Suche

Sprache

So verhindern Sie, dass iranische „SamSam“-Hacker Lösegeld für Ihr Netzwerk erpressen

Dezember 2nd, 2018

Startseite » Blog » So verhindern Sie, dass iranische „SamSam“-Hacker Lösegeld für Ihr Netzwerk erpressen

By Yaron Kassner, CTO und Mitgründer, Silverfort

SamSam – klingt süß, oder? Nun, das ist es nicht. SamSam ist destruktiv Ransomware Davon waren im Jahr 200 mehr als 2018 Opfer in den gesamten USA betroffen, darunter Krankenhäuser, Stadtverwaltungen und andere Organisationen. Am 28. November hat das US-Justizministerium zwei iranische Staatsangehörige wegen Computerhacking-Vergehen im Zusammenhang mit dem weltweiten SamSam-Ransomware-Ausbruch angeklagt. Die mutmaßlichen Kriminellen befinden sich derzeit im Iran, außerhalb der Reichweite der US-Strafverfolgungsbehörden, und ich bezweifle, dass die beiden Verdächtigen in die USA reisen werden, um sich einem Verhör zu stellen. Ich bezweifle auch, dass diese Angriffe aufhören werden. Daher ist es wichtig zu verstehen, wie dieser Angriff funktioniert, und einige Schutzmaßnahmen zu ergreifen.

Inhaltsverzeichnis

  • Kompromittierung des ersten Endpunkts
  • Tiefer ins Netzwerk einsteigen
  • SamSam Schadensbegrenzungskosten übersteigen die Lösegeldzahlung
  • Wie können Sie Ihr Unternehmen vor SamSam Ransomware schützen?

    • Kompromittierung des ersten Endpunkts

    SamSam zielt auf Computer ab, die für Remote-Desktops aus dem Internet geöffnet sind. Solche Endpunkte zu finden ist super einfach: kostenlose Tools wie Shodan kann eine Liste solcher Maschinen bereitstellen. Bis heute gibt es in Shodan 2,475,311 Aufzeichnungen von Remote-Desktops, die für das Internet geöffnet sind. Die Passwörter für diese Desktops können mit Brute-Force-Angriffen gehackt oder einfach im Dark Web gekauft werden. Die zunehmende Nutzung von Cloud-Umgebungen bringt Unternehmen in Gefahr, da ein rücksichtsloser Administrator leicht eine Maschine in der Cloud preisgeben könnte, ohne den Zugriff darauf vor dem Internet zu schützen.

    Tiefer ins Netzwerk einsteigen

    SamSam verschlüsselt nicht nur die Dateien eines einzelnen infizierten Endpunkts. Sobald der Endpunkt kompromittiert ist, nutzt SamSam gestohlene Zugangsdaten und nutzt Schwachstellen wie z Ewiges Blau um sich seitlich über das Netzwerk zu bewegen. Es verwendet „Feed of the Earth“-Techniken, dh bestehende Verwaltungstools. Dadurch kann die Ransomware wertvollere Server erreichen, die wertvollere Daten enthalten. Anstatt einen Computer als Geisel zu halten, übernimmt es das gesamte Netzwerk.

    Backups werden oft als Abwehrmechanismus für Ransomware-Prävention. Die Fähigkeit, sich seitlich im Netzwerk zu bewegen, ermöglicht es SamSam jedoch auch, diese Backups zu erreichen und sie unbrauchbar zu machen. Ein Opfer, dessen Backups verschlüsselt waren, müsste das Lösegeld zahlen oder die Daten verlieren.

    SamSam Schadensbegrenzungskosten übersteigen die Lösegeldzahlung

    Bisher haben die Hacker mehr als 6 Millionen Dollar Lösegeld erbeutet. Die Kosten für betroffene Unternehmen sind jedoch viel höher, da sie nach Zahlung des Lösegelds und Entsperren ihrer Dateien auch sicherstellen müssen, dass die Bedrohung vollständig aus ihren Netzwerken entfernt wird. Als die Stadt Atlanta infiziert wurde, gaben sie insgesamt 17 Millionen Dollar aus, um den Vorfall zu lösen, obwohl das geforderte Lösegeld viel niedriger war.
    Zusätzlich zu den Lösegeldkosten gibt es die offensichtlichen Kosten des zugefügten Ausfalls, bis die Bedrohung beseitigt ist. Vielleicht ist das einer der Gründe, warum die Malware so viele Gesundheitsdienstleister angreift – sie können sich einen Ausfall nicht leisten.

    Wie können Sie Ihr Unternehmen vor SamSam Ransomware schützen?

      • Sichern Sie Ihre Daten offline: Wenn Sie sich darauf verlassen, dass Ihre Backups Sie vor Ransomware schützen, müssen Sie sicherstellen, dass der Angreifer nicht auch an Ihre Backups gelangt. Denken Sie daran, dass das Speichern Ihrer Backups im Netzwerk bedeutet, dass sie genauso anfällig für Ransomware sind wie alle anderen Daten im Netzwerk.
      • Identifizieren Sie Remote-Desktop-Server, die über das Internet verfügbar gemacht werden: Finden Sie einen Weg, um Remote-Desktops zu erkennen, die über das Internet verfügbar gemacht werden. Ein exponierter Remote-Desktop wird innerhalb von Stunden nach der Offenlegung über das Internet einem Brute-Force-Angriff ausgesetzt. Eine gute Möglichkeit, dem Internet ausgesetzte Remote-Desktops zu identifizieren, besteht also darin, nach Brute-Force-Angriffen zu suchen. Silverfort kann dir dabei helfen.
      • Schützen Sie den RDP-Zugriff durch Durchsetzung Multi-Faktor-Authentifizierung – Wenn Sie einen Remote-Desktop dem Internet zugänglich machen müssen, verwenden Sie ein VPN oder einen Bastion-Host. Diese verhindern den direkten Netzwerkzugriff auf die Maschine. Aber passwortbasiert Beglaubigung ist nicht genug. Sie sollten auch MFA hinzufügen, um zu überprüfen, ob die Anmeldeinformationen tatsächlich von einem legitimen Benutzer verwendet werden. Silverfort ermöglicht es Ihnen, diesen Systemen MFA ohne Agenten hinzuzufügen.
      • Verhindern Sie seitliche Bewegungen - Das Erzwingen von MFA für die Verwendung von Verwaltungstools wie PSExec kann solche Angriffe effektiv blockieren. Herkömmliche MFA-Lösungen können für solche Tools jedoch nicht implementiert werden. Silverfort agentenlose MFA Plattformen können problemlos auch auf diese Tools erweitert werden.
      • Schützen Sie den Zugriff auf Ihre sensiblen Daten – Erzwingen Sie MFA für jeden Zugriff auf vertrauliche Ressourcen, einschließlich Datenbanken und Dateifreigaben.

     

    Yaron Kassner, CTO und Mitgründer, Silverfort

    SilverfortCTO und Mitbegründer von Yaron Kassner ist ein Experte für Cybersicherheit und Big-Data-Technologie. Vor der Mitgründung Silverfort, war Yaron als Experte für Big Data bei Cisco tätig. Außerdem entwickelte er bei Microsoft neue Funktionen für Big-Data-Analysen und maschinelle Lernalgorithmen. Davor diente Yaron bei der 8200-Elite-Cybereinheit der israelischen Verteidigungsstreitkräfte, wo er ein angesehenes Forschungs- und Entwicklungsteam leitete, in den Rang eines Hauptmanns aufstieg und eine prestigeträchtige Auszeichnung für herausragende Leistungen erhielt. Yaron hat einen B.Sc. in Mathematik, Summa Cum Laude, ein M.Sc. und Ph.D. in Informatik vom Technion – Israel Institute of Technology.

     

    Um herauszufinden wie Silverfort kann Ihr Unternehmen vor SamSam und anderen Bedrohungen schützen, kontaktieren Sie uns heute.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    May 6th, 2024

    Verwendung von MITM zur Umgehung des FIDO2-Phishing-Schutzes

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt