{"id":25565,"date":"2023-12-15T10:23:20","date_gmt":"2023-12-15T09:23:20","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=25565"},"modified":"2023-12-04T10:32:57","modified_gmt":"2023-12-04T09:32:57","slug":"fbi-erkenntnisse-zu-ransomware-wenn-das-murmeltier-zweimal-gruesst","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=25565","title":{"rendered":"FBI-Erkenntnisse zu Ransomware: Wenn das Murmeltier zweimal gr\u00fc\u00dft"},"content":{"rendered":"\n

Autor\/Redakteur: James Blake, Field CISO EMEA bei Cohesity<\/a>\/gg<\/p>\n\n\n\n

Irgendwann wird es Bill Murray in seiner Rolle als Phil Connors in \u201eUnd t\u00e4glich gr\u00fc\u00dft das Murmeltier\u201c zu bunt und er zerschl\u00e4gt sein Radio am Bett, als er wieder durch den Song \u201eI Got You Babe\u201c von Sonny and Cher geweckt wird. Ein unerfreuliches D\u00e9j\u00e0-vu scheint leider auch Firmen zu erwarten, die Opfer von Ransomware wurden. Das FBI stellt einen Trend zu so genannten \u201edualen Ransomware-Angriffen\u201c<\/a> fest. Cyberkriminelle f\u00fchren hierbei zwei oder mehr Attacken in kurzer Folge durch. Die Zeitspanne zwischen den Attacken rangierte dabei zwischen 48 Stunden und maximal zehn Tagen.<\/p>\n\n\n\n

\"\"<\/a>
Quelle: Cohesity<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die Angreifer setzen hierf\u00fcr zwei verschiedene Ransomware Varianten gegen die Ziele ein und kombinierten diese miteinander. Zu den bekanntesten z\u00e4hlten AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum, und Royal. In einigen F\u00e4llen wurden die bekannten Datendiebstahl-Tools um frischen Code erweitert, damit Abwehrsysteme diese \u00fcbersehen. Das FBI schreibt, dass in anderen F\u00e4llen die Malware mit Whiper-Funktion bis zu einer festgelegten Zeit inaktiv blieb und dann dynamisch in wechselnden Abst\u00e4nden aktiviert wurde, um die Daten der Opferfirmen zu l\u00f6schen.<\/p>\n\n\n\n

Zwei harte Attacken in so kurzer Zeit treiben die Schadenskosten hoch und k\u00f6nnen Firmen an den Rand ihrer Existenz treiben. Der j\u00fcngste erste Hack gegen MGM hat einen Schaden von 100 Millionen Dollar<\/a> angerichtet. Ein Folgeangriff h\u00e4tte wahrscheinlich noch gr\u00f6\u00dfere Folgen. Was m\u00fcssen CIOs und CISOs anders tun, um aus einer solchen Endlosschleife aus Angriff, Wiederstellen, erneutem Angriff mit h\u00f6herem Risiko auszubrechen?<\/p>\n\n\n\n

Den gleichen Fehler nicht zweimal machen<\/strong><\/p>\n\n\n\n

In der Krise w\u00e4hrend einer Cyberattacke arbeiten Mitarbeiter der IT-Teams unter Hochdruck und extremem Stress daran, den Karren aus dem Dreck zu ziehen. Wichtige Systeme sollen schnell wieder laufen, Kunden und Partner richtig informiert werden. Jede Stunde z\u00e4hlt, denn Ausfallzeit bedeutet stets verlorenes Geld.<\/p>\n\n\n\n

