Erweiterter Schutz vor Erpressern

Ixia empfiehlt IP-Blockaden gegen Ransomware



Andreas Th. Fischer ist freier Journalist im Süden von München. Er verfügt über langjährige Erfahrung als Redakteur bei verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security,  Betriebssysteme, Netzwerke, Virtualisierung, Cloud Computing und KI. 
Viele Unternehmen stehen vor der Frage, wie sie effektiv gegen Ransomware vorgehen können. AV-Software und Firewalls sind dabei nur ein Teil der nötigen Schutzmaßnahmen. Der Netzwerk- und Security-Anbieter Ixia rät, zusätzlich auch bekannte, bösartige IP-Adressen zu blockieren.

Ransomware bedroht nicht mehr nur vor allem Privatanwender, sondern vermehrt auch Firmen. Nach Angaben von Kaspersky Lab wurde im vergangenen Jahr im Schnitt alle 40 Sekunden ein Unternehmen von erpresserischer Malware angegriffen. Die Zahl neuer Ransomware-Varianten ist 2016 nach Informationen des russischen Sicherheitsanbieters innerhalb weniger Monate von 2.900 auf mehr als 32.000 gestiegen.

Ixia empfiehlt auch den Einsatz von IP-Blockaden gegen Ransomware.
Ixia empfiehlt auch den Einsatz von IP-Blockaden gegen Ransomware.
Foto: Asfia - shutterstock.com

Die Kriminellen entwickeln laufend neue Tricks, um die Infektionsrate zu erhöhen und um ihre illegalen Einnahmen zu steigern. So hat die WannaCry-Welle vor kurzem gezeigt, wie erfolgreich sie dabei teilweise vorgehen. Bisher meist verwendete Tricks wie verseuchte E-Mails können dabei nach Aussage des Netzwerk- und Security-Spezialisten Ixia relativ leicht von Antivirenprodukten und Sandboxen erkannt und gestoppt werden. Neuere Varianten würden aber so entworfen, dass sie diese traditionellen Abwehrmethoden umgehen können.

"Cyber-Kriminelle können den Code von Ransomware unkompliziert ändern und anpassen, so dass er nicht von den Signatur-Datenbanken der Antivirensoftware erkannt wird", sagt Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia. Bis die Signaturen aktualisiert sind, können seiner Aussage nach Tage vergehen. "Während dieser Zeit sind Unternehmen anfällig. Cyber-Kriminelle nutzen das zu ihrem Vorteil."

"Cyber-Kriminelle passen den Code von Ransomware an, so dass er nicht von Antivirensoftware erkannt wird." Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia
"Cyber-Kriminelle passen den Code von Ransomware an, so dass er nicht von Antivirensoftware erkannt wird." Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia
Foto: Ixia

Gefährliche Makros

Laut Ixia beginnt die typische Ransomware-Infektionskette mit einer gezielten Phishing-Mail inklusive Attachment. Diese Datei enthalte ein kleines Makro, das unschädlich erscheine und die eigentliche Ransomware erst noch herunterlädt und dann installiert. Dabei verändern die verwendeten Makros die Dateien noch zusätzlich, so dass sie ungefährlich erscheinen. Selbst von fortgeschrittenen Sandboxen werden diese Tricks nach Angaben des Unternehmens nicht erkannt.

Stattdessen empfiehlt Ixia, sich auf bekannte bösartige IP-Adressen zu konzentrieren und diese zu blockieren. Wenn ein Rechner im Netzwerk eines Unternehmens versuche, Inhalte von einer als gefährlich eingestuften IP-Adresse herunterzuladen, "sind sie normalerweise in der Anfangsphase eines Ransomware-Angriffs". Es sei einfacher und kostengünstiger, bekannte bösartige Adressen mit einem kontinuierlich aktualisierten Threat-Intelligence-Feed zu blockieren und damit sowohl neue Infektionen zu verhindern, als auch bestehende, inaktive Infektionen zu beseitigen. (rw)

Zur Startseite