So läuft eine Ransomware-Attacke ab
Aus Sicht des Opfers
Die Waffe gegen einen Ransomware-Angriff heißt: Managed Threat Response. Das Tool ermöglicht eine einzigartige Perspektive auf die realen Abläufe eines Cyberangriffs. Sophos gibt einen Einblick in die Sicht des Opfers und widerlegt einen typischen Denkfehler: Ransomware ist nicht der Beginn, sondern das Finale einer Attacke.
(Bild: ©PR Image Factory/stock.adobe.com)
Keine Organisation möchte Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken gibt, ist es wahrscheinlich, dass Angreifer diese finden und ausnutzen werden. Dabei kann es Monate oder sogar noch länger dauern, bis das Opfer den Angriff überhaupt bemerkt. Sogenannte Incident Responder können Unternehmen dabei helfen, Angriffe und deren Auswirkungen zu identifizieren, zu blockieren und abzuschwächen. Ein solches Monitoring ermöglicht außerdem eine genaue Analyse von Angriffsmustern und im Ergebnis eine hautnahe Betrachtung, wie Cyberkriminalität tatsächlich die Opfer trifft.
Angreifer werden geschickter
Angreifer sind immer geschickter darin, sich zu tarnen. Daher sind verschiedene Sicherheitslevel notwendig, die die Angriffskette an unterschiedlichen Orten durchbrechen. Während die initiale Verletzung automatisiert abläuft, nutzen Hacker im Anschluss beispielsweise legitime IT-Werkzeuge, wie z.B. Netzwerk-Scanner, für ihre Zwecke, um Sicherheitstechnologien zu umgehen und sich lateral durch das Netzwerk zu bewegen. Die Herausforderung für Opfer liegt darin, dass IT-Sicherheitsteams besonders wachsam bei der Bewertung von Tools sein müssen, die legitim und deswegen aber auch beliebt und häufig gebräuchlich bei Angreifern sind. Zudem kompromittieren Angreifer regelmäßig bestehende Administrator-Accounts, um sich vor aller Augen zu verstecken. Werden sie in ihren Angriffen gestoppt, versuchen sie etwas anderes. Und hier offenbart sich einer der bedeutendsten und durch die Opfer immer noch zu sehr unterschätzter Aspekt von Cyberkriminalität: Man kämpft nicht gegen Malware-Code, sondern gegen Menschen.
Ransomware-Meldung als Finale
Laut Incident Respondern glauben viele Opfer, dass ein Angriff erst kurz vor seiner Sichtbarkeit – z.B. durch die Ransomware-Meldung – erfolgt ist. In der Regel haben sich Angreifer jedoch bereits eine ganze Weile vor diesem Zeitpunkt im Netzwerk aufgehalten. Sie agieren verborgen, scannen das System, installieren Hintertüren und stehlen Informationen. All diese Aktivitäten sind Marker, die geprüft werden müssen, um eine vollständige Wiederherstellung nach dem Angriff zu erleichtern. Der Teil des Angriffs, der am meisten die Alarmglocken klingen lässt, ist das Starten von Ransomware. An diesem Punkt gelingen dem Angreifer alle oben genannten Methoden im Opfer-Netzwerk, so dass er aus seiner Deckung kommen und präsent sein kann. Mit anderen Worten: die Implementierung von Ransomware markiert das Finale eines Angriffs, nicht seinen Beginn.
Das könnte Sie auch interessieren
In diesem Jahr geht der Hermes Award an Siemens. Der Technologiekonzern erhält die Auszeichnung für seinen KI-gestützten Industrial Copilot. ‣ weiterlesen
Am 14. und 15. Mai heißt es in Baden-Württemberg in Heilbronn willkommen zur All About Automation. Zwei Wochen später, am 3. und 4. Juni, öffnet die regionale Fachmesse für Industrieautomation, Robotik und Digitalisierung ihre Tore in Hamburg.‣ weiterlesen
Im Vergleich zum vergangenen Herbst rechnen mehr Unternehmen der Additive-Manufacturing-Branche mit positive Umsätzen. Auch für die nächsten 24 Monate prognostizieren die Unternehmen in der Frühjahrsumfrage ein Wachstum.‣ weiterlesen
Der Gaia-X Hub Deutschland hat einen kostenlosen Online-Campus zur Datenwirtschaft gestartet. Seit dem 31. März können Interessierte die Grundlagen der Datenökonomie sowie die Konzepte von Datenräumen und Datenökosystemen erkunden.‣ weiterlesen
Ein Ziel des AAS Dataspace for Everybody ist es, Unternehmen die Digitalisierung ihrer Fertigung niedrigschwellig zu ermöglichen. Zur Hannover Messe haben die Beteiligten die nächste Entwicklungsstufe des Projekts vorgestellt.‣ weiterlesen
Omron mit Hauptsitz im japanischen Kyoto und Cognizant sind eine strategische Partnerschaft eingegangen. Die Unternehmen wollen die Integration von Informations- und Betriebstechnologie (IT und OT) in der Industrie vorantreiben.‣ weiterlesen
INDUSTRIE 4.0 & IIoT-MAGAZIN Leseprobe
Zeitschrift für Industrie 4.0, Internet of Things & Digitale Transformation
Das ABC der modernen Netzwerksicherheit
NDR, XDR, SOAR: Die Netzwerksicherheit hat in jüngster Vergangenheit zahlreiche neue Ansätze, Begriffe und Abkürzungen hervorgebracht. Das Unternehmen Progress zeigt, was sich dahinter verbirgt.‣ weiterlesen
Cobots, digitale Zwillinge & Co. – erst mit Edge Computing wird’s Realität
Technologien wie Cobots oder digitale Zwillinge sollen für effizientere Prozesse sorgen. Dabei geht es um mehr als nur Software und leistungsfähige Hardware im Shopfloor. Doch ohne die passende Edge-Computing-Plattform wird diese neue Welt nicht funktionieren.‣ weiterlesen
MPDV stellt den Smart Factory Hive vor
MPDV Mikrolab hat mit der Einführung des Smart Factory Hive einen Ansatz entwickelt, um den Herausforderungen moderner IT-Architekturen in der Industrie zu begegnen. Dieses Modell erneuert die konventionelle Automatisierungspyramide und setzt auf ein flexibles, vernetztes System, das die Effizienz und Produktivität in produzierenden Unternehmen signifikant steigert.‣ weiterlesen
Wie CEOs künstliche Intelligenz bewerten
Zum 28. Mal hat die Unternehmensberatung PwC den Global CEO Survey durchgeführt und CEOs weltweit auch zum Thema künstliche Intelligenz befragt. Die Ergebnisse zeigen einige Unterschiede zwischen deutschen und internationalen Unternehmen.‣ weiterlesen
