Per E-Mail gesendete und mittels bösartigen Makros manipulierte MS-Office-Dokumente gehören nach wie vor zum bevorzugten Werkzeug bei Ransomware-Attacken. Und der „Erfolg“ gibt den Angreifern Recht: Sei es die angeblich zu bezahlende Rechnung oder die dringend zu prüfenden Finanzzahlen. Im Eifer des Arbeitsalltags klicken Nutzern nur zu gerne und zu schnell auf die entsprechenden Anhänge.
Potenzielles Sicherheitsrisiko: Office-Makros nicht mehr automatisch blockiert
Dieser Gefahr ist sich auch Microsoft durchaus bewusst: Anfang des Jahres verkündete der Konzern daher, das Ausführen von Makros für Dateien aus dem Internet standardmäßig zu blockieren. Nun erfolgte allerdings die Kehrtwende. Anfang Juli hieß es dazu auf der offiziellen Support-Seite: „Basierend auf Feedback führen wir diese Änderung (…) zurück. Wir schätzen das Feedback, das wir bisher erhalten haben, und arbeiten daran, Verbesserungen bei dieser Erfahrung vorzunehmen.“. Microsoft gab bekannt, die Funktion weiterentwickeln zu wollen – ohne allerdings einen konkreten Zeitraum für die erneute Verfügbarkeit zu nennen. Als Hintergrund für die aktuelle Maßnahme vermuten Fachmedien daher, dass es Probleme bei der Umsetzung gegeben haben könnte. Laut einem Test der Experten von Heise Security etwa, erschien oftmals weiterhin lediglich die gewohnte gelbe Warnmeldung. Diese lässt sich bekanntermaßen problemlos wegklicken, womit Angreifer quasi freie Bahn haben.
Sandboxing und Machine Learning: Office-Dateien im Detail analysieren und Erkennungsrate erhöhen
Um sich vor derartigen und anderen vergleichbaren Makro-Viren in Dokumenten bestmöglich abzusichern, empfiehlt Retarus in jedem Fall den Einsatz einer Sandboxing-Lösung. Denn um jene Malware-Varianten und ähnlich anpassungsfähige Bedrohungen zu bekämpfen, kommt vor allem maschinellem Lernen eine besondere Bedeutung zu, die in keiner IT-Security-Strategie fehlen sollte. Aktuelle Machine-Learning-Modelle können vorgenommene Änderungen in ausführbaren Dateien besonders gut erfassen – ein großer Schwachpunkt bisheriger signaturbasierter Ansätze, der im oben beschriebenen Szenario Angreifern viel zu häufig in die Hände spielt. Beim Sandboxing-Ansatz werden verdächtige Inhalte innerhalb der Retarus-Infrastruktur in einer geschützten Umgebung ausgeführt und eingehend überprüft. Im Fokus dieser vollautomatischen Analyse stehen dabei häufig für Attacken ausgenutzte Dateiformate wie eben beispielsweise Microsoft Office-Dokument. Als infiziert erkannte E-Mails werden gelöscht oder umgehend in Quarantäne verschoben. Betrieben wird die Sandboxing-Technologie übrigens ausschließlich in Retarus-eigenen europäischen Rechenzentren – ganz ohne selbst sensible Daten an Drittanbieter zu übertragen.
Lösung für Post Delivery Protection minimiert Gefahren zusätzlich
Ergänzend zum Sandboxing-Ansatz bietet Retarus mit seiner Patient Zero Detection® (PZD) einen zusätzlichen wertvollen Schutzmechanismus im Rahmen der Post Delivery Protection. Mit dieser patentierten Technologie lassen sich gefährliche E-Mails auch nach der Zustellung in die Postfächer noch ausfindig und unschädlich machen. Und zwar idealerweise bevor der Empfänger sie öffnet und möglicherweise den gefährlichen Anhang ausführt: Denn ein Großteil der PZD-Befunde wird bereits innerhalb weniger Minuten nach Zustellung identifiziert. Bei knapp einer halben Million neuer Virusvarianten am Tag ein entscheidender Vorteil, um die Gefahren eines Cyberangriffs weiter zu minimieren.