Sonntag, Februar 5, 2023
StartSchützenRansomware - wie sie funktioniert & wie man sie abwehrt

Ransomware – wie sie funktioniert & wie man sie abwehrt

Wenn Sie mehr über den Schutz vor Ransomware erfahren möchten, sollten Sie unseren Blog abonnieren.


Business as Usual

Sie sitzen an Ihrem Lieblingsplatz und arbeiten an Ihrem Laptop, als Sie eine E-Mail erhalten. Zufälligerweise arbeiten Sie bereits eine lange Liste dringender E-Mails ab, also denken Sie: „Was ist schon eine mehr?“. Was Sie nicht Wissen, ist, dass die letzte dringende E-Mail, die Sie erhalten haben, von einem Angreifer gesendet wurde. Dieser Angreifer ist seit Wochen mit einer komplexen BEC-Kampagne (Business Email Compromise) beschäftigt. Bei dieser Kampagne werden Geschäftskonten – wie Ihr M365-Konto – kompromittiert und dann Malware an die Kontakte in der Kontaktliste dieser Konten gesendet.

Die Kontakte wissen gar nicht, dass das Konto des Absenders kompromittiert wurde. Sie lesen die E-Mail des Angreifers und denken, sie stamme von einem vertrauenswürdigen Kontakt. In der E-Mail werden Sie aufgefordert, das angehängte Word-Dokument zu öffnen. Anstatt es zu öffnen, fahren Sie mit dem Mauszeiger über das Dokument, um eine Vorschau des Word-Dokuments zu sehen. Das ist alles, was nötig war, um Ihr Gerät zu infizieren. Die Vorschau des böswillig erstellten Word-Dokuments reichte aus, um die Microsoft-eigene Logik auszunutzen.

Entschuldigung…was ist passiert?

Ransomware schlägt unangekündigt zu. Ein kleines Stück Software, das als Dropper bezeichnet wird, wurde mithilfe von Social Engineering heruntergeladen. Der Sicherheitsforscher Kevin Baumont berichtete darüber auf Twitter und nannte es MS-MSDDT „Follina“.

CVE-2022-30190 ist eine Sicherheitslücke in Microsoft Windows, die die Ausführung von Remotecode über eine Microsoft-eigene Funktion namens „Custom Template“ ermöglicht. Der Sicherheitsforscher John Hammond zeigt die Leistungsfähigkeit von Follina in diesem GitHub-Commit. Dropper verwenden oft Logikbomben, um den Download der Hauptnutzlast mit Malware auszulösen. Sobald der Dropper auf ein Gerät heruntergeladen ist, wartet er darauf, dass die angegebene(n) Bedingung(en) erfüllt wird/werden. Dies kann so einfach sein wie das Warten auf ein bestimmtes Datum und eine bestimmte Uhrzeit oder sogar eine Kombination von Bedingungen. Nachdem der Dropper ausgeführt wurde, sendet er eine Anfrage an einen HTTP-Server, der die Nutzdaten enthält. In diesem Fall handelt es sich bei der Nutzlast um Ransomware. Haben Sie das gespürt? Ehe Sie es sich versehen, sind Sie infiziert worden. Sie haben gerade unwissentlich Malware in das sichere Netzwerk Ihres Unternehmens eingeschleust.

SharePoint Online und OneDrive for Business

Die meisten Unternehmen aktivieren die OneDrive for Business-Synchronisierung. Diese übliche Konfiguration ermöglicht es, dass lokale Dateien sowie Microsoft 365-Inhalte, die mit der Desktop-Version der Microsoft Office-Anwendungen erstellt wurden, nahtlos mit dem OneDrive for Business des Kontos in Microsoft 365 synchronisiert werden. Eine weitere gängige Praxis ist die Zuordnung eines freigegebenen Laufwerks zu einer SharePoint Online-Dokumentenbibliothek. Auf diese Weise können Teams über Dateifreigaben zusammenarbeiten und gleichzeitig von der Zusammenarbeit und Speicherung profitieren, die SharePoint Online bietet. Diese beiden Konfigurationen stellen eine Verbindung zwischen lokalen Netzwerkgeräten und der Microsoft 365 Cloud-Investition des Unternehmens her.

Über diese Pipelines durchquert die auf die Cloud ausgerichtete Malware das lokale Gerät und sucht nach einem Weg, sich in der Cloud-Umgebung des Unternehmens auszubreiten. Innerhalb eines Wimpernschlags hat die Malware die richtigen Verzeichnisse gefunden und beginnt, sich dorthin zu kopieren. Sobald der Kopiervorgang abgeschlossen ist, wird die native Synchronisierung zwischen den Cloud-Ressourcen und dem lokalen Gerät eingeleitet. Das Ergebnis ist, dass die Malware nun einen Brückenkopf in den OneDrive for Business- und SharePoint Online-Ressourcen des Unternehmens errichtet hat.

Versioning wird mich vor Ransomware schützen… richtig?

Sobald die Ransomware ihren Weg in die Microsoft 365-Umgebung Ihres Unternehmens gefunden hat, beginnt sie, jede Datei zu verschlüsseln. Die meisten Angriffe haben dazu geführt, dass Dateien 500 Mal oder öfter verschlüsselt werden, um jeglichen Schutz durch die Versionierung zu eliminieren. Auf diese Weise machen es die Angreifer fast unmöglich, zu einer älteren, unverschlüsselten Version der Datei zurückzukehren. Dies ist ein echtes Problem, denn es birgt für Ihr Unternehmen das Risiko, wertvolle Daten zu verlieren.

Ein Backup bietet Ihnen Schutz vor Ransomware!

AvePoint Cloud Backup ist eine benutzerfreundliche, kostengünstige Lösung, die Ihre Daten vor Ransomware, versehentlichem Löschen und anderen Datenverlustszenarien schützen kann. AvePoint Cloud Backup speichert Ihre Daten an einem externen Standort, sodass sie nicht durch bösartige Software manipuliert oder gelöscht werden können. Im Falle eines Ransomware-Angriffs können Sie Ihre Daten schnell in ihrem ursprünglichen Zustand wiederherstellen und so die Auswirkungen auf Ihr Unternehmen minimieren.

AvePoint Cloud Backup ist eine ideale Lösung für Unternehmen jeder Größe, die ihre Daten schützen möchten, ohne dabei das Budget zu sprengen. Cloud Backup ist nicht nur erschwinglich, sondern auch einfach zu bedienen, sodass Sie sofort mit dem Schutz Ihrer Daten beginnen können. Und im Falle eines Ransomware-Angriffs oder eines anderen Datenverlusts können Sie sich darauf verlassen, dass Ihre Daten sicher sind und schnell wiederhergestellt werden können. Fordern Sie noch heute eine kostenlose Demo an.


Sie wollen Ihr Unternehmen vor Ransomware schützen? Dann schauen Sie sich auch folgende Ressourcen an:

More Stories