Microsoft rüstet im Bereich Sicherheit seit Jahren erheblich auf. Die Bemühungen werden teilweise aus wettbewerbsrechtlichen teilweise auch aus technischen Gründen skeptisch gesehen: Zumindest den bisherigen “Windows-Bordmitteln” wird unterstellt, einen lediglich unzureichenden Grundschutz zu liefern. Mit der Komponente Windows Defender will Microsoft diesbezüglich nachbessern, einige Neuerungen sollen mit dem sogenannten “Creators Update” im Frühjahr ausgeliefert werden. Noch einen Schritt weiter geht Microsoft mit Windows Defender ATP, das allerdsing zunächst nur für Windows 10 Enterprise angeboten wird.
Um Unternehmenskunden von der Leistungsfähigkeit des Angebots zu überzeugen hat Microsoft nun Ergebnisse einer Untersuchung zur Ransomware Cerber veröffentlicht. Auf diese Erpressersoftware entfielen demnach zwischen 15. Dezember und 16. Januar 26 Prozent aller Ransomware-Attacken. Die Untersuchung soll zudem belegen, dass Windows Defender Advanced Threat Protection (ATP) die Verbreitung von Erpressersoftware im Firmennetzwerk effektiv unterbinden kann, falls eine Desktop-Antivirensoftware deren Eindringen zugelassen hat.
Laut Tommy Blizard, Mitglied des Windows Defender ATP Research Team, hat Windows Defender ATP einen PowerShell-Befehl erkannt, der benutzt wird, um Cerber zu verteilen. Zudem warnte die Sicherheitssoftware, als das PowerShell-Skript eine Verbindung zu einer Seite im TOR-Netzwerk herstellte, um eine ausführbare Datei herunterzuladen.
Blizard unterstellt, da unterschiedliche Ransomware-Familien ähnliche Techniken verwenden, dass sich die durch Cerber gewonnenen Erkenntnisse auch auf andere Varianten übertragen lassen. Das soll schnellere Reaktionen von IT-Administratoren erlauben.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
“Das Personal des Security Operations Center (SOC) kann solche Warnungen benutzen, um die Quell-IP-Adresse zu ermitteln und über die Firewall zu blockieren, was verhindert, dass andere Maschinen die ausführbare Datei herunterladen. In diesem Fall war die ausführbare Datei eine Ransomware”, so Blizard.
Windows Defender ATP erkannte ihm zufolge auch, wie Cerber nach dem Download des Payload automatisch gestartet wurde und welche Aktionen Cerber unmittelbar vor Beginn der Dateiverschlüsselung ausführte. Die daraus resultierenden Warnmeldungen lieferten zusätzliche Informationen können dabei helfen, die interne Verbreitung von Ransomware zu verhindern.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Fred, der KI-gesteuerte digitale Assistent, nutzt den Generative AI Service der OCI und die Oracle…
Cyberkriminelle verstärken Angriffe mit FakeUpdates und RansomHub als Schlüsselwerkzeuge.
Autonom agierende Agenten werden Sicherheitsteams bei der Angriffsabwehr unterstützen, sagt Zac Warren von Tanium.
Schweden hat in seiner Entwicklung hin zu einer bargeldlosen Gesellschaft einen überraschenden Rückzieher gemacht. Diese…
"Uns geht es vielmehr darum aufzuzeigen, wie Open-Source-KI realisierbar ist", sagt Jan Wildeboer von Red…
