Ransomware ist längst in aller Munde und Teil der täglichen Berichterstattung. Die Digital-Forensics- und Incident-Response-Spezialisten der Oneconsult werden regelmässig gebeten, Hintergrundinformationen zu solchen Cyberangriffen zu präsentieren, diese zu diskutieren und die aktuelle Bedrohungslage zu thematisieren. Ein zentrales Element dabei ist aufzuzeigen, dass alle Branchen, Unternehmensgrössen und Privatpersonen von Ransomware-Angriffen und den damit verbundenen Gefahren betroffen sind.
Mit den nachfolgenden Referenzen können Sie sich über die aktuellen Aktivitäten von Ransomware-Gruppen informieren.
Wo finde ich Informationen zu neuen Ransomware-Angriffen?
Auf Twitter können Sie sich besonders gut über Ransomware-Gruppen auf dem Laufenden halten. Über die neuesten vermuteten und verifizierten Angriffe tweeten zum Beispiel die folgenden Konten:
Eine Suche nach dem Twitter Hashtag «#ransomware» bringt viele weitere Beiträge und Meinungen zum Thema ans Licht. Aber Vorsicht, die schiere Menge an neuen Tweets kann schnell auf das Gemüt schlagen und Ihnen wertvolle Zeit für die eigentliche Verteidigung gegen solche Gefahren stehlen.
Als Mittelweg empfiehlt sich die wöchentliche Artikelreihe «The Week in Ransomware» von BleepingComputer.com. Diese fasst die aktuellen Trends zusammen und gibt einen aktuellen Überblick über die spannendsten Ransomware-Angriffe – ideale Kost zum Querlesen zum Start der Woche.
Welche Ransomware-Gruppe war’s?
Haben Sie sich schon einmal gefragt, welche Ransomware-Gruppe für einen Angriff verantwortlich ist? Neben vielen kostenpflichten Intelligence-Diensten ermöglichen Ihnen ransom.wiki und ransom-db.com die kostenfreie Suche nach den Namen betroffener Organisationen. Als Resultat erhalten Sie neben diversen Metainformationen den Namen der verantwortlichen Ransomware-Gruppe.
Wie nutze ich dieses Wissen für meine IT-Sicherheitsaktivitäten?
Die Liste der aktuell von Ransomware betroffenen Unternehmen ist ein wertvolles Werkzeug zur Steigerung des Bewusstseins rund um Cybersicherheit. Besonders eindrücklich ist es jeweils, in einer Präsentation Twitter aufzurufen und die letzten Meldungen zu diskutieren. Hierzu eignet sich auch die Ransomware-Statistics-Seite von ransom-db.com gut, die einen groben Eindruck der Herausforderung und Situation verschafft.
Die Beobachtung, welche Ransomware-Gruppen in Ihrer Branche besonders häufig auftreten oder besonders aktiv sind, können Sie zur Verbesserung Ihrer Schutzmassnahmen nutzen. Diverse Sicherheitsunternehmen und staatliche Organisationen veröffentlichen zu vielen der bekannten Ransomware-Gruppen Informationen zu den TTPs (Tactics, Techniques, and Procedures) und IOCs (Indicators of Compromise). Diese können Sie anschliessend zum Beispiel für folgende IT-Sicherheitsaktivitäten nutzen:
- Falls Sie ein SIEM nutzen, können Sie überprüfen, ob Sie für die beschriebenen TTPs passende SIEM Use Cases bzw. Detektionsregeln haben. Sie können sich die Frage stellen: Protokollieren wir ausreichend, um die TTPs aufdecken zu können, und wird ein Alarm ausgelöst, wenn sie entdeckt werden?
- Sie können in einem Red-Teaming-Projekt einen Angriff der relevanten Ransomware-Gruppen nachstellen und das Zusammenspiel Ihrer Sicherheitsmassnahmen testen.
- Die TTPs und IOCs geben Ihnen Hinweise auf das aktuelle Vorgehen der Angreifer. Mit diesen Informationen – im Besonderen in Kombination mit MITRE ATT&CK (Blogbeitrag: So hilft Ihnen das MITRE ATT&CK Framework Ihr Unternehmen sicherer zu machen) – können Sie Lücken in Ihren Schutzmassnahmen feststellen. Im Idealfall haben Sie überlappende Sicherheitsmechanismen (z. B. Antimalware-Software und Security Monitoring) im Einsatz, die jede Aktivität der Angreifer identifizieren können, diese erschweren und Alarm schlagen.
- Bei einer Incident-Response-Übung können Sie die Reaktion auf eine erfolgreiche Kompromittierung durch diese Ransomware-Gruppen trocken üben. Dies erlaubt Ihnen, die organisatorische Bereitschaft zu testen und mit Ihrem Incident Response Team die effiziente Bewältigung zu trainieren.
Falls Sie mehr über Ransomware-Gruppen, deren Publikationen im Darknet oder die aktuelle Bedrohungslage erfahren möchten, zögern Sie nicht mit uns in Kontakt zu treten. Gerne teilen wir unsere Erfahrung und Einschätzungen mit Ihnen. Fragen Sie uns ganz unverbindlich via Kontaktformular an.
DFIR, einfach
Ganz unabhängig, ob Sie als IT-Mitarbeiterin oder -Mitarbeiter tagtäglich IT-Systeme gegen Cyber-Angriffe und deren Nutzer verteidigen oder einfach neugierig sind, wie digitale Forensik funktioniert und Informationssicherheitsvorfälle bewältigt werden: Hier sind Sie richtig! Unter dem Titel «DFIR, einfach» veröffentlichen unsere Expertinnen und Experten des Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) Beiträge, die Sie als freiwillige IT-Security-Feuerwehr in Ihrem Unternehmen weiterbilden. Jeder Beitrag bringt Ihnen ein Werkzeug, einen Prozess oder Erkenntnisse aus den Informationssicherheitsvorfällen anderer Unternehmen näher. Mit grundlegendem IT-Verständnis und einer guten Prise Neugier sind Sie hier richtig. Übrigens, «DFIR» steht für «Digital Forensics & Incident Response» und unsere Beiträge fokussieren sich auf pragmatische, im Alltag anwendbare und kostengünstige Ansätze – ganz im Sinne der Blog-Reihe: DFIR, einfach.
DFIR, einfach – Reihe
- DFIR, einfach: Hinter dem Link – ein Blick ins Dunkle
- DFIR, einfach: Wen ruft man im Cyberernstfall?
- DFIR, einfach: Bitcoin-Adresse als Quelle zusätzlicher Hinweise
- DFIR, einfach: Antivirenprogramm als Kanarienvogel in der Mine
- DFIR, einfach: Analyse von PDF-Dateien
- DFIR, einfach: Analyse von Office-Makros