Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren
itsa 365: Titel des Artikels und eine Art Lupe
  • Fachbeitrag
  • Cloud und Mobile Security

Threat Hunting & Response

Droht ein Ransomware-Angriff? Bei diesen fünf Anzeichen heißt es aufpassen!

Jörg Schindler
Jörg Schindler
PR-Manager Sophos

close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Logo Sophos Technology GmbH
sponsored by Sophos Technology GmbH
Eine Ransomware-Attacke scheint zumeist aus dem Nichts zu kommen. Doch die Experten des Managed Threat Response Teams bei Sophos haben andere Erfahrungen gemacht. Sie haben zahlreiche Ransomware-Angriffe analysiert und geben fünf handfeste Anzeichen für einen potentiell bevorstehenden Angriff. Bei der Kooperation mit Ransomware-Opfern analysiert das MTR-Team von Sophos die letzten ein bis zwei Wochen vor der Entdeckung eines Angriffs. Fällt einer von fünf Indikatoren auf, wird dieser genauer kontrolliert. Jedes dieser Anzeichen ist mit ziemlicher Sicherheit ein Hinweis dafür, dass Angreifer herumgeschnüffelt haben, wie das Netzwerk genau aussieht und wie sie Zugang zu Accounts erlangen können, um eine Ransomware-Attacke zu starten. Angreifer nutzen dabei oftmals legitime Administrator-Werkzeuge, um das Set-up für eine Attacke zu gestalten. Deshalb können die folgenden fünf Tools und Verhaltensmuster oftmals schnell im Tagesgeschäft untergehen und sind leicht zu übersehen. Für das Aufspüren potentieller Ransomware-Attacken sind sie allerdings ganz klar Warnsignale, die unbedingt näher untersucht werden sollten.


Netzwerk-Scanner (besonders auf dem Server).

Die Erpresser starten normalerweise damit, Zugang zu einem Rechner zu bekommen, auf dem sie nach Informationen suchen: handelt es sich um Mac oder Windows, wie lautet der Domain- oder Unternehmens-Name, über welche Admin-Rechte verfügt der Computer etc. Im zweiten Schritt untersuchen sie, welche weiteren Nutzer mit welchen Zugängen auf dem Netzwerk arbeiten. Der einfachste Weg, das herauszufinden, ist ein Netzwerk-Scan. Falls ein entsprechender Scanner wie zum Beispiel AngryIP oder Advanced Port Scanner entdeckt wird, sollte man bei den Administratoren nachfragen. Wenn keiner dieser Scanner offiziell benutzt wird, ist eine nähere Untersuchung Pflicht.


Tools zur Deaktivierung von Antivirus-Software.

Verfügen die Angreifer über Admin-Rechte, werden sie oft versuchen, installierte Sicherheitssoftware zu deaktivieren. Dabei helfen ihnen Applikationen, die bei der erzwungenen Beseitigung solcher Software assistieren, wie Process Hacker, IOBit Uninstaller, GMER oder PC Hunter. Diese kommerziellen Werkzeuge sind legitim, aber in falschen Händen prekär. Sicherheitsteams und Administratoren sollten hellhörig werden, wenn diese Programme plötzlich in ihrem System auftauchen.


Die Präsenz von MimiKatz.

Jeder Hinweis auf das Auftauchen des Tools MimiKatz sollte untersucht werden. Kann sich keiner der Administratoren für den Einsatz des Programms verbürgen, ist das eine tiefrote Warnflagge: MimiKatz ist eines der populärsten Hacking-Werkzeuge für den Diebstahl von Anmeldedaten. Angreifer setzen in diesem Zusammenhang auch auf den Microsoft Process Explorer (enthalten in Windows Sysinternals), ein rechtmäßiges Tool, das den lokalen Sicherheits-Authentifizierungsserver LSASS.exe aus dem Speicher lesen und eine .dmp-Datei erstellen kann. Diese können Angreifer nach dem Export in ihr eigenes System mit MimiKatz bearbeiten, um Benutzernamen und Passwörter zu extrahieren.


