{"id":18347,"date":"2021-03-05T11:14:00","date_gmt":"2021-03-05T10:14:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18347"},"modified":"2021-03-01T10:32:09","modified_gmt":"2021-03-01T09:32:09","slug":"so-schuetzen-sie-sich-vor-ransomware-in-zeiten-von-cloud-computing","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18347","title":{"rendered":"So sch\u00fctzen Sie sich vor Ransomware in Zeiten von Cloud-Computing"},"content":{"rendered":"\n

Autor\/Redakteur: Candid W\u00fcest, Cyber Protection Experte bei Acronis<\/a>\/gg<\/p>\n\n\n\n

\"\"<\/a>
Bild: Acronis<\/figcaption><\/figure>\n\n\n\n

Ransomware-Attacken werden immer pr\u00e4ziser und gef\u00e4hrlicher. Die Kombination von Datendiebstahl und Betriebsst\u00f6rung ist hochprofitabel f\u00fcr Cyberkriminelle und deshalb eine der h\u00e4ufigsten Angriffsformen in 2021, unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe.<\/p>\n\n\n\n\n\n\n\n

Das Sicherheitsinstitut AV-Test aus Magdeburg verzeichnete im Januar im Durchschnitt 569.000 neue Malware Samples pro Tag. Ein gro\u00dfer Teil davon steht mit Ransomware in Verbindung, so wachsen zum Beispiel die Automation und das Ransomware-as-a-Service Business rasant und bringen so immer mehr Angreifer ins Spiel.<\/p>\n\n\n\n

Die Telemetrie Daten des Acronis Cyber Protection Operation Centers (CPOC) zeigen das 46 Prozent der geblockten Ransomware-Vorf\u00e4lle im Januar in Europa auf Deutschland fallen. Ein unr\u00fchmlicher erster Platz, der aufzeigt, dass auch die vielen KMUs in Deutschland im Fokus der Angreifer stehen.<\/p>\n\n\n\n

Es gibt zahlreiche Varianten f\u00fcr Cyberkriminelle ein Unternehmensnetzwerk zu infiltrieren, es ist zun\u00e4chst wichtig diese zu analysieren, um laufende Angriffe in Echtzeit zu erkennen und zu verifizieren. Denn nur so kann man sich ausreichend davor sch\u00fctzen.  Ein Blick auf g\u00e4ngige Varianten, die Cyberkriminelle nutzen lohnt sich also, bevor man sich Gedanken zum Ransomware-Schutz macht.<\/p>\n\n\n\n

 Cyberkriminelle lieben Emails, aber auch Fernzugriffe sind in Homeoffice-Zeiten beliebt<\/strong><\/p>\n\n\n\n

Weitaus am h\u00e4ufigsten ereignen sich initale Angriffe \u00fcber b\u00f6sartige Emails. Hierbei handelt es sich vorwiegend um Office Dokumente, welche ein b\u00f6sartiges Makro beinhalten. Sobald der Benutzer manuell die Aktiven-Inhalte best\u00e4tigt, l\u00e4dt das VisualBasic- oder PowerShell-Skript den eigentlichen Schadcode, zum Beispiel eine Cobalt Strike Backdoor, aus dem Internet nach. Vermehrt werden die Dokumente mit Passw\u00f6rtern versendet oder auf vertrauensw\u00fcrdigen Cloud-Diensten hinter CAPTCHAs gehostet, um die automatische Analyse zu erschweren.<\/p>\n\n\n\n

Durch den Anstieg der T\u00e4tigkeit im Homeoffice haben auch die Angriffe auf exponierte Netzwerkdienste stark zugenommen. Services wie Pulse VPN, Citrix oder DNS Server hatten in der Vergangenheit leider alle Schwachstellen, welche durch einen Exploit als Einfallstor ausgenutzt werden konnten. Es ist deshalb wichtig, dass jegliche Software, aber insbesondere aus dem Internet erreichbare Dienste, jeweils so schnell wie m\u00f6glich gepatcht werden. Idealerweise automatisch, damit es nicht vergessen geht, denn im letzten Jahr wurden insgesamt knapp 19.000 Schwachstellen gemeldet. \u00a0<\/p>\n\n\n\n

\"\"<\/a>
Grafik: Acronis<\/figcaption><\/figure>\n\n\n\n

Hinzukommen die Fernzugriffe \u00fcber VPN oder Windows RDP, und die vielen neuen Cloud-Dienste, welche beliebte Ziele f\u00fcr Passwort Brute Force Attacken sind. T\u00e4glich werden hunderttausende von m\u00f6glichen Passw\u00f6rtern automatisch durchprobiert. Diese Zugangsdaten k\u00f6nnen auch aus Phishing Attacken oder fr\u00fcheren Datenlecks bei anderen Diensten stammen.<\/p>\n\n\n\n

\u00a0Sekund\u00e4re Angriffe: Der Fu\u00df bereits in der T\u00fcr<\/strong><\/p>\n\n\n\n

Ist das Unternehmen erstmal kompromittiert, versuchen die Angreifer sich im internen Netzwerk auszubreiten und Zugriff auf wichtige Systeme wie das Active Directory oder Konsolen der Security Tools zu erlangen. Hierbei spielen Credential-Tools wie Mimikatz eine wichtige Rolle um an lokale Accounts zu gelangen. Die gewonnen Zugangsdaten werden dann genutzt um sich im internen Netzwerk weiter auszubreiten. Bei gr\u00f6\u00dferen Unternehmen bedeutet dies Lateral Movement, also das springen auf andere Workloads. Oft werden hierzu bereits vorhandene legitime Tools wie PowerShell oder WMI eingesetzt. Das Prinzip der Living-of-the-Land-Methode geht allerdings noch weiter. So werden Softwareverteilungsdienste genutzt um die Malware zu verteilen, oder Backupdienste missbraucht, um die Daten zu stehlen indem man ein neues unverschl\u00fcsseltes Backup in der Angreifer Cloud erstellt.<\/p>\n\n\n\n\n\n\n\n

F\u00fcr kleinere KMUs gibt es h\u00e4ufig keine klassischen Intranets mehr, sondern alle Dienste sind direkt in der Cloud. Dies macht es f\u00fcr die Angreifer meistens noch einfacher, da sie mit den \u00fcbernommenen Zugriffsrechten kompletten Zugang zu den Online Diensten erhalten und ver\u00e4ndern k\u00f6nnen. Egal ob es sich um den Amazon AWS-Zugang handelt oder Zugang zum Azure Active Directory. Auch OAuth Phishing F\u00e4lle nehmen zu, diese zielen nicht auf Passw\u00f6rter ab, sondern auf Zugangstoken f\u00fcr Office365-Applikationen und andere SaaS-Dienste. Diese Attacken erm\u00f6glichen den Angreiffern vollen Zugriff auf die Office365-Umgebung.<\/p>\n\n\n\n

Schadensroutine<\/strong><\/p>\n\n\n\n

Ist die Mehrzahl der Systeme unter der Kontrolle des Angreifers wird die Schadensroutine gestartet. Bereits mehr als 25 Ransomware Gruppen haben es nicht mehr nur auf die Verschl\u00fcsselung der Systeme abgesehen, sondern fokussieren sich auf das Stehlen von sensitiven Informationen. Dies wird als zus\u00e4tzliches Druckmittel genutzt, sollte das Opfer nicht bezahlen wollen. Gruppen wie Suncrypt, Avaddon und RagnarLocker starten zus\u00e4tzlich auch DDoS-Attacken um weiteren Druck aufzubauen.  <\/p>\n\n\n\n

\"\"<\/a>
Grafik: Acronis<\/figcaption><\/figure>\n\n\n\n

Backup alleine reicht nicht mehr aus<\/strong><\/p>\n\n\n\n

Nach wie vor ist ein funktionierendes Backup nat\u00fcrlich unerl\u00e4sslich, um die verschl\u00fcsselten Daten zu retten. Es ist allerdings auch wichtig, einen guten Desaster Recovery-Prozess zu haben. Manchmal kann das Zur\u00fcckspielen des Backups \u00fcber das Netzwerk 24 Stunden dauern, dies bedeutet eine teure Ausfallzeit. Solche Produktivit\u00e4tsverluste k\u00f6nnen zum Beispiel mit tempor\u00e4ren virtuellen Servern \u00fcberbr\u00fcckt werden, welche die Backups als virtuelle Maschinen in der Cloud starten.<\/p>\n\n\n\n

Leider ist es auch nicht immer einfach herauszufinden, ob die Backups \u00fcberhaupt sauber sind. Angreifer verstecken gerne Backdoors in Backups bevor sie zuschlagen. Beim Wiederherstellen sollte man auch \u00fcberpr\u00fcfen wie die Angreifer eingedrungen sind. Allenfalls muss das System zuerst gepatcht oder die Passw\u00f6rter ge\u00e4ndert werden, damit es nicht gleich wieder solchen Attacken zum Opfer f\u00e4llt.<\/p>\n\n\n\n

Ein Backup alleine reicht hier jedoch leider nicht mehr aus. Die Angreifer haben es sich l\u00e4ngst zum Ziel gemacht das vorhandene ungesch\u00fctzte Backups gel\u00f6scht werden. Entweder lokal durch die Malware oder \u00fcber den erschlichenen Zugang zur Management Konsole. Eine zus\u00e4tzliche Sicherheitssoftware welche die Backups und Systeme sch\u00fctzt, ist also weiterhin unerl\u00e4sslich. Diese sollte sich selber sch\u00fctzen, sodass die Angreifer diese nicht einfach abschalten k\u00f6nnen.<\/p>\n\n\n\n

Aufarbeitung<\/strong><\/p>\n\n\n\n

Falls man von einer Ransomware Attacke betroffen ist hei\u00dft es Ruhe bewahren. Infizierte Systeme sollten im Netzwerk isoliert werden um weitere Infektionen zu verhindern.<\/p>\n\n\n\n

F\u00fcr einige Ransomware Familien gibt es Universalschl\u00fcssel welche man bei www.nomoreransom.org<\/a> finden kann. In den meisten F\u00e4llen ist es allerdings unm\u00f6glich, die Daten ohne die Hilfe der Cyberkriminellen zu entschl\u00fcsseln.<\/p>\n\n\n\n

Wichtig ist auch, dass die Kommunikationsverantwortlichen oder die PR-Abteilung informiert wird. Denn Ransomware Vorf\u00e4lle gelangen meistens an die \u00d6ffentlichkeit. Leugnen ist hier definitiv schlecht f\u00fcr die Reputation.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: Acronis<\/figcaption><\/figure>\n\n\n\n

Je nachdem, welche Systeme angegriffen worden sind und in welcher Jurisdiktion das Unternehmen t\u00e4tig ist, kann es n\u00f6tig sein, dass man den Vorfall den Beh\u00f6rden meldet. Gerade im Hinblick auf Datenschutz Verordnungen wie der DSGVO kann ein Vers\u00e4umnis noch teurer werden als ohnehin schon.<\/p>\n\n\n\n

Den oft ignorierten Forensik Teil sollte man nicht vernachl\u00e4ssigen, auch wenn f\u00fcr viele KMUs der Vorfall nach dem Wiederherstellen der Systeme erledigt scheint. Wenn man nicht das urspr\u00fcngliche Einfallstor schliesst, wird sich der Vorfall wiederholen. Dies hat zum Beispiel auch ein Unternehmen in England<\/a> erfahren m\u00fcssen. Nachdem das Unternehmen 7.4 Millionen Euro L\u00f6segeld bezahlt hatte und die Daten entschl\u00fcsseln konnte, verga\u00dfen sie, die L\u00fccke zu stopfen und wurden zwei Wochen sp\u00e4ter wieder Opfer von Ransomware.<\/p>\n\n\n\n

Vorbereitung<\/strong><\/p>\n\n\n\n

Um das Risiko eines Totalausfalles zu minimieren, sollte das Unternehmen die Infektion so fr\u00fch wie m\u00f6glich verhindern. Generell gibt es f\u00fcnf Stufen eines Angriffes: Verhindern, Erkennen, Reagieren, Wiederherstellen und Untersuchen.<\/p>\n\n\n\n

Hierbei ist es wichtig, das man sich des kompletten Felds der Cyber Protektion annimmt. Schutz f\u00fcr die Daten mit Backups und Desaster Recovery ist genauso erforderlich, wie automatisiertes Patch Management, Antimalware Schutz und Device Management. Diese Disziplinen sollten jedoch nicht isoliert betrachtet, sondern als ganzes in einem \u00fcbergeordneten Plan adressiert werden. Die interdisziplin\u00e4re Integration hilft, den \u00dcberblick zu behalten. Am besten ist es, alles aus einer zentralen Konsole zu verwalten, was wiederum den Administratoren Zeit spart und die Komplexit\u00e4t, und somit auch die Zahl der Fehlerquellen, reduziert. F\u00fcr kleinere Teams empfiehlt es sich, eine Automatisation, zum Beispiel mit Hilfe von KI, einzusetzen um das Grundrauschen der Meldungen automatisch zu beheben.<\/p>\n\n\n\n

Optimales Vorgehen umfasst unter anderem Awareness Training f\u00fcr die Angestellten, starke und unterschiedliche Passw\u00f6rter f\u00fcr alle Dienste mit zus\u00e4tzlicher Multi-Faktor Authentifizierung und Phishing Filter, Monitoring der gesamten Infrastruktur inklusive Cloud zum Beispiel mit UEBA. Idealerweise spielt man den Ransomware Angriff in einer IT-\u00dcbung mindestens einmal durch, damit man f\u00fcr den Ernstfall Erfahrung gesammelt hat.<\/p>\n\n\n\n

Gerade bei kleineren Unternehmen mangelt es oft an Ressourcen, speziell in diesen wirtschaftlich schwierigen Zeiten. Hinzu kommt die steigende Komplexit\u00e4t der IT-Infrastruktur durch die zunehmende Digitalisierung und Vernetzung, was die Zahl der Cyberrisiken ansteigen l\u00e4sst. Dies hat viele KMUs dazu bewogen, sich an Managed Service Providers (MSPs) zu wenden, um ihnen mit der Flut von IT-Bedrohungen zu helfen. Die Hilfe von externen Experten ist sicherlich eine gute Wahl, allerdings sollte man sich vorg\u00e4ngig nach den genauen IT Prozessen erkundigen, um sicher zu gehen, dass diese Abh\u00e4ngigkeit nicht doch zum zus\u00e4tzlichen Risiko wird. Wie bereits erw\u00e4hnt, werden MSPs derzeit vermehrt Ziel von Ransomware Attacken.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ransomware-Attacken werden immer pr\u00e4ziser und gef\u00e4hrlicher. Die Kombination von Datendiebstahl und Betriebsst\u00f6rung ist hochprofitabel f\u00fcr Cyberkriminelle und deshalb eine der h\u00e4ufigsten Angriffsformen in 2021, unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe.<\/p>\n","protected":false},"author":3,"featured_media":18348,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[1463,6257,14701,3088,32,5432,9207],"class_list":["post-18347","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-acronis","tag-cloud","tag-cpoc","tag-home-office","tag-kmu","tag-ransomware","tag-ransomware-as-a-service"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18347","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18347"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18347\/revisions"}],"predecessor-version":[{"id":18352,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18347\/revisions\/18352"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18348"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18347"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18347"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18347"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}