Das BSI warnt vor einem weltweit breit gestreuten Ransomware-Angriff auf ESXi-Server in Deutschland, Frankreich und vielen weiteren Ländern. Eine genaue Aussage über mögliche Schäden ist nach Angaben der Behörde noch nicht zu treffen, zeigt aber, dass jetzt auch Nicht-Windows-Maschinen in Gefahr sind.
Lothar Geuenich, VP Central Europe / DACH bei Check Point Software Technologies kommentiert dieses Desaster.
Der jüngste Cyberangriff auf tausende Server in Europa und dem Rest der Welt unterscheidet sich deutlich von den Angriffen, von denen man normalerweise in den täglichen Nachrichten hört. Oft werden dabei private Organisationen geschädigt und Datenverletzungen begangen.
Dieser Ransomware-Angriff hat aber potenzielle Auswirkungen, die auf die gesamte Bevölkerung übergreifen und zu nationalen oder sogar globalen Störungen führen können.
Die Ausfälle, die in den letzten Tagen aufgetreten sind, können genau auf diesen Ransomware-Angriff zurückgeführt werden, der nicht nur in europäischen Ländern wie Frankreich und Italien, sondern weltweit eine wachsende Bedrohung darstellt. Bereits im Juli letzten Jahres meldete die ThreatCloud von Check Point Research einen Anstieg von Ransomware um 59 Prozent im Vergleich zum Vorjahr und weltweit.
In Anbetracht dieses Anstiegs und des gestern gemeldeten Angriffs ist es angebracht, erneut darauf hinzuweisen, dass die Vorbeugung von Cyber-Bedrohungen oberste Priorität für Unternehmen und Organisationen haben muss.
Diese massive Attacke auf ESXi-Server gilt zudem als einer der umfangreichsten Cyberangriffe, die jemals auf Nicht-Windows-Maschinen gemeldet wurden. Was die Situation noch besorgniserregender macht, ist die Tatsache, dass Ransomware-Angriffe bis vor kurzem auf Windows-basierte Rechner beschränkt waren. Die Angreifer haben erkannt, wie wichtig Linux-Server für die Systeme von Institutionen und Organisationen sind.
Die Cyberkriminellen nutzen die Schwachstelle CVE-2021-21974 aus. Eine Sicherheitslücke, die bereits im Februar 2021 gemeldet wurde. Was die Auswirkungen jedoch noch verheerender machen kann, ist die Nutzung dieser Server, auf denen in der Regel andere virtuelle Server laufen. Daher ist der Schaden wahrscheinlich weitreichender, als wir uns vorstellen können.
Wie Sie die nächste Ransomware-Attacke verhindern können
- Aktuelle Patches
Computer und Server sollten immer auf dem neuesten Stand gehalten und Sicherheits-Patches angewendet werden.
- Software auf dem neuesten Stand halten
Ransomware-Angreifer finden manchmal einen Einstiegspunkt in Anwendungen und Software, bemerken Schwachstellen und nutzen sie aus. Glücklicherweise suchen einige Entwickler aktiv nach neuen Schwachstellen und schließen diese mit Patches aus. Unternehmen benötigen eine Patch-Management-Strategie, um sicherzustellen, dass alle Systeme stets auf dem neuesten Stand sind.
- Intrusion-Prevention-Systeme (IPS) verwenden
Intrusion-Prevention-Systeme erkennen oder verhindern Versuche, Schwachstellen in anfälligen Systemen oder Anwendungen auszunutzen, und schützen so vor Ausnutzung der neuesten Bedrohungen.
Unternehmen sollten eine Firewall mit IPS implementieren, die sich automatisch aktualisiert und das Unternehmen entsprechend reaktionsschnell schützt - unabhängig davon, ob die Schwachstelle vor Jahren oder vor ein paar Minuten veröffentlicht wurde.
- Prävention vor Erkennung
Viele behaupten, dass Angriffe irgendwann erfolgreich sind und dass es keine Möglichkeit gibt, sie zu verhindern. Daher bleibt nur die Investition in Technologien, die den Angriff erkennen, wenn er bereits in das Netzwerk eingedrungen ist, um den Schaden so schnell wie möglich zu mindern.
Dies ist nicht richtig. Angriffe können nicht nur blockiert, sondern auch verhindert werden, einschließlich Zero-Day-Angriffe und unbekannte Malware. Mit den richtigen Technologien können die meisten Angriffe, selbst die fortschrittlichsten, verhindert werden, ohne den normalen Geschäftsablauf zu unterbrechen.
- Robuste Datensicherung
Das Ziel von Ransomware ist es, das Opfer zur Zahlung eines Lösegelds zu zwingen, damit es wieder Zugriff auf seine verschlüsselten Daten erhält. Dies ist jedoch nur wirksam, wenn das Ziel den Zugriff auf seine Daten verliert. Eine robuste, sichere Datensicherungslösung ist ein wirksames Mittel, um die Auswirkungen eines Ransomware-Angriffs abzuschwächen.
Wenn die Systeme regelmäßig gesichert werden, sollte der Datenverlust durch einen Ransomware-Angriff minimal oder gar nicht vorhanden sein. Es muss jedoch sichergestellt werden, dass die Datensicherungslösung nicht ebenfalls verschlüsselt werden kann. Die Daten sollten daher in einem schreibgeschützten Format gespeichert werden, um die Verbreitung von Ransomware auf Laufwerke mit Wiederherstellungsdaten zu verhindern.
- Anti-Ransomware-Lösungen
Die oben genannten Maßnahmen zur Prävention können zwar dazu beitragen, die Gefährdung eines Unternehmens durch Ransomware-Bedrohungen zu verringern, sie bieten jedoch keinen perfekten Schutz. Einige Täter verwenden gut recherchierte und sehr gezielte Spear-Phishing-E-Mails als Angriffsvektor.
Diese E-Mails können selbst die sorgfältigsten Mitarbeiter austricksen und dazu führen, dass Ransomware Zugriff auf die internen Systeme eines Unternehmens erhält. Der Schutz vor dieser Ransomware, die „durch die Maschen schlüpft", erfordert eine spezielle Sicherheitslösung.
Um ihr Ziel zu erreichen, muss Ransomware bestimmte anomale Aktionen durchführen, wie das Öffnen und Verschlüsseln einer großen Anzahl von Dateien. Anti-Ransomware-Lösungen überwachen Programme, die auf einem Computer laufen, auf verdächtige Verhaltensweisen, die häufig von Ransomware gezeigt werden. Wenn diese Verhaltensweisen erkannt werden, kann das Programm Maßnahmen ergreifen, um die Verschlüsselung zu stoppen, bevor weiterer Schaden entsteht.