{"id":146066,"date":"2022-07-21T13:14:18","date_gmt":"2022-07-21T13:14:18","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/ransomware-erkennen\/"},"modified":"2025-04-23T04:46:29","modified_gmt":"2025-04-23T04:46:29","slug":"ransomware-erkennen","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/ransomware-erkennen\/","title":{"rendered":"Ransomware erkennen k\u00f6nnen: 12 Schritte f\u00fcr eine automatisierte \u00dcberwachung und Alarmierung"},"content":{"rendered":"<p><strong>Hier finden Sie ein Dutzend M\u00f6glichkeiten, wie IT-Teams jeder Gr\u00f6\u00dfe automatische Alarmierungen einrichten k\u00f6nnen, um Ransomware-Angriffe zu erkennen, bevor es zu sp\u00e4t ist.\u00a0\u00a0<\/strong><\/p>\n<p>Es ist verr\u00fcckt, wenn man bedenkt, dass es im Mai dieses Jahres f\u00fcnf Jahre her ist, dass der Ausbruch von <a href=\"https:\/\/en.wikipedia.org\/wiki\/WannaCry_ransomware_attack\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a> dazu beigetragen hat, Ransomware in der \u00d6ffentlichkeit zu einem Begriff zu machen. In mancher Hinsicht f\u00fchlt es sich an, als w\u00e4re es schon ein ganzes Leben her (oder l\u00e4nger). Beispiel: Im Vergleich zu den atemberaubenden Zahlen, die in den heutigen Berichten genannt werden, wirken einige der Ransomware-Statistiken aus dem Jahr 2017 geradezu l\u00e4cherlich.<\/p>\n<ul>\n<li>Im zweiten Quartal 2017 lag die durchschnittliche gesch\u00e4tzte L\u00f6segeldforderung <a href=\"https:\/\/www.statista.com\/statistics\/701003\/average-amount-of-ransom-requested-to-msp-clients\/#:~:text=Amount%20of%20ransom%20demanded%20during%20ransomware%20attacks%202017&amp;text=According%20to%20the%20survey%2C%2047,500%20and%202%2C000%20U.S.%20dollars.\" target=\"_blank\" rel=\"noopener\">zwischen 501 und 2.000 US-Dollar<\/a>. Nach Angaben von Coveware <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">lag die durchschnittliche L\u00f6segeldzahlung<\/a>im ersten Quartal 2022 <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">bei 211.529 US-Dollar.<\/a><\/li>\n<li>Im Jahr 2017 sch\u00e4tzte Cybersecurity Ventures die Gesamtkosten der durch Ransomware verursachten Gesamtsch\u00e4den <a href=\"https:\/\/cybersecurityventures.com\/ransomware-damage-report-2017-5-billion\/\" target=\"_blank\" rel=\"noopener\">auf 5 Mrd. US-Dollar<\/a>. In ihrem aktuellen Bericht werden die <a href=\"https:\/\/cybersecurityventures.com\/global-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031\/\" target=\"_blank\" rel=\"noopener\">Gesamtkosten f\u00fcr das Jahr 2021 auf 20 Milliarden Dollar<\/a> gesch\u00e4tzt.<\/li>\n<\/ul>\n<p>Es hat sich offensichtlich viel ver\u00e4ndert, und angesichts der Milliarden von Dollar, die auf dem Spiel stehen, ist die Aussage, dass die heutigen Ransomware-Operationen ausgereift und weiterentwickelt sind, eine massive Untertreibung.<\/p>\n<p>Wie der Sicherheitsforscher Kevin Beaumont in einem Blogbeitrag ausf\u00fchrt, den jeder gelesen haben sollte:<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>\u201eEine Ransomware-Gruppe <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2021-05-20\/cna-financial-paid-40-million-in-ransom-after-march-cyberattack\" target=\"_blank\" rel=\"noopener\">, die eine Zahlung von 40 Millionen Dollar f\u00fcr den Angriff auf eine Cybersecurity-Versicherungsgesellschaft erhalten hat<\/a>, verf\u00fcgt \u00fcber ein gr\u00f6\u00dferes Budget f\u00fcr Cyberangriffe als die meisten mittleren und gro\u00dfen Unternehmen insgesamt f\u00fcr die Abwehr von Angriffen ausgeben k\u00f6nnen. Und das ist nur ein einziger Angriff einer Gruppe, der kaum auf dem Nachrichtenradar der meisten Menschen auftaucht.