Neue CyberArk-Studie analysiert das Verhalten von Ransomware
CyberArk, ein in Petach Tikvah (Israel) ansässiges Sicherheitsunternehmen, hat eine neue, detaillierte Studie zu Ransomware veröffentlicht.
Im Rahmen der Studie hat das CyberArk Research Lab mehr als 23.000 im Netz aktive Samples weit verbreiteter Ransomware-Familien analysiert, um Erkenntnisse über das typische Verhalten der Schadsoftware zu erhalten. Aus den Verhaltensmustern wurden Strategien abgeleitet, die dabei helfen, die Auswirkungen eines Angriffs einzudämmen.
Ransomware ist eine häufige und zunehmende Gefahr, vor allem für Unternehmen. Im Jahr 2015 wurden fast 407.000 Versuche von Ransomware-Infektionen registriert und mehr als 325 Millionen US-Dollar von den Opfern erpresst – Tendenz steigend. Um charakteristische Merkmale bei der Infektion, der Verschlüsselung und beim Entfernen herauszufinden, hat das CyberArk Research Lab mehr als 30 weit verbreitete Malware-Familien, darunter auch Cryptolocker, Petya und Locky analysiert.
Die Studie „Analyse von Ransomware und mögliche Strategien zur Eindämmung“ hat folgende Schwerpunkte:
- Untersuchung des Ablaufs der Infektion im Netzwerk und Analyse der Gründe beziehungsweise Auslöser für die Ausführung von Ransomware bis hin zur Verschlüsselung.
- Diskrepanzen und Gemeinsamkeiten bei der Ausführung von Ransomware in Abhängigkeit von Zugriffsrechten auf das lokale Administratorkonto, das Benutzerkonto oder Verschlüsselungs-Keys.
- Entwicklung von Eindämmungs- und Schutz-Strategien, unter Einbeziehung von Endpunkt-Security, Best-Practice-Backup-Vorgehensweisen und Anwendungssteuerung, um das Risiko von Ransomware-Infektionen für Unternehmen zu senken.
Eine Schlüsselerkenntnis war, dass der Schutz zu 100 Prozent effektiv ist, wenn die lokalen Administratorrechte entfernt werden und zugleich eine Anwendungssteuerung mit Greylisting aktiv ist. Die hohe Bewertung dieses Ansatzes ergab sich im Vergleich mit der Effizienz der anderen Eindämmungsstrategien – unter anderem mit traditioneller Antiviren-Software.
Die Experten fanden weiter heraus, dass es eine große Zahl moderner Malware gibt, die lokale Administratorrechte erfordert, um richtig zu funktionieren. Daneben existiert aber auch eine große Zahl, die diese Rechte nicht braucht. In Zahlen: 70 Prozent der Ransomware versuchen, sich Administratorrechte anzueignen. Erhielt sie die Rechte nicht, wurden davon aber trotzdem 90 Prozent ausgeführt.
Es zeigt sich, dass sich Ransomware unterschiedlich verhält. Unternehmen sollten daher lokale Administratorrechte stets entfernen und mit der Anwendungssteuerung kombinieren, um eine Verschlüsselung durch die Schadsoftware zu verhindern.
„Ransomware stellt sich für Angreifer als zuverlässige und geeignete Methode dar, Unternehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder – in der Hoffnung die Daten wiederzubekommen – den Kidnapper zu bezahlen“, sagt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. „Bei der Analyse des typischen Verhaltens von Ransomware erhielten wir entscheidende Erkenntnisse darüber, was man gegen diese Attacken unternehmen kann. Die klassischen Antiviren-Lösungen sind bei der Abwehr von Ransomware nicht effektiv. Es ist deshalb nötig, einen proaktiven Ansatz bei der Absicherung von Endpunkten und Servern zu verfolgen, denn nur so lässt sich ein Unternehmen gegen Malware schützen, die sich rasant verbreitet und verändert.“
Untersuchungen des CyberArk Research Lab legen ihren Schwerpunkt auf gezielte Attacken auf Unternehmensnetze. Dabei kommen die Methoden, Werkzeuge und Techniken von Hackern genauso zum Einsatz wie Techniken und Methoden, solche Attacken zu entdecken und einzudämmen.
Über CyberArk
CyberArk (NASDAQ: CYBR) ist auf den Schutz vor fortschrittlichen Cyber-Attacken spezialisiert, die Schwächen in der Berechtigungsvergabe für privilegierte Zugriffe auf IT-Systeme ausnutzen und damit das Unternehmen direkt ins Herz treffen. Rund ein Drittel der DAX-30- und 20 der Euro-Stoxx-50-Unternehmen nutzen die Lösungen von CyberArk zum Schutz ihrer kritischen Daten, Infrastrukturen und Anwendungen. Das Unternehmen hat seinen Hauptsitz in Petach Tikvah (Israel) und Newton (Massachusetts, USA) und verfügt über weltweite Niederlassungen. In Deutschland ist CyberArk mit einem Standort in Düsseldorf vertreten. Weitere Informationen unter www.cyberark.de, im Unternehmens-Blog unter www.cyberark.com/blog, auf Twitter unter @CyberArk, auf Facebook unter www.facebook.com/CyberArk sowie auf Xing unter www.xing.com/companies/cyberarksoftwaregmbh.
Weitere Informationen
CyberArk
Nick Bowman
Sr. Manager, EMEA & APJ Corporate Communications
+44 7841 673378
nick.bowman@cyberark.com
PR-COM GmbH
Sandra Hofer
Account Director
Tel. +49-89-59997-800
sandra.hofer@pr-com.de
www.pr-com.de