Umfassender Schutz vor Ransomware: Identifikation, Reaktion und Wiederherstellung

Jan. 07, 2020

Umfassender Schutz vor Ransomware: Identifikation, Reaktion und Wiederherstellung

BY Chris Brunau

Ransomware

Einleitung

Ransomware ist eine Malware-Art, die Dateien und Ordner verschlüsselt und von den Opfern Lösegeld erpresst, um die Daten zu entschlüsseln. Ransomware lässt sich einfach verbreiten und ist für Hacker, die es auf Unternehmen abgesehen haben, eine aus mehreren Gründen besonders effiziente Waffe. Zum einen werden Ransomware-Stämme kontinuierlich modifiziert, um eine Erkennung durch Antiviren-Software zu vermeiden. Eine weitere, perfide Taktik: Ransomware wird durch Social Engineering-Methoden verbreitet, die den Antiviren-Schutz vollständig umgehen können. Dadurch ist die Anzahl der Ransomware-Angriffe in den letzten Jahren deutlich angestiegen.

Viele Ransomware-Varianten treten in Kombination mit Computerwürmern auf, wodurch eine Verbreitung in Netzwerken möglich ist, um Geräte auch über die ursprüngliche Quelle hinaus zu infizieren. Laut des globalen Ransomware Reports von Datto geben 33 % der befragten Managed Service Provider (MSPs) an, dass sie mit dieser Art der Ransomware-Infizierung bereits konfrontiert waren. Ransomware-Angriffe beschränken sich dabei nicht nur auf On-Premises-Systeme, auch Software-as-a-Service (SaaS)-Anwendungen geraten zunehmend ins Visier der Hacker. 28 % der MSPs berichten über Ransomware-Angriffe auf SaaS-Anwendungen wie Office 365, GSuite und Dropbox.

Ransomware-Angriffe können für Unternehmen schwere finanzielle Folgen haben und die Lösegeld-Zahlung ist dabei nur die Spitze des Eisbergs. Vor allem die mit einem Angriff verbundenen Ausfallzeiten können sich geschäftsbedrohend auf das Unternehmen auswirken.

So verläuft ein Ransomware-Angriff: Ein Beispiel

Um besser zu verstehen, wie man sich vor Ransomware-Angriffen schützen kann, schauen wir uns beispielhaft an, wie sich Ransomware über die lokalen Systeme und SaaS-Anwendungen eines Unternehmens verbreiten kann.

  • Übertragung: Ransomware wird in der Regel über eine Phishing-E-Mail übertragen, die einen Benutzer dazu bringt, auf einen Link zu klicken oder einen Anhang herunterzuladen. Einmal ausgeführt, wird die Malware installiert. Während früher Ransomware-Angriffe eher in großem Stil und generisch durchgeführt wurden, sind die heutigen Social Engineering-Angriffe deutlich gezielter und auf das anvisierte Opfer zugeschnitten.
  • Infizierung: Ein Mitarbeiter erhält eine Phishing-E-Mail und klickt unwissentlich auf eine Datei, die eine "cryptoworm" Ransomware-Variante auf seinem Rechner installiert. Diese beginnt umgehend mit der Suche nach Dateien auf dem Gerät, die verschlüsselt werden sollen. Gleichzeitig verbreitet sich die Ransomware im Netzwerk und infiziert weitere PCs und Server. Die Verschlüsselung beginnt nicht sofort, sondern die Malware verteilt sich zunächst auf möglichst viele Systeme. Dies geschieht im Hintergrund, sodass das Unternehmen von der Infizierung nichts mitbekommt.
  • Verschlüsselung: Der von den Cyber-Kriminellen betriebene Befehls- und Kontrollserver erzeugt einen kryptographischen Schlüssel, der zur Verschlüsselung der infizierten Systeme verwendet wird. Je nach Art des Angriffs kann dieser Server auch sensible Informationen von infizierten Systemen sammeln. Wenn die Angreifer überzeugt sind, dass die Ransomware weit genug verbreitet ist, beginnt der Verschlüsselungsprozess.
  • Verbreitung auf SaaS: Wenn der Nutzer die Synchronisierung seiner Dateien aktiviert hat, werden verschlüsselte Dateien auf dem Gerät des Nutzers automatisch in die Domain der Cloud des SaaS-Anbieters kopiert. Phishing-Angriffe in der Cloud können noch verheerender sein, da sie die Nutzer oft dazu verleiten, den administrativen Zugriff auf ihr Konto über OAuth mit einem einfachen Klick zu teilen. 64 % der MSPs berichten von Ransomware-Angriffen auf Microsoft Office 365 und 47 % auf Dropbox.
  • Lösegeld-Forderung: Wenn die Verschlüsselung abgeschlossen ist, stellen die Angreifer eine Lösegeld-Forderung (in Bitcoins oder einer anderen Kryptowährung) und drohen mit der Zerstörung von Daten, wenn das Lösegeld nicht bezahlt wird. Oftmals geben die Hacker einen bestimmten Zeitrahmen vor, um Dringlichkeit zu erzeugen.

Die Lösegeld-Forderungen können je nach Art des Angriffs variieren. Zum Beispiel ist das geforderte Lösegeld für die Entschlüsselung eines einzelnen Laptops in der Regel viel geringer als die Lösegeld-Forderung eines Angreifers, der Unternehmen vollständig lahmlegt. Das größte Risiko für Unternehmen ist allerdings die mit einem Ransomware-Angriff verbundene Ausfallzeit. Insbesondere für kleine und mittlere Unternehmen können Umsatzschwankungen sehr belastend sein. Fast die Hälfte der MSPs berichtet, dass die Ausfallzeiten aufgrund von Ransomware-Angriffen geschäftsbedrohlich für ihre Kunden waren. Außerdem garantiert die Zahlung von Lösegeld nicht, dass Unternehmen den Ransomware-Angriff überstanden haben. Verbleibt Ransomware unerkannt auf den infizierten Systemen, können Angreifer sie jederzeit wieder aktivieren.