\u201c<\/strong><\/p>\n<p>\u2014 Kevin Beaumont, <a href=\"https:\/\/doublepulsar.com\/the-hard-truth-about-ransomware-we-arent-prepared-it-s-a-battle-with-new-rules-and-it-hasn-t-a93ad3030a54\" target=\"_blank\" rel=\"noopener\">&#8222;The Hard Truth about Ransomware&#8220;<\/a><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Das ist eine ern\u00fcchternde Einsch\u00e4tzung, aber bevor wir uns nach den \u201eeinfacheren\u201c Tagen des Jahres 2017 zur\u00fccksehnen, sollten wir auch bedenken, dass sich in den letzten f\u00fcnf Jahren zwar vieles ver\u00e4ndert hat, aber auch vieles nicht.<\/p>\n<p>Ja, das \u00d6kosystem der Cyberkriminalit\u00e4t ist rund um Ransomware explodiert, und nat\u00fcrlich haben die Angreifer riesige Kriegskassen angeh\u00e4uft, um Zero-Days zu kaufen und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-30-introduces-the-first-ransomware-bug-bounty-program\/\" target=\"_blank\" rel=\"noopener\">Bug-Bounty-Programme zu starten<\/a>. Die Wahrheit ist jedoch, dass die meisten trotz alledem immer noch leichter Beute Ausschau halten. Warum sollte man sich auf etwas Ausgefallenes einlassen, wenn man auch mit einfachen Mitteln vielen die Brieftasche abluchsen kann?<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Colonial Pipeline? <\/span><a href=\"https:\/\/www.crn.com\/news\/security\/colonial-pipeline-hacked-via-inactive-account-without-mfa\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Gehackt \u00fcber ein inaktives Konto ohne MFA.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Irisches Gesundheitsministerium? <\/span><a href=\"https:\/\/www.hse.ie\/eng\/services\/publications\/conti-cyber-attack-on-the-hse-full-report.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Ein Excel-Dokument mit Schadsoftware.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Der 5-monatige Zugriff der LockBit-Ransomware-Bande auf eine US-Regierungsbeh\u00f6rde? <\/span><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Frei zug\u00e4ngliches RDP.<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Der 50 Millionen Dollar schwere Ransomware-Angriff auf den PC-Riesen Acer? <a href=\"https:\/\/www.crn.com\/news\/security\/revil-ransomware-targets-acer-s-microsoft-exchange-server-source\" target=\"_blank\" rel=\"noopener\">Ungepatchte Sicherheitsl\u00fccke in Microsoft Exchange.<\/a><\/li>\n<\/ul>\n<p>Es stimmt zwar, dass Pr\u00e4vention f\u00fcr heutige Unternehmen eiine Herausforderung darstellt, aber das war nie anders, und ich bin nicht ganz davon \u00fcberzeugt, dass Pr\u00e4vention heute <em>exponentiell<\/em> schwieriger ist als vor f\u00fcnf Jahren. Die Wahrheit ist, dass solide Grundlagen und ein gutes Endpunkt-Hardening KMUs sehr weit bringen k\u00f6nnen.<\/p>\n<p>Aber in diesem Beitrag geht es ja darum, wie man Ransomware erkennen kann, nicht wahr? Nun, die selben Grundlagen kommen auch hier zum Tragen. Die meisten Unternehmen ben\u00f6tigen nach wie vor spezielle Ressourcen (intern oder extern), um die hier vorgestellten Erkennungsm\u00f6glichkeiten zu implementieren und aktiv zu \u00fcberwachen, aber die Einstiegsh\u00fcrde ist nicht unbedingt so hoch, wie einige Sicherheitsanbieter glauben machen wollen.<\/p>\n<p>Ein typisches Beispiel: Im Folgenden finden Sie 12 gute, grundlegende Ideen f\u00fcr die Risikoerkennung, die Ihnen Ergebnisse liefern k\u00f6nnen, ohne ein Verm\u00f6gen zu kosten.<\/p>\n<p>Gehen wir ihnen auf den Grund.