Muster ungewöhnlichen Verhaltens.

Jeglicher Systemeingriff zur immer gleichen Zeit oder in einem sich wiederholenden Muster ist ein Indikator dafür, dass noch irgendwo etwas Ungewolltes passiert, selbst wenn schadhafte Dateien entdeckt und entfernt wurden. Sicherheitsteams sollten sich deshalb fragen, warum diese Situation zurückkehrt. Es handelt sich oft um ein Zeichen dafür, dass doch noch ein schädlicher Prozess ausgeführt wird, der nur noch nicht identifiziert ist.


Testangriffe.

Vereinzelt führen Angreifer Testattacken auf ein paar Computer durch, um die Schlagkraft ihrer Angriffsmethode zu überprüfen, oder ob Sicherheitssoftware sie stoppt. Wird die Attacke gestoppt, ändern die Angreifer ihre Taktik und versuchen es erneut. Hacker wissen dann allerdings, dass ihre Zeit begrenzt ist und sie schnell auffliegen können. Deshalb ist es nach erfolglosen Testattacken oft nur eine Frage von Stunden, bis ein weitaus größerer Angriff erfolgt.


Sophos Managed Threat Response.

Genau auf diese Punkte und noch viele andere Indikatoren achtet das sogenannte Threat Hunting and Response als immer wichtigeres Element einer effektiven IT-Security-Strategie Während die zugrundeliegend Technologie Managed Detection & Response (MDR) bislang oftmals Konzernen vorbehalten blieb, lässt Sophos nun auch kleinere Unternehmen dieses Feature realisieren. Der wiederverkäufliche Service bietet Organisationen ein 24/7 verfügbares Sicherheitsteam, um auch hochentwickelte und komplexe Bedrohungen zu neutralisieren. Aufbauend auf Intercept X Advanced mit Endpoint Detection und Reaktion (EDR) fusioniert das Sophos MTR maschinelles Lernen mit Experten-Analyse, um das Auffinden von Bedrohungen zu verbessern, Warnmeldungen gründlicher zu untersuchen und gezielter bei der Eliminierung von Gefahren zu agieren. Die MTR-Funktion lässt sich mit verschiedenen Service-Stufen und Reaktionsmodi individualisieren, um die speziellen Bedürfnisse jeder Organisation zu berücksichtigen. Im Gegensatz zu vielen MDR-Services, die sich auf Monitoring und Warnmeldungen fokussieren, setzt das neue MTR auf schnelle Eskalation und Maßnahmen gegen Bedrohungen, die auf den Präferenzen der Organisation beruhen.
 

Das könnte Sie auch interessieren

Symbolbild: it-sa Infocube (Mann und Frau in einem geschäftlichen Gespräch)
13.03.2024
Wachsende Gefahr: Wie sich die Cloud absichern lässt – Pen-Testing-Experte berichtet

Viele Unternehmen arbeiten inzwischen in der Cloud. Eine enge Verzahnung mit den klassischen Büro...
Experte
27.02.2024
Cloud-Systeme - Sicherheitsrisiken und Schutzmaßnahmen für Unternehmen

Profi-Hacker Philipp Kalweit, CEO der Kalweit ITS GmbH, spricht über die größten Sicherheitsrisik...
search teaser image
29.09.2023
Warum Einblicke für die Sicherheit von Cloud-Anwendungen wichtig sind
search teaser image
29.08.2023
Security360-Report über die Threat Landscape 2023 - die komplette Studie zum Download

Das Team von Jamf Threat Labs analysiert jedes Jahr die größten Bedrohungen, denen die am Arbeits...
search teaser image
08.05.2023
Hacker Powered Security Report

In den letzten sechs Jahren hat HackerOne Hacker befragt, um mehr darüber zu erfahren, wie sie di...
close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.