welche die Software von dort gleichzeitig auf alle Server-Systeme kopiert und ausführt. Auf verschlüsselten Systemen liegt eine Erpresserbotschaft, welche die Opfer zu einer Kontaktaufnahme per E-Mail mit den Tätern auffordert. Typischerweise kommt es dabei zu Lösegeldforderungen.
Unser 10 Punkte Plan | Best Practice Ansatz
Antivirenprogramme
Installieren Sie moderne Endpoint Detection & Response Services auf Servern und Computern und führen Sie immer wieder Antiviren-Updates durch.
Netzwerksegmentierung
Implementieren Sie eine angemessene Netzwerksegmentierung zwischen Endgeräten und Servern, Niederlassungen und Produktionsnetzwerken.
Prozesse für Notfallmaßnahmen
Entwickeln Sie Prozesse für eine Netzwerk- und Server-Notabschaltung.
Durchsetzung von Domänenrichtlinien
Implementieren Sie eine starke Workstation Security sowie Domain-Gruppen Richtlinien für alle Computer.
Frühwarnsystem
Aktivieren Sie Ihre Security Information and Event Management Lösungen, um Vorfälle rechtzeitig zu erkennen und automatisiert Gegenmaßnahmen einzuleiten.
Kritische Updates und Patches
Führen Sie regelmäßig Sicherheits- und Software-Updates durch. Überwachen Sie den Update Stand aller Assets fortlaufend.
Awareness
Stellen Sie sicher, dass alle Mitarbeiter angemessene Informationen zu den Gefahren von Phishing und zu Sicherheits-Updates erhalten.
Administrative Berechtigungen
Schränken Sie Admin-Rechte auf die notwendigen Personen ein. Überwachen Sie die Zugriffe auf die Betriebssysteme durch das Frühwarnsystem.
Web- und E-Mail-Schutz
Implementieren Sie Webfiltertechnologien, damit Mitarbeiter keine bösartigen Websites öffnen können. Filterregeln zum Blockieren von Spam und Phishing-Mails sind unerlässlich.
Backup & Managementsysteme
Stellen Sie sicher, dass regelmäßige Daten-sicherungen vorhanden sind und deren Wiederherstellung getestet wird. Überprüfen Sie die Sicherheit der Managementsysteme.
Wir empfehlen jedem Unternehmen, die Strategie für Informationssicherheit regelmäßig auf den Prüfstand zu stellen. Investieren Sie in Awareness, Informationssicherheit und überprüfen Sie regelmäßig die Schwachstellen Ihrer IT.