<\/p>\n<h2>Wie man Ransomware erkennen kann (oder besser gesagt, wann)<\/h2>\n<p>Zun\u00e4chst einmal sollten wir uns dar\u00fcber einig sein, dass der Versuch, Ransomware-Aktivit\u00e4ten nach der Ausf\u00fchrung (d. h. Ransomware, die aktiv ausgef\u00fchrt wird und Daten verschl\u00fcsselt) zu erkennen, ein aussichtsloses Unterfangen ist. Einige der am weitesten verbreiteten Ransomware-Varianten k\u00f6nnen <a href=\"https:\/\/www.zdnet.com\/article\/this-is-how-fast-a-ransomware-attack-encrypts-all-your-files\/\" target=\"_blank\" rel=\"noopener\">100.000 Dateien in weniger als f\u00fcnf Minuten verschl\u00fcsseln<\/a>.<\/p>\n<p>Versuche, pl\u00f6tzliche massenhafte \u00c4nderungen von Dateinamen usw. zu erkennen und darauf zu reagieren, kommen oft zu kurz und zu sp\u00e4t.<\/p>\n<p>AV \/ EDR ist nat\u00fcrlich darauf ausgelegt, ausf\u00fchrbare Ransomware-Dateien zu blockieren, aber die Detection und Blocking sind nicht unfehlbar. Selbst wenn es ihnen gelingt, eine ausf\u00fchrbare Datei zu blockieren, bleibt das Problem bestehen, dass die Angreifer Zugang erhalten haben. Die Angreifer werden nicht so einfach aufgeben.<\/p>\n<p>Es ist auch Routine f\u00fcr Angreifer, Tools und Playbooks zu nutzen, die f\u00fcr die Erlangung erweiterter Zugriffsrechte entwickelt wurden, um Sicherheitstools (und Backups) zu deaktivieren.<\/p>\n<p>Aus diesem Grund ist der beste Zeitpunkt, um Angriffe fr\u00fchzeitig zu erkennen und zu unterbrechen, idealerweise dann, wenn die Angreifer (oft automatisiert) versuchen, sich auf Ihrem System einzunisten. Es ist viel einfacher, Angriffe im Keim zu ersticken, als sich mit der n\u00e4chsten Stufe auseinanderzusetzen, wenn Sie es mit einem echten menschlichen Hacker zu tun haben, der mit einem bew\u00e4hrten Playbook und zahlreichen Tools arbeitet, die ihm dabei helfen, Ihr Netzwerk schnell erkunden und die vollst\u00e4ndige Kontrolle zu \u00fcbernehmen.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>Wenn wir also \u00fcber die Erkennung von Ransomware sprechen, sollte die bessere Frage lauten: \u201eWie erkennen wir die <em>fr\u00fchen Warnzeichen einer Kompromittierung<\/em>, die schnell zu einem Angriff mit Ransomware <em>f\u00fchren<\/em> k\u00f6nnte?\u201c<\/strong><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Die Betonung liegt dabei auf \u201eschnell\u201c. Aus Berichten geht hervor, dass Ransomware nach dem ersten Zugriff innerhalb von Tagen oder sogar nur Stunden eingesetzt werden kann. Siehe die Aufschl\u00fcsselungen des DFIR-Berichts zu <a href=\"https:\/\/thedfirreport.com\/2021\/10\/18\/icedid-to-xinglocker-ransomware-in-24-hours\/\" target=\"_blank\" rel=\"noopener\">IcedID to XingLocker ransomware in 24 hours<\/a> sowie auch <a href=\"https:\/\/thedfirreport.com\/2020\/08\/31\/netwalker-ransomware-in-1-hour\/\" target=\"_blank\" rel=\"noopener\">Netwalker Ransomware in 1 Hour<\/a>.<\/p>\n<p>Mit so wenig Zeit, um die Bedrohung zu erkennen und darauf zu reagieren, ist es wichtig, dass Tools und erfahrene Fachleute die Systeme aktiv \u00fcberwachen und bereit sind, darauf zu reagieren (idealerweise mit Hilfe von Automatisierungen).<\/p>\n<h2>Genug der Vorrede, was sind also Fr\u00fchwarnzeichen f\u00fcr Ransomware und gute Erkennungsm\u00f6glichkeiten?<\/h2>\n<p>Die gute Nachricht ist, dass es zwar eine Vielzahl von Akteuren und Gruppen sowie Angriffsvarianten gibt, die meisten aber immer noch auf g\u00e4ngige Playbooks und Tools zur\u00fcckgreifen. Dank der Arbeit von Forschern wie denen von <a href=\"https:\/\/thedfirreport.com\/\" target=\"_blank\" rel=\"noopener\">The DFIR Report<\/a> und anderen k\u00f6nnen Verteidiger die g\u00e4ngigsten TTPs erlernen und entsprechende Fr\u00fchwarnsysteme entwickeln.