Umfassender Schutz vor Ransomware

Der richtige Schutz vor Ransomware beginnt mit einer Endnutzer-Schulung, dem Perimeterschutz und einer Antiviren-Software. Kommt es aber erst einmal zu einem erfolgreichen Social Engineering-Angriff, kann die Ransomware in das Netzwerk eindringen.

Wie im Beispiel weiter oben erwähnt, lässt sich Ransomware leicht auf PCs, mobilen Geräten, Servern und SaaS-Konten verbreiten. Aus diesem Grund benötigen Unternehmen eine Backup-Strategie, die eine schnelle Wiederherstellung ihrer Daten ermöglicht. MSPs sollten daher Lösungen einsetzen, die die Daten ihrer Kunden über alle wichtigen Geräte und Dienste hinweg schützen. Eine umfassende Lösung zum Schutz vor Ransomware sollte folgende Elemente beinhalten:

Schnelle Wiederherstellung des Geschäftsbetriebs

Viele moderne Server-Backup-Lösungen bieten eine Funktion, die als „Instant Recovery“ bekannt ist. Diese funktioniert folgendermaßen: Der Backup-Server erstellt Snapshots von physischen oder virtuellen Servern, die lokal gespeichert und in die Cloud repliziert werden. Wird durch einen Ransomware-Angriff ein primärer Server beschädigt, wird ein sauberes „Backup-Image“ als virtuelle Maschine auf dem Backup-Gerät oder in der Cloud gemountet. Dadurch kann der normale Geschäftsbetrieb während der Wiederherstellung des primären Servers fortgesetzt werden, wodurch sich teure Ausfallzeiten auf wenige Minuten statt auf Stunden oder sogar Tage reduzieren. Die Instant Virtualization von Datto ermöglicht diese Art der Wiederherstellung.

Point-in-Time Rollback für Server, Endgeräte und cloudbasierte Anwendungen

Point-in-Time Rollback oder -Wiederherstellung gibt MSPs die Möglichkeit, die „Zeit zurückzudrehen“ und somit den Zustand der Daten unmittelbar vor dem Ransomware-Angriff zu erhalten. Mit anderen Worten: Die betroffenen Systeme können zurückgesetzt werden, um sie auf den Stand vor dem Ransomware-Angriff zu bringen und den Datenverlust so gering wie möglich zu halten.

Moderne Backup-Lösungen bieten diese Möglichkeit, indem sie eine Reihe von datierten Snapshots speichern. Im Falle eines Ransomware-Angriffs wählt der Benutzer einfach einen Snapshot aus, der unmittelbar vor dem Ransomware-Angriff erstellt wurde. Point-in-Time Rollback ist bei Server-Backup-Lösungen üblich, aber weniger im Endpoint- und SaaS Backup-Bereich. Dies ist bedauerlich, da die Point-in-Time-Wiederherstellung im Vergleich zu herkömmlichen dateibasierten Wiederherstellungen, die einen erheblichen manuellen Aufwand erfordern, schnell und unkompliziert ist. Alle Unified Continuity-Lösungen von Datto bieten Point-in-Time Rollback.

Ransomware-Erkennung

Einige Backup-Lösungen bieten Funktionen zur nativen Ransomware-Erkennung. Da es sich bei einem Backup um einen laufenden, zeitlich geplanten Prozess handelt, ist die Verwendung einer Ransomware-Erkennung absolut empfehlenswert. Sie ist auch deshalb wichtig, da eine frühzeitige Erkennung die Auswirkungen nach einem Ransomware-Angriff deutlich abschwächen kann.

So funktioniert es: Die Ransomware-Erkennung identifiziert Veränderungsmuster in den Dateitypen, die am ehesten von Ransomware verschlüsselt werden. So ist es beispielsweise unwahrscheinlich, dass ein Benutzer oder ein legitimes Programm schnell und zeitgleich Inhalte von Dateien mit zufälligen Daten überschreiben würde. Wenn dies (oder ein anderes identifiziertes Muster) eintritt, wird der Backup-Administrator benachrichtigt. Datto SIRIS-, ALTO- und NAS-Geräte verfügen standardmäßig über eine Ransomware-Erkennung.

Die passende Lösung finden

Die Geschäftsdaten eines Unternehmens befinden sich meist an vielen verschiedenen Orten - z.B. auf Servern, Desktops, Laptops und cloudbasierten Anwendungen. Eine Lösung, die Ihre Daten überall dort schützen kann, wo sie sich befinden, ist daher unerlässlich. Darüber hinaus können Ransomware-Angriffe zu erheblichen Ausfallzeiten führen, wenn Sie nicht darauf vorbereitet sind. Aus diesem Grund ist es wichtig, Technologien einzusetzen, mit denen Ihre Kunden schnell wieder einsatzbereit sind.

Eine umfassende Strategie gegen Ransomware erfordert eine Reihe von Technologien und Services. Die Zusammenarbeit mit einem Anbieter, der eine einheitliche Lösung zum Schutz vor Ransomware bereitstellen kann, erleichtert Ihnen die Implementierung und das Management.

Um mehr über die Ransomware-Trends zu erfahren, laden Sie den Ransomware Report herunter.

Subscribe to the Blog