Microsoft rüstet im Bereich Sicherheit seit Jahren erheblich auf. Die Bemühungen werden teilweise aus wettbewerbsrechtlichen teilweise auch aus technischen Gründen skeptisch gesehen: Zumindest den bisherigen “Windows-Bordmitteln” wird unterstellt, einen lediglich unzureichenden Grundschutz zu liefern. Mit der Komponente Windows Defender will Microsoft diesbezüglich nachbessern, einige Neuerungen sollen mit dem sogenannten “Creators Update” im Frühjahr ausgeliefert werden. Noch einen Schritt weiter geht Microsoft mit Windows Defender ATP, das allerdsing zunächst nur für Windows 10 Enterprise angeboten wird.
Um Unternehmenskunden von der Leistungsfähigkeit des Angebots zu überzeugen hat Microsoft nun Ergebnisse einer Untersuchung zur Ransomware Cerber veröffentlicht. Auf diese Erpressersoftware entfielen demnach zwischen 15. Dezember und 16. Januar 26 Prozent aller Ransomware-Attacken. Die Untersuchung soll zudem belegen, dass Windows Defender Advanced Threat Protection (ATP) die Verbreitung von Erpressersoftware im Firmennetzwerk effektiv unterbinden kann, falls eine Desktop-Antivirensoftware deren Eindringen zugelassen hat.
Laut Tommy Blizard, Mitglied des Windows Defender ATP Research Team, hat Windows Defender ATP einen PowerShell-Befehl erkannt, der benutzt wird, um Cerber zu verteilen. Zudem warnte die Sicherheitssoftware, als das PowerShell-Skript eine Verbindung zu einer Seite im TOR-Netzwerk herstellte, um eine ausführbare Datei herunterzuladen.
Blizard unterstellt, da unterschiedliche Ransomware-Familien ähnliche Techniken verwenden, dass sich die durch Cerber gewonnenen Erkenntnisse auch auf andere Varianten übertragen lassen. Das soll schnellere Reaktionen von IT-Administratoren erlauben.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
“Das Personal des Security Operations Center (SOC) kann solche Warnungen benutzen, um die Quell-IP-Adresse zu ermitteln und über die Firewall zu blockieren, was verhindert, dass andere Maschinen die ausführbare Datei herunterladen. In diesem Fall war die ausführbare Datei eine Ransomware”, so Blizard.
Windows Defender ATP erkannte ihm zufolge auch, wie Cerber nach dem Download des Payload automatisch gestartet wurde und welche Aktionen Cerber unmittelbar vor Beginn der Dateiverschlüsselung ausführte. Die daraus resultierenden Warnmeldungen lieferten zusätzliche Informationen können dabei helfen, die interne Verbreitung von Ransomware zu verhindern.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…
