Vectra Networks stellt Ransomware-Erkennung für Firmen vor

Rainer Schneider,
Vectra Networks (Screenshot: silicon.de)

Dazu hat der Sicherheitsanbieter seine X-Series-Plattform um Algorithmen erweitert, die direkt gerade stattfindende Attacken von Erpressersoftware identifizieren können. Die verhaltensbasierende Erkennung soll unter anderem in der Lage sein, alle bekannten und neuen Cryptolocker-Varianten zu erfassen.

Der Sicherheitsanbieter Vectra Networks hat seine X-Series genannte, zentrale Angriffserkennungsplattform um Algorithmen zur Identifizierung von Attacken mit Erpresser-Software erweitert. Die Plattform soll dadurch stattfindende Ransomware-Angriffe auf ein Unternehmen unmittelbar erfassen und verhindern können, dass Daten von einem oder mehreren Computern aus dem Firmennetzwerk verschlüsselt sowie der Zugriff darauf – im günstigsten Fall – nur nach Zahlung eines Lösegeldes an den Hacker erfolgen kann.

vectra networks (Screenshot: silicon.de)

“Zwei Dinge machen Ransomware besonders lohnenswert für Cyberkriminelle. Zum einen können sie das Lösegeld in Bitcoin fordern – also in einer anonymen Währung, deren Zahlung nicht nachvollzogen werden kann. Zum anderen können sich die Angreifer sicher sein, dass die Daten einen beträchtlichen Wert für das betroffene Unternehmen haben”, erklärt Mike Banic, Vice President Marketing, bei Vectra Networks.

“Im Gegensatz zu anderen Angriffsmodellen müssen sich die Hacker hierbei nicht darum bemühen, die Daten aus dem Netzwerk zu schleusen und auf dem Schwarzmarkt zu verkaufen”, ergänzt Oliver Tavakoli, Chief Technical Officer bei Vectra Networks, in einer Pressemitteilung. Unternehmen, die kein Backup implementiert hätten, müssten folglich die geforderten Summen zahlen oder entsprechende Konsequenzen in Kauf nehmen, was ihnen jedoch die operative Existenzgrundlage entziehen könne.

Die nun erweiterte Vectra-Lösung erkennt eine Verschlüsselung von im Netzwerk befindlichen Daten laut Anbieter binnen weniger Sekunden, indem sie für diese Angriffe typische Verhaltensmuster unmittelbar identifiziert. “Unsere Lösung erkennt, wenn jemand die Kontrolle über einen Host im Firmen-Netzwerk aus der Ferne übernimmt. Dazu benötigt sie weder Regeln noch Signaturen oder Reputationslisten”, führt Banic aus. Dazu lasse sich die Anti-Ransomware-Lösung mit der sogenannten Canary-File-Abwehrmaßnahme koppeln.

ransomeware-shutterstock-carlos-amarillo (Bild: Shutterstock / Carlos Amarillo)

“Wie wir wissen, geht ein Erpressertrojaner für gewöhnlich sequenziell vor, wenn er ein Unternehmensnetz angreift. Das heißt, er nimmt an, dass ein Netzlaufwerk stets mit dem Laufwerksbuchstaben D:/ beginnt. Entsprechend fängt er dort an, alle möglichen Dateien zu verschlüsseln und macht dann mit Laufwerk E:/ weiter. Wir empfehlen daher, ein Netzlaufwerk mit wichtigen Daten beispielsweise mit einem Laufwerksbuchstaben zu versehen, der sich am Ende des Alphabets befindet, und das standardmäßige Laufwerk D:/ mit 1 TByte an sinnlosen Dummy-Daten, also Müll, aufzufüllen”, sagt Banic.

Dadurch dauere es eine Weile, bis die Ransomware mit dem Laufwerk E:/ fortfahren könne, das dann die wichtigen Daten enthalte. Auf diese Weise könnten bereits die ersten Anzeichen eines Erpressersoftware-Angriffs ausgemacht und dieser unterbunden werden, bevor größerer Schaden entsteht.

vectra-x-series-ransomware (Screenshot: silicon)
Die neu zur X-Series-Plattform von Vectra Networks hinzugefügten Algorithmen zur Ransomware-Erkennung erfassen unter anderem, wenn ein Erpressertrojaner gerade dabei ist, Dateien im Firmennetz zu verschlüsseln. (Screenshot: silicon)

Dank der nun verfügbaren Erweiterung soll die Vectra-Lösung die Verschlüsselung von Daten im gesamten Netzwerk erkennen und auch potenziell kriminelle Angriffstaktiken ermitteln, etwa die Kommunikation über Command-and-Control-Server (C&C) oder sogenannte Reconnaissance-Techniken, mit welchen ein Firmennetzwerk zunächst einmal ausgekundschaftet werden soll.

Die X-Series-Plattform identifiziert diese unerlaubten Vorgänge laut Vectra Networks automatisch, priorisiert Risiken und gibt dem IT-Sicherheitspersonal unmittelbar zu Beginn des Angriffs gezielte Hinweise, um die Schäden für die Firma möglichst gering zu halten.

Das Unternehmen soll grundsätzlich alle bekannten Varianten der Ransomware Cryptolocker erkennen können – und selbst modifizierte oder unbekannte Versionen davon erfassen. Zu den bereits identifizierten Erpressungstrojanern gehören Vectra Networks zufolge unter anderem HydraCrypt, CTB Locker, CryptoWall sowie Locky.

Die Ransomware-Erweiterung ist ab Version 2.5 der X-Series-Plattform sowie allen darauf folgenden Versionen enthalten. Bei Bestandskunden wurde ein entsprechendes Update bereits vorgenommen, wie der Anbieter mitteilt.

Ausgewählte, passende Whitepaper: