Wie funktioniert die DearCry-Ransomware?
Im März 2021 veröffentlichte Microsoft Patches für vier kritische Schwachstellen innerhalb von Microsoft Exchange-Servern. Diese Schwachstellen wurden in verschiedenen Angriffskampagnen aktiv ausgenutzt. DearCry ist eine Ransomware-Variante, die diese anfälligen Microsoft Exchange-Server ausnutzen soll.
Die Malware führt eine Laufwerksnummerierung durch, um alle zugänglichen Speichermedien eines infizierten Computers zu identifizieren. Für jedes dieser Laufwerke verschlüsselt die DearCry-Ransomware bestimmte Dateitypen (basierend auf Dateierweiterungen) mit AES und RSA-2048. Nachdem die Verschlüsselung abgeschlossen ist, zeigt DearCry einen Lösegeldschein an, in dem Benutzer aufgefordert werden, eine E-Mail an die Ransomware-Betreiber zu senden, um zu erfahren, wie sie ihre Maschinen entschlüsseln können.
So schützen Sie sich vor DearCry-Ransomware
Wenn die DearCry-Lösegeldforderung angezeigt wird, ist der Schaden bereits angerichtet. Der beste Weg, auf DearCry – oder jede Art von Ransomware – zu reagieren, besteht darin, die Ransomware zu erkennen und zu blockieren, bevor mit der Datenverschlüsselung begonnen werden kann.
Der Einsatz von Anti-Ransomware- Schutzmaßnahmen ist die effektivste Methode, dies zu erreichen. Tools wie Threat Emulation von Check Point nutzen Verhaltensanalysen, um die Warnzeichen eines Ransomware-Angriffs zu identifizieren, sodass der Benutzer die Bedrohung beheben kann, bevor Schaden entsteht. Da jede Ransomware bestimmte Aktionen (z. B. das Verschlüsseln von Dateien) ausführen muss, um ihre Ziele zu erreichen, ist dieser Ansatz gegen alle Arten von Ransomware wirksam.
Allerdings können Schutzmaßnahmen, die auf eine bestimmte Art von Ransomware ausgerichtet sind, dazu beitragen, die Geschwindigkeit und Wirksamkeit der Reaktion eines Unternehmens zu verbessern. Neben dem generischen Threat Emulation-Schutz für Ransomware (der DearCry erfolgreich blockiert), hat Check Point zwei spezielle Schutzmaßnahmen für die folgenden Produkte veröffentlicht:
Diese speziellen Erkennungstools machen es schneller und einfacher, eine potenzielle DearCry-Infektion auf den Systemen eines Unternehmens zu erkennen und zu beseitigen.
Best Practices zur Ransomware-Prävention
Zum Schutz vor der Ransomware DearCry sind gezielte Schutzmaßnahmen (wie sie in Threat Emulation und Harmony Endpoint eingesetzt werden) die effektivsten Lösungen für einen aktiven Angriff. Auch allgemeinere Ransomware-Schutzmaßnahmen können diese Bedrohung erkennen und sind für die Identifizierung und Blockierung von Zero-Day -Ransomware-Angriffen von entscheidender Bedeutung.
Allerdings sollten Unternehmen eine tiefgreifende Verteidigung implementieren, um die potenziellen Kosten und Auswirkungen von Ransomware-Angriffen zu minimieren. Zu den Best Practices zur Ransomware-Prävention gehören:
- Patch-Management: Die Ransomware DearCry nutzt kritische Schwachstellen in Microsoft Exchange-Servern aus. Um die potenziellen Eintrittsvektoren, die ein Angreifer ausnutzen kann, zu minimieren, ist es wichtig, dass das Gerät gepatcht und auf dem neuesten Stand ist.
- Schulung der Mitarbeiter: Ransomware wird häufig über Phishing und andere Techniken verbreitet, die Mitarbeiter ausnutzen. Wenn Sie Ihre Mitarbeiter darin schulen, diese Art von Angriffen zu erkennen und richtig darauf zu reagieren, kann das Risiko eines Unternehmens durch Ransomware und andere Arten von Angriffen drastisch reduziert werden.
- E-Mail-Sicherheit: E-Mail ist ein führender Infektionsvektor für alle Arten von Malware, einschließlich Ransomware. Eine E-Mail-Sicherheitslösung kann Maschinelles Lernen und Sandbox-Emulation nutzen, um schädliche Inhalte aus E-Mails zu identifizieren und zu entfernen, bevor sie den Posteingang des Benutzers erreichen.
- Sicherer Fernzugriff: Die COVID-19-Pandemie hat virtuelle private Netzwerke (VPNs) und das Remote-Desktop-Protokoll (RDP) zu einigen der beliebtesten Verbreitungsmechanismen für Ransomware gemacht. Die Sicherung der Telearbeitsinfrastruktur eines Unternehmens kann dazu beitragen, diesen potenziellen Angriffsvektor zu blockieren.
- Endgerätesicherheit: Ransomware kann über verschiedene Medien verbreitet werden. Eine Endgerätesicherheit-Lösung, die in der Lage ist, Ransomware und andere Arten schädlicher Inhalte zu erkennen und zu blockieren, kann dazu beitragen, die Gefährdung eines Unternehmens durch diese Bedrohungen zu minimieren.
Blockieren von Ransomware-Angriffen mit Check Point
Die Ransomware-Bedrohungslandschaft entwickelt sich ständig weiter. DearCry ist eine der neuesten Versionen einer seit Jahren bestehenden Bedrohung und nutzt kürzlich entdeckte Schwachstellen in einem weit verbreiteten Produkt aus. Unternehmen benötigen gezielte Anti-Ransomware-Lösungen, die mit den neuesten Ransomware-Bedrohungen Schritt halten und diese abwehren können.
Da Ransomware das Endgerät angreift, sollte das Endgerät im Mittelpunkt jeder Anti-Ransomware Strategie stehen. Harmony Endpoint von Check Point ist eine komplette Endgerätesicherheitslösung, die umfassenden Schutz vor Ransomware bietet, einschließlich allgemeiner verhaltensbasierter Erkennung und Schutzmaßnahmen, die auf bestimmte Varianten abzielen.
Die Unterstützung bei der Bedrohungssuche – zugeordnet zum MITRE ATT&CK-Framework – ermöglicht es dem Sicherheitsteam einer Organisation außerdem, proaktiv nach potenziellen Bedrohungen und Einbrüchen in ihrem Netzwerk zu suchen und diese zu untersuchen. Weitere Informationen zur Bedrohungssuche mit Harmony Endpoint finden Sie in dieser exemplarischen Vorgehensweise.
Harmony Endpoint bietet umfassenden Schutz vor Bedrohungen wie der Ransomware DearCry. Wenn Sie mehr über die Funktionen erfahren möchten, sehen Sie sich diese Produkttour an. Gerne können Sie auch eine personalisierte Demo anfordern , um sich selbst von der Leistungsfähigkeit von Harmony Endpoint zu überzeugen.
Feedback