FBI-Erkenntnisse zu Ransomware: Wenn das Murmeltier zweimal grüßt
Autor/Redakteur: James Blake, Field CISO EMEA bei Cohesity/gg
Irgendwann wird es Bill Murray in seiner Rolle als Phil Connors in „Und täglich grüßt das Murmeltier“ zu bunt und er zerschlägt sein Radio am Bett, als er wieder durch den Song „I Got You Babe“ von Sonny and Cher geweckt wird. Ein unerfreuliches Déjà-vu scheint leider auch Firmen zu erwarten, die Opfer von Ransomware wurden. Das FBI stellt einen Trend zu so genannten „dualen Ransomware-Angriffen“ fest. Cyberkriminelle führen hierbei zwei oder mehr Attacken in kurzer Folge durch. Die Zeitspanne zwischen den Attacken rangierte dabei zwischen 48 Stunden und maximal zehn Tagen.
Die Angreifer setzen hierfür zwei verschiedene Ransomware Varianten gegen die Ziele ein und kombinierten diese miteinander. Zu den bekanntesten zählten AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum, und Royal. In einigen Fällen wurden die bekannten Datendiebstahl-Tools um frischen Code erweitert, damit Abwehrsysteme diese übersehen. Das FBI schreibt, dass in anderen Fällen die Malware mit Whiper-Funktion bis zu einer festgelegten Zeit inaktiv blieb und dann dynamisch in wechselnden Abständen aktiviert wurde, um die Daten der Opferfirmen zu löschen.
Zwei harte Attacken in so kurzer Zeit treiben die Schadenskosten hoch und können Firmen an den Rand ihrer Existenz treiben. Der jüngste erste Hack gegen MGM hat einen Schaden von 100 Millionen Dollar angerichtet. Ein Folgeangriff hätte wahrscheinlich noch größere Folgen. Was müssen CIOs und CISOs anders tun, um aus einer solchen Endlosschleife aus Angriff, Wiederstellen, erneutem Angriff mit höherem Risiko auszubrechen?
Den gleichen Fehler nicht zweimal machen
In der Krise während einer Cyberattacke arbeiten Mitarbeiter der IT-Teams unter Hochdruck und extremem Stress daran, den Karren aus dem Dreck zu ziehen. Wichtige Systeme sollen schnell wieder laufen, Kunden und Partner richtig informiert werden. Jede Stunde zählt, denn Ausfallzeit bedeutet stets verlorenes Geld.
In dieser Extremlage kommt es zu einem verhängnisvollen Fehler. Die Systeme werden aus bestehenden Backups rekonstruiert, damit sie schnell wieder laufen. Es ist verführerisch, möglichst frische Kopien zu nehmen, da dies den möglichen Datenverlust klein hält. Die Systeme werden in einen jungen Zustand wiederhergestellt – und damit leider auch alle feindlichen Fake-Accounts, kompromittierten Passwörter, ungepatchte Schwachstellen in den Betriebssystemen, Artefakte bereits eingeschleuster Schadcodes. Zugleich werden alle lokalen Schutzmechanismen wiederhergestellt, die offensichtlich versagt haben, die Attacke abzuwehren, und somit auch künftige Attacken gegen ungepatchte Schwachstellen nicht erkennen oder verhindern. Mit anderen Worten: Das Haus wird wieder aufgebaut – mit all den offenen Fenstern und Hintertüren, durch die die Angreifer beim ersten Mal hereinkamen. Der Gegner könnte sich dadurch erneut im Inneren befinden und der Grundstein für die Endlosschleife wäre gelegt. In Zeiten von Ransomware ist es unerlässlich, die Systemwiederherstellung als Prozess völlig neu zu denken und zu modernisieren.
Der Reinraum als gemeinsames Labor
Infrastruktur- und Sicherheitsteams müssen zusammenarbeiten, um die Systeme wiederherzustellen und den Einbruchsweg und die Attacke zu verstehen. Nur so lässt sich verhindern, dass die gleiche Attacke erneut erfolgreich sein wird. Dies kostet Zeit und Geld, hilft aber dabei, Hintertüren zu finden und einen Folgeangriff zu verhindern – und es verhindert weitere kostspielige Auswirkungen.
Der ideale Ort für diese Zusammenarbeit ist der sogenannte Reinraum. In dieser isolierten Umgebung können alle beteiligten IT-Teams parallel mit Kopien der Produktionsdaten arbeiten. Mithilfe von Datenmanagementlösungen stehen so genannte Snapshots von unterschiedlichen Systemen in bis zu 90 Tagen alten Versionen entlang der verschiedenen Phasen der Vorfallzeitleiste zur Verfügung. Moderne Datensicherheits- und Verwaltungsplattformen können diese Snapshots in einer isolierten Umgebung bereitstellen, die dank Vaulting, Immutable Storage, Multi-Faktor-Authentifizierung und Verschlüsselung gegen externe Angriffe geschützt ist.
Das Datenmanagementsystem orchestriert zudem den schnellen Aufbau all der Kommunikations-, Kollaborations-, Authentifizierungs- und digitalen Forensik- und Incident-Response-Tools. Diese brauchen IT- und Sicherheits-Teams, um in diesem Reinraum effizient arbeiten zu können. Außerdem ist so sichergestellt, dass beide Teams die wichtigen Reaktionsmaßnahmen innerhalb von Minuten nach dem Ereignis einleiten können, auch wenn manche der Systeme in der Produktion durch das Ereignis beeinträchtigt wurden.
Innerhalb dieses Reinraums kann die digitale Forensik Systeme an verschiedenen Punkten im Angriffslebenszyklus innerhalb weniger Minuten wiederherstellen, um Dateisysteme, Konfigurationen und Dateien zu untersuchen. Sicherheitstools, die umgangen wurden oder denen effiziente Regeln fehlten, können erneut auf den Systemen aktiviert und schärfer geschaltet werden. Schwachstellen lassen sich genau zum Zeitpunkt des Angriffs entdecken, selbst wenn sie zwischen dem regulären Schwachstellen-Scan-Rhythmus aufgetreten sind.
Auf Systemen, die unverschlüsselt blieben, haben Angreifer häufig so genannte Persistenzmechanismen versteckt. Daher sollten IT-Sicherheitsteams im gesamten Bestand nach Kompromittierungsindikatoren suchen und dabei die schnellen Indizierungs- und Suchfunktionen der Datenverwaltung nutzen, ohne die Systeme überhaupt aufblähen zu müssen.
Gehärtet wiederherstellen
Diese Reaktionsmaßnahmen werden den Wiederherstellungsprozess verzögern und das erreichbare Wiederherstellungszeitziel nach hinten schieben. Aber die gefundenen Schwachstellen müssen gepatcht, die bösartigen Konten entfernt, die Schutz- und Erkennungskontrollen verstärkt werden, damit der gleiche Vorfall nicht erneut eintritt. Denn alle bösartigen Artefakte müssen entfernt werden, bevor ein System in die Produktion zurückgespielt wird.
Sowohl der CIO als auch der CISO im Unternehmen sollten sich unbedingt untereinander abstimmen und die Wiederherstellungszeit und mögliche operative Kosten neu justieren. Denn der ganze Prozess der Wiederherstellung wird länger dauern als bisher veranschlagt. Allerdings sind die Vorteile immens: Das Risiko einer Folgeattacke sinkt und die Cyberresilienz der ganzen Umgebung steigt.