Das ist zumindest das Ergebnis einer Studie zur Ransomware Cerber. Demnach kann Windows Defender ATP die Funktionsweise einer Ransomware erkennen und deren weitere Ausbreitung im Netzwerk verhindern. Das Sicherheitstool ist allerdings Windows 10 Enterprise vorbehalten.

Microsoft hat Ergebnisse einer Untersuchung zur Ransomware Cerber veröffentlicht. Sie war demnach zwischen 15. Dezember und 16. Januar für 26 Prozent aller Ransomware-Angriffe verantwortlich. Die Studie soll zudem belegen, dass Windows Defender Advanced Threat Protection (ATP) in der Lage ist, die Verbreitung von Erpressersoftware im Firmennetzwerk einzudämmen, falls eine Desktop-Antivirensoftware einen Schädling ins System gelassen hat.

„Unsere Forschung zu verbreiteten Ransomware-Familien zeigt, dass sich Kampagnen über Tage oder sogar Wochen erstrecken können, währenddessen sie ähnliche Dateien und Techniken anwenden. Solange Unternehmen schnell die ersten Fälle einer Infektionen oder den ‚Patienten Zero‘ finden können, können sie oftmals eine Ransomware-Epidemie effektiv stoppen“, schreibt Tommy Blizard, Mitglied des Windows Defender ATP Research Team, in einem Blogeintrag.

Blizard unterstellt, da unterschiedliche Ransomware-Familien ähnliche Techniken verwenden, dass sich die durch Cerber gewonnenen Erkenntnisse auch auf andere Varianten übertragen lassen. Das soll schnellere Reaktionen von IT-Administratoren erlauben.

Unter anderem soll Windows Defender ATP einen PowerShell-Befehl erkannt haben, der benutzt wird, um Cerber zu verteilen. Zudem erstellte die Sicherheitssoftware eine Warnung, als das PowerShell-Skript eine Verbindung zu einer Seite im TOR-Netzwerk herstellte, um eine ausführbare Datei herunterzuladen. „Das Personal des Security Operations Center (SOC) kann solche Warnungen benutzen, um die Quell-IP-Adresse zu ermitteln und über die Firewall zu blockieren, was verhindert, dass andere Maschinen die ausführbare Datei herunterladen. In diesem Fall war die ausführbare Datei eine Ransomware“, ergänzte Blizard.

Windows Defender ATP erkannte der Studie zufolge aber auch, wie Cerber automatisch nach dem Download des Payload gestartet wurde und welche Aktionen Cerber unmittelbar vor Beginn der Dateiverschlüsselung ausführte. Die daraus resultierenden Warnmeldungen lieferten Sicherheitsexperten zusätzliche Informationen und hälfen ihnen, einen Ransomware-Ausbruch zu verhindern.

„Die Forschung befürwortet Machine-Learning-Modelle und Algorithmen zur verhaltensbasierten Erkennung, um Ransomware in unterschiedlichen Stadien zu erkennen, von der Verteilung per E-Mail oder über Exploit-Kits bis zu dem Punkt, an dem Opfer das Lösegeld zahlen“, so Blizard weiter.

Windows Defender ATP ist Bestandteil der Enterprise-Version von Windows 10. Mit dem kommenden Creators Update erhält die Software neue Funktionen, mit denen Microsoft – wie auch mit der Studie zu Cerber – Unternehmen zum Umstieg auf Windows 10 bewegen will. Neue Sensoren können künftig beispielsweise nur im Speicher ausgeführte Malware und Kernel-Level-Exploits aufspüren. Neu ist auch die Möglichkeit, Informationsquellen hinzuzufügen. Microsoft integriert zudem neue Werkzeuge für die Isolierung infizierter Computer.