Sysbus
ArtikelSecurity

So schützen Sie sich vor Ransomware in Zeiten von Cloud-Computing

gcg

Für kleinere KMUs gibt es häufig keine klassischen Intranets mehr, sondern alle Dienste sind direkt in der Cloud. Dies macht es für die Angreifer meistens noch einfacher, da sie mit den übernommenen Zugriffsrechten kompletten Zugang zu den Online Diensten erhalten und verändern können. Egal ob es sich um den Amazon AWS-Zugang handelt oder Zugang zum Azure Active Directory. Auch OAuth Phishing Fälle nehmen zu, diese zielen nicht auf Passwörter ab, sondern auf Zugangstoken für Office365-Applikationen und andere SaaS-Dienste. Diese Attacken ermöglichen den Angreiffern vollen Zugriff auf die Office365-Umgebung.

Schadensroutine

Ist die Mehrzahl der Systeme unter der Kontrolle des Angreifers wird die Schadensroutine gestartet. Bereits mehr als 25 Ransomware Gruppen haben es nicht mehr nur auf die Verschlüsselung der Systeme abgesehen, sondern fokussieren sich auf das Stehlen von sensitiven Informationen. Dies wird als zusätzliches Druckmittel genutzt, sollte das Opfer nicht bezahlen wollen. Gruppen wie Suncrypt, Avaddon und RagnarLocker starten zusätzlich auch DDoS-Attacken um weiteren Druck aufzubauen.  

Grafik: Acronis

Backup alleine reicht nicht mehr aus

Nach wie vor ist ein funktionierendes Backup natürlich unerlässlich, um die verschlüsselten Daten zu retten. Es ist allerdings auch wichtig, einen guten Desaster Recovery-Prozess zu haben. Manchmal kann das Zurückspielen des Backups über das Netzwerk 24 Stunden dauern, dies bedeutet eine teure Ausfallzeit. Solche Produktivitätsverluste können zum Beispiel mit temporären virtuellen Servern überbrückt werden, welche die Backups als virtuelle Maschinen in der Cloud starten.

Leider ist es auch nicht immer einfach herauszufinden, ob die Backups überhaupt sauber sind. Angreifer verstecken gerne Backdoors in Backups bevor sie zuschlagen. Beim Wiederherstellen sollte man auch überprüfen wie die Angreifer eingedrungen sind. Allenfalls muss das System zuerst gepatcht oder die Passwörter geändert werden, damit es nicht gleich wieder solchen Attacken zum Opfer fällt.

Ein Backup alleine reicht hier jedoch leider nicht mehr aus. Die Angreifer haben es sich längst zum Ziel gemacht das vorhandene ungeschützte Backups gelöscht werden. Entweder lokal durch die Malware oder über den erschlichenen Zugang zur Management Konsole. Eine zusätzliche Sicherheitssoftware welche die Backups und Systeme schützt, ist also weiterhin unerlässlich. Diese sollte sich selber schützen, sodass die Angreifer diese nicht einfach abschalten können.

Aufarbeitung

Falls man von einer Ransomware Attacke betroffen ist heißt es Ruhe bewahren. Infizierte Systeme sollten im Netzwerk isoliert werden um weitere Infektionen zu verhindern.

Für einige Ransomware Familien gibt es Universalschlüssel welche man bei www.nomoreransom.org finden kann. In den meisten Fällen ist es allerdings unmöglich, die Daten ohne die Hilfe der Cyberkriminellen zu entschlüsseln.

Wichtig ist auch, dass die Kommunikationsverantwortlichen oder die PR-Abteilung informiert wird. Denn Ransomware Vorfälle gelangen meistens an die Öffentlichkeit. Leugnen ist hier definitiv schlecht für die Reputation.

Grafik: Acronis

Je nachdem, welche Systeme angegriffen worden sind und in welcher Jurisdiktion das Unternehmen tätig ist, kann es nötig sein, dass man den Vorfall den Behörden meldet. Gerade im Hinblick auf Datenschutz Verordnungen wie der DSGVO kann ein Versäumnis noch teurer werden als ohnehin schon.

Den oft ignorierten Forensik Teil sollte man nicht vernachlässigen, auch wenn für viele KMUs der Vorfall nach dem Wiederherstellen der Systeme erledigt scheint. Wenn man nicht das ursprüngliche Einfallstor schliesst, wird sich der Vorfall wiederholen. Dies hat zum Beispiel auch ein Unternehmen in England erfahren müssen. Nachdem das Unternehmen 7.4 Millionen Euro Lösegeld bezahlt hatte und die Daten entschlüsseln konnte, vergaßen sie, die Lücke zu stopfen und wurden zwei Wochen später wieder Opfer von Ransomware.

Vorbereitung

Um das Risiko eines Totalausfalles zu minimieren, sollte das Unternehmen die Infektion so früh wie möglich verhindern. Generell gibt es fünf Stufen eines Angriffes: Verhindern, Erkennen, Reagieren, Wiederherstellen und Untersuchen.

Hierbei ist es wichtig, das man sich des kompletten Felds der Cyber Protektion annimmt. Schutz für die Daten mit Backups und Desaster Recovery ist genauso erforderlich, wie automatisiertes Patch Management, Antimalware Schutz und Device Management. Diese Disziplinen sollten jedoch nicht isoliert betrachtet, sondern als ganzes in einem übergeordneten Plan adressiert werden. Die interdisziplinäre Integration hilft, den Überblick zu behalten. Am besten ist es, alles aus einer zentralen Konsole zu verwalten, was wiederum den Administratoren Zeit spart und die Komplexität, und somit auch die Zahl der Fehlerquellen, reduziert. Für kleinere Teams empfiehlt es sich, eine Automatisation, zum Beispiel mit Hilfe von KI, einzusetzen um das Grundrauschen der Meldungen automatisch zu beheben.

Optimales Vorgehen umfasst unter anderem Awareness Training für die Angestellten, starke und unterschiedliche Passwörter für alle Dienste mit zusätzlicher Multi-Faktor Authentifizierung und Phishing Filter, Monitoring der gesamten Infrastruktur inklusive Cloud zum Beispiel mit UEBA. Idealerweise spielt man den Ransomware Angriff in einer IT-Übung mindestens einmal durch, damit man für den Ernstfall Erfahrung gesammelt hat.

Gerade bei kleineren Unternehmen mangelt es oft an Ressourcen, speziell in diesen wirtschaftlich schwierigen Zeiten. Hinzu kommt die steigende Komplexität der IT-Infrastruktur durch die zunehmende Digitalisierung und Vernetzung, was die Zahl der Cyberrisiken ansteigen lässt. Dies hat viele KMUs dazu bewogen, sich an Managed Service Providers (MSPs) zu wenden, um ihnen mit der Flut von IT-Bedrohungen zu helfen. Die Hilfe von externen Experten ist sicherlich eine gute Wahl, allerdings sollte man sich vorgängig nach den genauen IT Prozessen erkundigen, um sicher zu gehen, dass diese Abhängigkeit nicht doch zum zusätzlichen Risiko wird. Wie bereits erwähnt, werden MSPs derzeit vermehrt Ziel von Ransomware Attacken.

Ähnliche Beiträge:

  1. Acronis veröffentlicht Freeware mit KI-basiertem Ransomware-Schutz
  2. Acronis erweitert das Portfolio von Service Providern mit Acronis Files Cloud sowie einem einfachen Preismodell für verschiedene Acronis Cloud-Lösungen
  3. Acronis integriert Acronis Notary mit Blockchain und CloudRAID in seine Software-Defined Storage-Lösung “Acronis Storage”
  4. Acronis Backup 12 unterstützt Microsoft Office 365 für einfache und schnelle Datensicherung

Das könnte dir auch gefallen

Neuer Service für große Unternehmen: Kaspersky Lab komplettiert seine maschinenlesbare Threat-Intelligence-Plattform

gg

Die Evolution von Zero Trust Network Access: ZTNA 2.0

gg

Trend Micro TippingPoint bringt Intrusion-Prevention-System mit 100 GBit als Standalone-Lösung auf den Markt

gcg