Rund 60 % aller manuellen Ransomware-Angriffe gehen derzeit mit unbefugter Remote-Verschlüsselung einher. In diesem Artikel erfahren Sie mehr über diesen weit verbreiteten Ransomware-Angriffsvektor und unsere branchenführenden Schutzlösungen.
Was ist Remote-Ransomware?
Bei Remote-Ransomware-Angriffen verschlüsseln Cyberkriminelle über einen kompromittierten Endpoint Daten auf anderen Geräten im Netzwerk der Opfer.
Dabei versuchen die Angreifer in der Regel, Ransomware direkt auf den Systemen bereitzustellen, die sie verschlüsseln möchten. Wird der erste Versuch (beispielsweise von Sicherheitssoftware) blockiert, geben die Angreifer nur selten auf und versuchen mit immer wieder neuen Methoden ihr Ziel zu erreichen.
Gelingt es den Cyberkriminellen, ein System zu kompromittieren, können sie Daten auf zur Domäne hinzugefügten, verwalteten Systemen über die Domänenarchitektur des Unternehmens verschlüsseln. Die schädlichen Aktivitäten (Eingang, Payload-Ausführung und Verschlüsselung) erfolgen auf dem kompromittierten System und werden daher nicht von modernen Sicherheitslösungen erkannt. Lediglich die Übertragung von Dokumenten von einem System auf ein anderes weist auf eine Kompromittierung hin.
80 % aller Remote-Verschlüsselungsangriffe gehen von nicht verwalteten Geräten im Netzwerk aus. Mitunter können Cyberkriminelle jedoch auch verwaltete Geräte ohne hinreichenden Schutz kompromittieren.
Warum ist Remote-Ransomware so weit verbreitet?
Remote-Ransomware zeichnet sich vor allem durch ihre Skalierbarkeit aus: Ein einziger nicht verwalteter oder unzureichend geschützter Endpoint macht die gesamte Unternehmensumgebung anfällig für Remote-Verschlüsselung, auch wenn auf allen anderen Endpoints Next-Gen-Endpoint-Security läuft.
Erschwerend kommt hinzu, dass zahlreiche Ransomware-Varianten diese Remote-Verschlüsselung unterstützen. Hierzu zählen unter anderem Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk und WannaCry.
Das Gros der Endpoint-Security-Lösungen ist hier machtlos, da sie sich auf die Erkennung von schädlichen Ransomware-Dateien und -Prozessen auf geschützten Endpoints konzentrieren. Bei Remote-Verschlüsselungsangriffen laufen die schädlichen Aktivitäten jedoch auf dem kompromittierten System ab und bleiben unerkannt.
Sophos Endpoint bietet robusten Schutz vor unbefugter Remote-Verschlüsselung, unterstützt durch unsere branchenführende CryptoGuard-Protection-Technologie.
Sophos CryptoGuard: Branchenführender, universeller Schutz vor Ransomware
Sophos Endpoint bietet mehrschichtigen Schutz vor Ransomware und umfasst unter anderem CryptoGuard, unsere einzigartige Anti-Ransomware-Technologie, die in allen Sophos Endpoint Subscriptions enthalten ist.
Endpoint-Security-Lösungen anderer Anbieter suchen lediglich nach schädlichen Dateien und Prozessen. CryptoGuard analysiert Datendateien dagegen auf Anzeichen schädlicher Verschlüsselung – unabhängig vom Ausführungsort der Prozesse. Auf diese Weise bietet unsere Lösung hocheffektiven Schutz vor Ransomware aller Art, einschließlich unbefugter Remote-Verschlüsselung. Erkennt CryptoGuard eine schädliche Verschlüsselung, wird die Aktivität blockiert und Dateien werden automatisch in den unverschlüsselten Ursprungszustand zurückversetzt.
CryptoGuard prüft den Inhalt aller Dokumente aktiv beim Lese- und Schreibzugriff auf Dateien und stellt anhand mathematischer Analysen fest, ob sie verschlüsselt wurden. Dieser universelle Ansatz ist branchenweit einzigartig. Sophos Endpoint stoppt Ransomware-Angriffe, Remote-Ransomware und komplett neue Ransomware, die Lösungen anderer Anbieter übersehen.
Analysiert Dateiinhalte und erkennt so unbefugte Verschlüsselungen
Andere Lösungen betrachten Ransomware aus einer Anti-Malware-Perspektive und konzentrieren sich auf die Erkennung von schädlichem Code. Im Gegensatz dazu analysiert CryptoGuard Dateiinhalte mithilfe mathematischer Algorithmen und ermittelt so schnelle Massenverschlüsselungen von Dateien.