<\/p>\n<p>Im Folgenden finden Sie eine Liste von Erkennungsm\u00f6glichkeiten, die g\u00e4ngigen Ransomware-Angriffsmustern zugeordnet sind (mit einem gro\u00dfen Verweis auf den <a href=\"https:\/\/thedfirreport.com\/2022\/03\/07\/2021-year-in-review\/\" target=\"_blank\" rel=\"noopener\">Jahresr\u00fcckblick 2021 des DFIR-Berichts<\/a>). Diese Liste ist keineswegs vollst\u00e4ndig, aber sie sollte Ihnen eine gute Orientierung f\u00fcr den Einstieg bieten.<\/p>\n<p>Wenn Sie eine <a href=\"https:\/\/www.ninjaone.com\/de\/endpunkt-verwaltung\/\">Endpunktverwaltungsl\u00f6sung<\/a> oder ein <a href=\"https:\/\/www.ninjaone.com\/de\/rmm\/\">RMM<\/a> wie NinjaOne verwenden, k\u00f6nnen Sie f\u00fcr viele dieser Erkennungs- und \u00dcberwachungsstrategien alarmierungen erstellen, die Sie dann einfach auf allen Endpunkten ausrollen k\u00f6nnen. Das erspart Ihnen und Ihrem Team viel manuelle Arbeit. Sie k\u00f6nnen auch automatisierte Aktionen einrichten, die durch Alarmierungen ausgel\u00f6st werden, z. B. automatisiert Neuinstallationen\/Neustarts von AV \/ EDR-Prozessen einzuleiten, wenn diese als fehlend oder deaktiviert erkannt werden.<\/p>\n<p>Wenn Sie noch einen Schritt weiter gehen wollen, haben die Experten von The DFIR Report auch <a href=\"https:\/\/thedfirreport.com\/2022\/06\/16\/sans-ransomware-summit-2022-can-you-detect-this\/\" target=\"_blank\" rel=\"noopener\">eine ganze Reihe \u00e4u\u00dferst n\u00fctzlicher Sigma-Regeln<\/a> zur Verf\u00fcgung gestellt, die Sie mit <a href=\"https:\/\/labs.f-secure.com\/tools\/chainsaw\/\" target=\"_blank\" rel=\"noopener\">Chainsaw nutzen k\u00f6nnen, einem kostenlosen Open-Source-Tool von F-Secure Labs<\/a>, das eine schnelle M\u00f6glichkeit bietet, Ereignisprotokolle zu durchforsten und verd\u00e4chtige Anzeichen eines Angriffs zu identifizieren.<\/p>\n<h2>Typen von Ransomware-Angriffstaktiken und wie man sie erkennt &#8211; Detektion in verschiedenen Angriffstadien<\/h2>\n<h3>Initial access (anf\u00e4nglicher Zugriff)<\/h3>\n<p><strong>Berichte von Endbenutzern \u00fcber verd\u00e4chtige E-Mails:<\/strong> Sie machen zwar nicht so viel Schlagzeilen wie Zero-Day-Schwachstellen, und doch sind sch\u00e4dliche E-Mails, die Benutzer zum Herunterladen und Ausf\u00fchren von Malware verleiten sollen, nach wie vor <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">eine der meistgenutzten Angriffsmethoden<\/a>. Warum? Weil es immer noch funktioniert.<\/p>\n<ul>\n<li><strong>Wie man verd\u00e4chtige E-Mails erkennt:<\/strong> Es ist wichtig, dass Unternehmen ihren Mitarbeitern Schulungen zum Thema Sicherheit anbieten, aber auch eine Kultur schaffen, in der sie aktiv ermutigt und belohnt werden, verd\u00e4chtige E-Mails zu melden UND potenzielle Fehler dabei zu machen.<\/li>\n<\/ul>\n<p><strong>Verd\u00e4chtige RDP-Verbindungen:<\/strong> Ungesch\u00fctztes RDP ist ein weiterer Angriffsvektor, \u00fcber den einige IT- und Sicherheitsexperten vielleicht die Augen verdrehen, der aber nach wie vor einen der wichtigsten Angriffspunkte f\u00fcr Ransomware-Vorf\u00e4lle darstellt.<\/p>\n<ul>\n<li>Wie man verd\u00e4chtige RDP-Verbindungen erkennt: In diesem Beitrag von NCCGroup wird erl\u00e4utert, <a href=\"https:\/\/research.nccgroup.com\/2021\/10\/21\/detecting-and-protecting-when-remote-desktop-protocol-rdp-is-open-to-the-internet\/\" target=\"_blank\" rel=\"noopener\">wie unauff\u00e4llige Ereignisse protokolliert<\/a> werden k\u00f6nnen, die im Zusammenhang mit versuchten und erfolgreichen RDP-Sitzungen stehen. Dar\u00fcber hinaus geht <a href=\"https:\/\/www.cyberdrain.com\/documenting-with-powershell-documenting-remote-access\/\" target=\"_blank\" rel=\"noopener\">dieses Skript des PowerShell-Experten Kelvin Tegelaar<\/a> noch einen Schritt weiter, indem es dokumentiert, ob verschiedene Fernzugriffstools installiert sind (Remote Desktop, Teamviewer, Connectwise ScreenConnect und andere) und protokolliert, wenn eine erfolgreiche Verbindung hergestellt wurde.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Persistence (andauernde Bedrohung)<\/h3>\n<p><strong>Erstellung suspekter geplanter Aufgaben<\/strong>: Eine der h\u00e4ufigsten Methoden, mit denen Angreifer sich in Ihr System hereinarbeiten und Traktion erlangen.<\/p>\n<ul>\n<li><strong>So erkennen Sie verd\u00e4chtige geplante Aufgabenerstellungen:<\/strong> \u00dcberwachung und Benachrichtigung zu den Windows-Ereignis-IDs 4698 und 4700 einrichten oder <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-3-monitoring-creation-of-scheduled-tasks\/\" target=\"_blank\" rel=\"noopener\">dieses PowerShell-Skript von Kelvin Tegelaar verwenden<\/a>.<\/li>\n<\/ul>\n<p><strong>Nicht genehmigte Fernzugriffssoftware:<\/strong> Eine weitere Taktik, die sich immer mehr durchsetzt, ist die Installation von von Drittanbieter-Software wie AnyDesk (die bei weitem beliebteste), Atera, TeamViewer und Splashtop durch Angreifer.<\/p>\n<ul>\n<li><strong>Wie man unerw\u00fcnschte Fernzugriffssoftware erkennt:<\/strong> Entsprechende Tools sind bei MSPs sehr beliebt, aber wenn Sie einige oder alle dieser Tools NICHT verwenden, sollten sie eine \u00dcberwachung daf\u00fcr einrichten und sich unbedingt benachrichtigen lassen, sobald die entsprechende Software in Ihrer Umgebung auftaucht. Auch hierf\u00fcr <a href=\"https:\/\/www.cyberdrain.com\/documenting-with-powershell-documenting-remote-access\/\" target=\"_blank\" rel=\"noopener\">kann Kelvins Skript verwendet werden<\/a> (siehe den Kommentar von Luke Whitlock f\u00fcr eine Modifikation, die auf AnyDesk \u00fcberwacht).<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Dar\u00fcber hinaus k\u00f6nnen Sie auch die Windows-Ereignis-ID 7045 \u00fcberwachen.\u00a0 <\/span><\/p>\n<p>&nbsp;<\/p>\n<h3>Hochstufung von Zugriffsprivilegien \/ Zugriff auf Zugangsdaten<\/h3>\n<p><strong>Extrahieren von Anmeldeinformationen aus der lokalen Sicherheitsautorit\u00e4t (LSASS) von Windows:<\/strong> Es gibt zwar noch andere M\u00f6glichkeiten f\u00fcr Angreifer, Zugangsdaten abzugreifen, aber dies ist bei weitem eine der h\u00e4ufigsten.<\/p>\n<ul>\n<li><strong>Wie man LSASS-Missbrauch erkennt:<\/strong> Eine gute M\u00f6glichkeit, zu \u00fcberwachen (und diese M\u00f6glichkeit zu blockieren), ob jemand versucht Zugangsdaten \u00fcber LSASS zu stehlen, ist die Nutzung von <a href=\"https:\/\/docs.microsoft.com\/en-us\/microsoft-365\/security\/defender-endpoint\/attack-surface-reduction-rules-reference?view=o365-worldwide#block-credential-stealing-from-the-windows-local-security-authority-subsystem\" target=\"_blank\" rel=\"noopener\">Microsofts Regeln zur Reduzierung der Angriffsfl\u00e4che (ASR)<\/a> (Windows 10 Version 1709 \/ Windows Server Version 1809 oder h\u00f6her erforderlich). Nebenbei bemerkt: Andere ASR-Regeln eignen sich auch hervorragend zum Blockieren einer Vielzahl g\u00e4ngiger Versuche, b\u00f6sartigen Code auszuf\u00fchren und sich einen ersten Zugang zu verschaffen (Beispiele: Blockieren der Erstellung untergeordneter Prozesse durch Office-Programme; Verweigerung des Starts ausf\u00fchrbarer Programme durch JavaScript oder VBScript; etc.) Lesen Sie dazu diesen englischsprachigen Post von Palantir&#8217;s Security Team \u00fcber <a href=\"https:\/\/blog.palantir.com\/microsoft-defender-attack-surface-reduction-recommendations-a5c7d41c3cf8\" target=\"_blank\" rel=\"noopener\">assessment of ASR rule impact and recommended settings<\/a>. Viele EDR-Tools bieten auch \u00e4hnliche Funktionen zum Blockieren und Auffinden zum Schutz der LSASS-Prozesse.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Umgehung von Abwehrma\u00dfnahmen<\/h3>\n<p><b>Deaktivierung\/Deinstallation von Antivirus und anderen Sicherheitstools:<\/b><span style=\"font-weight: 400;\"> Warum sollten sich Angreifer die M\u00fche machen, Sicherheitstools an der Nase herum zu f\u00fchren, wenn es M\u00f6glichkeiten gibt, diese schlicht zu deaktivieren?<\/span><\/p>\n<ul>\n<li><b>Wie man Manipulationen beim Antivirus-Schutz erkennen kann:<\/b><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-2-anti-virus-installation-status\/\" target=\"_blank\" rel=\"noopener\"> <span style=\"font-weight: 400;\">Werfen Sie einen Blick auf dieses Skript von Kelvin Tegelaar<\/span><\/a><span style=\"font-weight: 400;\"> oder, falls vorhanden,<\/span><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/28-monitoring-empfehlungen\/\"> <span style=\"font-weight: 400;\">nutzen Sie die Vorteile Ihrer RMM-Software<\/span><\/a><span style=\"font-weight: 400;\">, um regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen, ob Ihre Sicherheitstools installiert und aktiviert sind.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Erkennung \/ Discovery<\/h3>\n<p><b>Nicht genehmigte Ausf\u00fchrung von Port-Scans und Werkzeugen zur Netzwerkerkennung (network discovery tools): <\/b><span style=\"font-weight: 400;\">Sobald ein Zugangspunkt geschaffen wurde, m\u00fcssen sich die Angreifer sich orientieren und herausfinden, wo genau sie gelandet sind und welche Optionen bestehen, sich horizontal durch Ihre IT-Umgebung zu fortzubewegen. Oft werden in Windows integrierte Dienstprogramme wie nltest.exe, ipconfig, whoami sowie ADFind, etc. genutzt. Andere Angreifer verwenden Port-Scanning-Tools wie Advanced IP Scanner.<\/span><\/p>\n<ul>\n<li><strong>Wie man verd\u00e4chtige Port-Scanner und Erkundungstools identifiziert:<\/strong> Wie bei den Tools f\u00fcr den Fernzugriff k\u00f6nnen Sie versuchen, sofern Sie diese Werkzeuge nicht regelm\u00e4\u00dfig selbst einsetzen, entsprechende \u00dcberwachungen und Monitore einzusetzen. Nutzen Sie Automatisierungsregeln, um diese Werkzeuge aktiv zu blockieren und Ihre Systeme auf Ihren Einsatz hin zu \u00fcberwachen.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Lateral Movement (Horizontalbewegungen)<\/h3>\n<p><b>Verdacht auf Einsatz von Cobalt Strike: <\/b><span style=\"font-weight: 400;\">Cobalt Strike ist eine &#8222;Software zur Simulation feindlicher Angriffe&#8220;, die leider bei Angreifern ebenso beliebt ist, wie bei Penetrationstestern, f\u00fcr welche die Software urspr\u00fcnglich gedacht war. Es macht eine breite Palette von Post-Exploit-Taktiken sehr einfach und wird routinem\u00e4\u00dfig f\u00fcr Ransomware-Angriffe eingesetzt.<\/span><\/p>\n<ul>\n<li><strong>Wie man Cobalt Strike erkennt:<\/strong> Viele EDR-Tools und Sicherheitsexperten konzentrieren sich auf das Erkennen von Cobalt Strike. <a href=\"https:\/\/github.com\/MichaelKoczwara\/Awesome-CobaltStrike-Defence\" target=\"_blank\" rel=\"noopener\">Hier finden Sie eine gro\u00dfartige Sammlung von Ressourcen, die Ihnen dabei helfen werden, es ihnen gleich zu tun<\/a>.<\/li>\n<\/ul>\n<p><b>Nicht genehmigte Fernzugriffssoftware: <\/b><span style=\"font-weight: 400;\">Siehe den Abschnitt \u00fcber den Fernzugriff unter \u201ePersistence&#8220; weiter oben.<\/span><\/p>\n<p><b>Verd\u00e4chtige Fernzugriffsverbindungen:<\/b><span style=\"font-weight: 400;\"> Dies kann die Verwendung von RDP, SMB, VNC und mehr umfassen.<\/span><\/p>\n<ul>\n<li><strong>Wie man verd\u00e4chtige Fernzugriffsverbindungen erkennt:<\/strong> Sehen Sie sich diese <a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/\" target=\"_blank\" rel=\"noopener\">Liste mit \u00dcberwachungsideen von MITRE<\/a> an (z. B. Aufbau von Netzwerkverbindungen, Zugriff auf Netzwerkfreigaben usw.) und arbeiten Sie sich zu den entsprechenden Untertechniken vor, um Einzelheiten zum Missbrauch von RDP, SMB, VNC, SSH usw. zu erfahren.<\/li>\n<\/ul>\n<p><b>Verd\u00e4chtige Verwendung von PsExec: <\/b><span style=\"font-weight: 400;\">PsExec ist ein weiteres integriertes Microsoft-Tool, das h\u00e4ufig von Angreifern missbraucht wird. So k\u00f6nnen Sie als SYSTEM Befehle oder Skripte aus der Ferne ausf\u00fchren.<\/span><\/p>\n<ul>\n<li><strong>Wie man PsExec-Missbrauch erkennt:<\/strong> Unser Mann <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-monitoring-psexec-execution\/\" target=\"_blank\" rel=\"noopener\">Kelvin hat auch daf\u00fcr ein Skript<\/a>. Hier finden Sie <a href=\"https:\/\/www.praetorian.com\/blog\/threat-hunting-how-to-detect-psexec\/\" target=\"_blank\" rel=\"noopener\">weitere Windows-Ereignis-IDs und Registry-\u00c4nderungen, auf die Sie achten sollten<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Datenexfiltration<\/h3>\n<p><b>Verd\u00e4chtige ausgehende Verbindungen und Ausschl\u00e4ge im Datenverkehr:<\/b><span style=\"font-weight: 400;\"> Um ihre Opfer besser erpressen zu k\u00f6nnen, verschl\u00fcsseln Angreifer immer h\u00e4ufiger nicht nur Daten, sondern exfiltrieren sie zuvor. Damit drohen sie zus\u00e4tzlich damit, die Daten zu verkaufen oder sie f\u00fcr alle Welt zug\u00e4nglich zu ver\u00f6ffentlichen. <\/span><\/p>\n<ul>\n<li><strong>Wie man die Exfiltration von Daten erkennt:<\/strong> Zu den Indikatoren f\u00fcr eine potenzielle Datenexfiltration geh\u00f6ren gro\u00dfe Ausschl\u00e4ge im ausgehenden Datenverkehr, unerwartete Verbindungen zu \u00f6ffentlichen IP-Adressen, ungew\u00f6hnliche Verwendung von Ports, gro\u00dfe Mengen an DNS-Anfragen, verd\u00e4chtige Quelldateierweiterungen (.rar, .7z, .zip usw.) und vieles mehr. Netzwerk\u00fcberwachung und Firewall-Regeln k\u00f6nnen hier eine wichtige Rolle bei der Verteidigung spielen. Weitere Ideen finden Sie im <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0010\/\" target=\"_blank\" rel=\"noopener\">Abschnitt &#8222;Exfiltration&#8220; von MITRE ATT&amp;CK<\/a>.<\/li>\n<\/ul>\n<p><b>Missbrauch von Open-Source-Tools zur Datei\u00fcbertragung (integriert und\/oder Open Source):<\/b><span style=\"font-weight: 400;\"> Angreifer verwenden gerne ansonsten legitime Tools, um Ihre Aktionen zu tarnen. F\u00fcr die Datenexfiltration bieten sich Microsoft BITS, curl.exe, Rclone, Mega (MegaSync und MegaCmd) und andere Werkzeuge an.<\/span><\/p>\n<ul>\n<li><strong>Wie man verd\u00e4chtige Aktivit\u00e4ten in Bezug auf Datei\u00fcbertragungen erkennt:<\/strong> Angreifer k\u00f6nnten diese Programme umbenennen, aber manche machen sich diese M\u00fche einfach nicht. Somit ist das Blockieren und\/oder die \u00dcberwachung und Alarmierung auf ihre Verwendung hin ein guter Ausgangspunkt f\u00fcr Ihre Defensivbem\u00fchungen. F\u00fcr weitere Ideen zu fortgeschrittenen Abwehrma\u00dfnahmen empfehlen wir: <a href=\"https:\/\/research.nccgroup.com\/2021\/05\/27\/detecting-rclone-an-effective-tool-for-exfiltration\/\" target=\"_blank\" rel=\"noopener\">detecting Rclone<\/a>, <a href=\"https:\/\/redcanary.com\/blog\/rclone-mega-extortion\/\" target=\"_blank\" rel=\"noopener\">detecting Mega and Rclone<\/a>, sowie <a href=\"https:\/\/attack.mitre.org\/techniques\/T1197\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK ID T1197<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2>Ransomware Detection: Zus\u00e4tzliche Sicherheitsebene &#8211; verwaltet und skalierbar<\/h2>\n<p><span style=\"font-weight: 400;\">Die aktive \u00dcberwachung und Alarmierung in Bezug auf die beschriebenen Aktivit\u00e4ten kann f\u00fcr Unternehmen ohne qualifizierte und geschulte Mitarbeiter eine Herausforderung darstellen. In vielen F\u00e4llen ist die Zusammenarbeit mit den richtigen externen Experten der ratsame, richtige Weg. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">Falls Sie weitere Inspirationen f\u00fcr Automatisierungen erhalten m\u00f6chten, die IT-Teams mit Hilfe der NinjaOne-Plattform implementieren k\u00f6nnen und nutzen k\u00f6nnen, lesen Sie unseren Artikel <\/span><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/28-monitoring-empfehlungen\/\"><span style=\"font-weight: 400;\">\u201eWas sollten Sie mithilfe Ihres RMM \u00fcberwachen? 28 Monitoring-Empfehlungen\u201c<\/span><\/a><\/p>\n<p><span style=\"font-weight: 400;\">NinjaOne arbeitet auch mit Bitdefender zusammen und bietet eine integrierte Anti-Ransomware-L\u00f6sung als Teil seiner Unified-IT-Management-Plattform an. Durch die Kombination von<\/span><span style=\"font-weight: 400;\"> Ninja + Bitdefender GravityZone + Ninja Data Protection unterst\u00fctzt das Sicherheitspaket namens <a href=\"https:\/\/www.ninjaone.com\/de\/ransomware\/\">NinjaOne Protect<\/a> IT-Experten und Unternehmen dabei, Ransomware-Angriffe zu verhindern, zu erkennen und erfolgreich darauf zu reagieren.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Registrieren Sie sich hier f\u00fcr eine <\/span><a href=\"https:\/\/www.ninjaone.com\/de\/kostenlosetestversionformular\/\"><span style=\"font-weight: 400;\">kostenlose Testversion<\/span><\/a><span style=\"font-weight: 400;\"> von NinjaOne Protect. <\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hier finden Sie ein Dutzend M\u00f6glichkeiten, wie IT-Teams jeder Gr\u00f6\u00dfe automatische Alarmierungen einrichten k\u00f6nnen, um Ransomware-Angriffe zu erkennen, bevor es zu sp\u00e4t ist.\u00a0\u00a0 Es ist verr\u00fcckt, wenn man bedenkt, dass es im Mai dieses Jahres f\u00fcnf Jahre her ist, dass der Ausbruch von WannaCry dazu beigetragen hat, Ransomware in der \u00d6ffentlichkeit zu einem Begriff zu [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":260703,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"","_lmt_disable":"","footnotes":""},"categories":[4368,3041],"tags":[],"class_list":["post-146066","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit","category-rmm-de"],"acf":[],"modified_by":null,"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/146066","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/comments?post=146066"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/146066\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/260703"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=146066"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/categories?post=146066"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/tags?post=146066"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}