Ransomware bedroht nicht mehr nur vor allem Privatanwender, sondern vermehrt auch Firmen. Nach Angaben von Kaspersky Lab wurde im vergangenen Jahr im Schnitt alle 40 Sekunden ein Unternehmen von erpresserischer Malware angegriffen. Die Zahl neuer Ransomware-Varianten ist 2016 nach Informationen des russischen Sicherheitsanbieters innerhalb weniger Monate von 2.900 auf mehr als 32.000 gestiegen.
Die Kriminellen entwickeln laufend neue Tricks, um die Infektionsrate zu erhöhen und um ihre illegalen Einnahmen zu steigern. So hat die WannaCry-Welle vor kurzem gezeigt, wie erfolgreich sie dabei teilweise vorgehen. Bisher meist verwendete Tricks wie verseuchte E-Mails können dabei nach Aussage des Netzwerk- und Security-Spezialisten Ixia relativ leicht von Antivirenprodukten und Sandboxen erkannt und gestoppt werden. Neuere Varianten würden aber so entworfen, dass sie diese traditionellen Abwehrmethoden umgehen können.
"Cyber-Kriminelle können den Code von Ransomware unkompliziert ändern und anpassen, so dass er nicht von den Signatur-Datenbanken der Antivirensoftware erkannt wird", sagt Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia. Bis die Signaturen aktualisiert sind, können seiner Aussage nach Tage vergehen. "Während dieser Zeit sind Unternehmen anfällig. Cyber-Kriminelle nutzen das zu ihrem Vorteil."
Gefährliche Makros
Laut Ixia beginnt die typische Ransomware-Infektionskette mit einer gezielten Phishing-Mail inklusive Attachment. Diese Datei enthalte ein kleines Makro, das unschädlich erscheine und die eigentliche Ransomware erst noch herunterlädt und dann installiert. Dabei verändern die verwendeten Makros die Dateien noch zusätzlich, so dass sie ungefährlich erscheinen. Selbst von fortgeschrittenen Sandboxen werden diese Tricks nach Angaben des Unternehmens nicht erkannt.
Stattdessen empfiehlt Ixia, sich auf bekannte bösartige IP-Adressen zu konzentrieren und diese zu blockieren. Wenn ein Rechner im Netzwerk eines Unternehmens versuche, Inhalte von einer als gefährlich eingestuften IP-Adresse herunterzuladen, "sind sie normalerweise in der Anfangsphase eines Ransomware-Angriffs". Es sei einfacher und kostengünstiger, bekannte bösartige Adressen mit einem kontinuierlich aktualisierten Threat-Intelligence-Feed zu blockieren und damit sowohl neue Infektionen zu verhindern, als auch bestehende, inaktive Infektionen zu beseitigen. (rw)