Blockiert lokale und Remote-Ransomware
CryptoGuard konzentriert sich auf Dateiinhalte und erkennt so Ransomware-Verschlüsselungen auch dann, wenn der Prozess nicht auf den Geräten der Opfer ausgeführt wird.
Setzt schädliche Verschlüsselungen automatisch zurück
CryptoGuard erstellt temporäre Sicherungen modifizierter Dateien und setzt Änderungen automatisch zurück, wenn Massenverschlüsselungen erkannt werden. Lösungen anderer Anbieter verwenden den Volumeschattenkopie-Dienst von Windows, den Angreifer überlisten können. Sophos setzt hingegen auf proprietäre Technologie. Verschlüsselte Dateien werden unabhängig von Größe oder Dateityp wiederhergestellt. So lassen sich Betriebsstörungen auf ein Minimum reduzieren.
Blockiert Remote-Geräte automatisch
Bei einem Ransomware-Angriff blockiert CryptoGuard automatisch IP-Adressen von Remote-Geräten, die versuchen, Dateien auf den Geräten der Opfer zu verschlüsseln.
Schützt den Master Boot Record (MBR)
CryptoGuard schützt das Gerät vor Ransomware, die den Master Boot Record verschlüsselt (und somit das Hochfahren verhindert), sowie vor Angriffen, bei denen die Festplatte gelöscht wird.
CryptoGuard, eine der leistungsstarken Schutztechnologien in Sophos Endpoint, ist in allen Subscriptions von Sophos Intercept X Advanced, Sophos XDR und Sophos MDR enthalten. Die Funktion ist standardmäßig automatisch aktiviert. So werden Unternehmen und Einrichtungen sofort und ohne Feinabstimmung oder Konfiguration umfassend vor lokaler und Remote-Ransomware geschützt.
Ungeschützte Geräte ermitteln
Ein einziger ungeschützter Endpoint kann Ihre Kunden anfällig für Remote-Verschlüsselung machen. Sophos Endpoint bietet robusten, universellen Ransomware-Schutz vor unbefugter Verschlüsselung. Wie erkennen Ihre Kunden ungeschützte Geräte in ihren Netzwerken?
Hier schafft Sophos Network Detection and Response (NDR) Abhilfe. Sophos NDR überwacht den Netzwerkverkehr auf verdächtige Verkehrsflüsse und ermittelt so ungeschützte Geräte und nicht autorisierte Assets in der Umgebung.
Um den bestmöglichen Schutz vor Remote-Ransomware zu gewährleisten, empfehlen wir, Sophos Endpoint auf allen Kundensystem in der Umgebung zu installieren und gleichzeitig Sophos NDR zur Ermittlung ungeschützter Geräte im Netzwerk bereitzustellen.
Eine einmalige Gelegenheit
Positionieren Sie die einzigartigen Ransomware-Schutzfunktionen in Sophos Endpoint noch heute, um sich neue Vertriebschancen zu erschließen und Renewals zu sichern. Dies bietet sich vor allem bei Kunden an, die einen Wechsel von Sophos zu Microsoft Defender erwägen. Derzeit belaufen sich die durchschnittlichen Kosten für die Bereinigung eines Ransomware-Angriffs auf 1,82 Mio. US$. Können sich Ihre Kunden leisten, sich diesem Risiko auszusetzen?
Teilen Sie die folgenden neuen Ressourcen mit Ihren Kunden und nutzen Sie diese einmalige Gelegenheit:
- Sophos-News-Artikel – Was ist Remote-Ransomware, warum sind die meisten Unternehmen anfällig für Angriffe und wie stoppt Sophos Endpoint die Bedrohung?
- 2-minütiges Promo-Video – perfekter Teaser für soziale Medien.
- Experten-Explainer-Video – Peter Mackenzie (Director, Incident Response) erklärt Remote-Ransomware.
In unserem Partner-Portal stehen zudem die folgenden Materialien zum Download bereit:
- Sophos Remote Ransomware Guide – Was ist Remote-Ransomware, warum sind die meisten Unternehmen anfällig für Angriffe und wie stoppt Sophos Endpoint die Bedrohung?
- Enablement-Video – Informationen zur Vertriebschance
- PowerPoint-Folien – Fügen Sie diese neuen Folien zu Ihren eigenen Präsentationen hinzu.
- Marketing-E-Mails – zum Bewerben des Whitepapers und Webinars.
Auch für NDR eröffnen sich neue Vertriebschancen.
80 % aller Remote-Ransomware-Angriffe gehen von nicht verwalteten Geräten aus. Dies ist die perfekte Gelegenheit, Sophos NDR zu positionieren und zu demonstrieren, wie wichtig maximale Transparenz über das Netzwerk ist. Sophos NDR ist ab sofort für Sophos MDR und Sophos XDR verfügbar.