{"id":27243,"date":"2021-08-27T12:20:23","date_gmt":"2021-08-27T10:20:23","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27243"},"modified":"2021-08-27T12:20:23","modified_gmt":"2021-08-27T10:20:23","slug":"please-install-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/please-install-ransomware\/27243\/","title":{"rendered":"&#8222;Bitte verschl\u00fcsseln Sie Ihren Server&#8220;"},"content":{"rendered":"<p>Werden Unternehmensnetzwerke mit Ransomware infiziert, geschieht dies in der Regel \u00fcber E-Mails, Sicherheitsl\u00fccken in der Software oder ungesch\u00fctzte Remote-Verbindungen. Dass ein Insider absichtlich Malware einschleust, scheint unwahrscheinlich. <a href=\"https:\/\/threatpost.com\/nigerian-solicits-employees-ransomware-profits\/168849\/\" target=\"_blank\" rel=\"noopener nofollow\">Wie die Praxis jedoch zeigt<\/a>, halten einige Angreifer diese Methode zur Verbreitung von Ransomware f\u00fcr effektiv, und einige Angreifer rekrutieren jetzt Unternehmensmitarbeiter, indem sie ihnen zur Belohnung einen Teil des erpressten L\u00f6segelds anbieten.<\/p>\n<h2>Ein kreatives Lieferprogramm<\/h2>\n<p>So absurd es auch klingen mag, es gibt Kriminelle, die \u00fcber Spam-Nachrichten nach Komplizen suchen. In einer solchen Nachricht werden beispielsweise \u201e40%, 1 Million Dollar in Bitcoin\u201c f\u00fcr jeden angeboten, der bereit ist, die Ransomware DemonWare auf dem Windows-Hauptserver des Unternehmens zu installieren und einzusetzen.<\/p>\n<p>Unter der Identit\u00e4t von interessierten Komplizen erhielten die Ermittler einen Link zu einer Datei mit Anweisungen zum Ausf\u00fchren der Malware. Allerdings handelte es sich bei der Person, die hinter dem Mailing stand, offenbar um einen unerfahrenen Cyberkriminellen. Die Ermittler hatten keine Schwierigkeiten, weitere Details aus ihm heraus zu kitzeln. Der betreffende Bedrohungsakteur war ein junger Nigerianer, der LinkedIn auf der Suche nach leitenden Angestellten durchforstet hatte, die er kontaktieren konnte. Seinen urspr\u00fcnglichen Plan, Malware per E-Mail zu versenden, gab er auf, als er erkannte, wie stark die Cybersicherheitssysteme der Unternehmen sind.<\/p>\n<h2>Was ist falsch an der Aktion?<\/h2>\n<p>Um die Zielobjekte davon zu \u00fcberzeugen, dass ihre Teilnahme sicher sei, behauptete der Angreifer, die Ransomware w\u00fcrde alle Spuren im Nachhinein beseitigen, einschlie\u00dflich m\u00f6glicher Sicherheitsaufnahmen, und empfahl, die ausf\u00fchrbare Datei zu l\u00f6schen. Vermutlich nur ein billiger Trick, um sein Zielobjekt in die Falle zu locken, denn nach der Server-Verschl\u00fcsselung w\u00e4re es ihm wom\u00f6glich v\u00f6llig egal, was mit dem \u201eT\u00e4ter\u201c geschieht \u2013 doch er scheint nicht verstanden zu haben, wie digitale forensische Untersuchungen funktionieren.<\/p>\n<p>Auch die Entscheidung, DemonWare zu verwenden, verriet seine Unerfahrenheit. Obwohl Angreifer DemonWare immer noch verwenden, handelt es sich hierbei um eine recht einfach gestrickte Malware, deren Quellcode auf GitHub verf\u00fcgbar ist. Der Entwickler der Malware hat sie angeblich erstellt, um zu demonstrieren, wie einfach es ist, Ransomware zu schreiben.<\/p>\n<h2>So sch\u00fctzen Sie sich<\/h2>\n<p>Obwohl es sich bei diesem Beispiel nur um ein konkretes Beispiel handelt, ist die Beteiligung von Insidern, also Mitarbeitern eines Unternehmens, an einem Ransomware-Angriff durchaus realistisch. Viel wahrscheinlicher als das Einschleusen von Malware in ein Netzwerk ist jedoch ein Szenario, bei dem jemand den Zugang zum Informationssystem eines Unternehmens verkauft.<\/p>\n<p>Der Markt f\u00fcr Zug\u00e4nge zu Unternehmensnetzwerken existiert seit langem im Dark Web, und Ransomware-Angreifer <a href=\"https:\/\/www.zdnet.com\/article\/ransomware-operators-love-them-key-trends-in-the-initial-access-broker-space\/\" target=\"_blank\" rel=\"noopener nofollow\">kaufen<\/a> den Zugang oft von anderen Cyberkriminellen \u2013 so genannten Initial Access Brokers. Diese sind unter Umst\u00e4nden ausdr\u00fccklich daran interessiert, Daten f\u00fcr den Fernzugriff auf das Netzwerk oder die Cloud-Server des Unternehmens zu kaufen. Anzeigen f\u00fcr solche K\u00e4ufe, die sich an ver\u00e4rgerte oder entlassene Mitarbeiter richten, kursieren im Dark Web.<\/p>\n<p>Um sicherzustellen, dass niemand die Sicherheit Ihres Unternehmens gef\u00e4hrdet, indem er Cyberkriminellen Zutritt zum eigenen Netzwerk verschafft, empfehlen wir Ihnen:<\/p>\n<p>Verfolgen Sie eine Strategie minimaler Privilegien;<\/p>\n<p>F\u00fchren Sie sorgf\u00e4ltige Aufzeichnungen \u00fcber die Zugriffsversuche auf das Netzwerk und die Server des Unternehmens, widerrufen Sie Rechte und \u00e4ndern Sie Passw\u00f6rter, wenn Mitarbeiter entlassen werden;<\/p>\n<p>Installieren Sie auf jedem Server <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Sicherheitsl\u00f6sungen<\/a>, mit denen die heutige Malware bek\u00e4mpft werden kann;<\/p>\n<p>Verwenden Sie <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/managed-detection-and-response?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Managed Detection and Response<\/a>-L\u00f6sungen, die helfen, verd\u00e4chtige Aktivit\u00e4ten in Ihrer Infrastruktur zu erkennen, bevor Angreifer eine Chance haben, ernsthaften Schaden anzurichten.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>W\u00fcrden Sie Ihren eigenen Server f\u00fcr einen Teil des L\u00f6segelds verschl\u00fcsseln?<\/p>\n","protected":false},"author":2581,"featured_media":27244,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[517,535,2543],"class_list":{"0":"post-27243","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-mitarbeiter","11":"tag-ransomware","12":"tag-zugang"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/please-install-ransomware\/27243\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/please-install-ransomware\/23217\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/please-install-ransomware\/18704\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/please-install-ransomware\/9347\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/please-install-ransomware\/25253\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/please-install-ransomware\/23322\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/please-install-ransomware\/22689\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/please-install-ransomware\/25877\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/please-install-ransomware\/25388\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/please-install-ransomware\/31357\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/please-install-ransomware\/9966\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/please-install-ransomware\/41419\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/please-install-ransomware\/17524\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/please-install-ransomware\/18014\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/please-install-ransomware\/15176\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/please-install-ransomware\/31506\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/please-install-ransomware\/27451\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/please-install-ransomware\/24266\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/please-install-ransomware\/29591\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/please-install-ransomware\/29396\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27243","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27243"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27243\/revisions"}],"predecessor-version":[{"id":27246,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27243\/revisions\/27246"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27244"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27243"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27243"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27243"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}