In dieser Extremlage kommt es zu einem verh\u00e4ngnisvollen Fehler. Die Systeme werden aus bestehenden Backups rekonstruiert, damit sie schnell wieder laufen. Es ist verf\u00fchrerisch, m\u00f6glichst frische Kopien zu nehmen, da dies den m\u00f6glichen Datenverlust klein h\u00e4lt. Die Systeme werden in einen jungen Zustand wiederhergestellt \u2013 und damit leider auch alle feindlichen Fake-Accounts, kompromittierten Passw\u00f6rter, ungepatchte Schwachstellen in den Betriebssystemen, Artefakte bereits eingeschleuster Schadcodes. Zugleich werden alle lokalen Schutzmechanismen wiederhergestellt, die offensichtlich versagt haben, die Attacke abzuwehren, und somit auch k\u00fcnftige Attacken gegen ungepatchte Schwachstellen nicht erkennen oder verhindern. Mit anderen Worten: Das Haus wird wieder aufgebaut \u2013 mit all den offenen Fenstern und Hintert\u00fcren, durch die die Angreifer beim ersten Mal hereinkamen. Der Gegner k\u00f6nnte sich dadurch erneut im Inneren befinden und der Grundstein f\u00fcr die Endlosschleife w\u00e4re gelegt. In Zeiten von Ransomware ist es unerl\u00e4sslich, die Systemwiederherstellung als Prozess v\u00f6llig neu zu denken und zu modernisieren.<\/p>\n\n\n\n

Der Reinraum als gemeinsames Labor<\/strong><\/p>\n\n\n\n

Infrastruktur- und Sicherheitsteams m\u00fcssen zusammenarbeiten, um die Systeme wiederherzustellen und den Einbruchsweg und die Attacke zu verstehen. Nur so l\u00e4sst sich verhindern, dass die gleiche Attacke erneut erfolgreich sein wird. Dies kostet Zeit und Geld, hilft aber dabei, Hintert\u00fcren zu finden und einen Folgeangriff zu verhindern \u2013 und es verhindert weitere kostspielige Auswirkungen.<\/p>\n\n\n\n

Der ideale Ort f\u00fcr diese Zusammenarbeit ist der sogenannte Reinraum. In dieser isolierten Umgebung k\u00f6nnen alle beteiligten IT-Teams parallel mit Kopien der Produktionsdaten arbeiten. Mithilfe von Datenmanagementl\u00f6sungen stehen so genannte Snapshots von unterschiedlichen Systemen in bis zu 90 Tagen alten Versionen entlang der verschiedenen Phasen der Vorfallzeitleiste zur Verf\u00fcgung. Moderne Datensicherheits- und Verwaltungsplattformen k\u00f6nnen diese Snapshots in einer isolierten Umgebung bereitstellen, die dank Vaulting, Immutable Storage, Multi-Faktor-Authentifizierung und Verschl\u00fcsselung gegen externe Angriffe gesch\u00fctzt ist.<\/p>\n\n\n\n

Das Datenmanagementsystem orchestriert zudem den schnellen Aufbau all der Kommunikations-, Kollaborations-, Authentifizierungs- und digitalen Forensik- und Incident-Response-Tools. Diese brauchen IT- und Sicherheits-Teams, um in diesem Reinraum effizient arbeiten zu k\u00f6nnen. Au\u00dferdem ist so sichergestellt, dass beide Teams die wichtigen Reaktionsma\u00dfnahmen innerhalb von Minuten nach dem Ereignis einleiten k\u00f6nnen, auch wenn manche der Systeme in der Produktion durch das Ereignis beeintr\u00e4chtigt wurden.<\/p>\n\n\n\n

Innerhalb dieses Reinraums kann die digitale Forensik Systeme an verschiedenen Punkten im Angriffslebenszyklus innerhalb weniger Minuten wiederherstellen, um Dateisysteme, Konfigurationen und Dateien zu untersuchen. Sicherheitstools, die umgangen wurden oder denen effiziente Regeln fehlten, k\u00f6nnen erneut auf den Systemen aktiviert und sch\u00e4rfer geschaltet werden. Schwachstellen lassen sich genau zum Zeitpunkt des Angriffs entdecken, selbst wenn sie zwischen dem regul\u00e4ren Schwachstellen-Scan-Rhythmus aufgetreten sind.<\/p>\n\n\n\n

Auf Systemen, die unverschl\u00fcsselt blieben, haben Angreifer h\u00e4ufig so genannte Persistenzmechanismen versteckt. Daher sollten IT-Sicherheitsteams im gesamten Bestand nach Kompromittierungsindikatoren suchen und dabei die schnellen Indizierungs- und Suchfunktionen der Datenverwaltung nutzen, ohne die Systeme \u00fcberhaupt aufbl\u00e4hen zu m\u00fcssen.<\/p>\n\n\n\n

Geh\u00e4rtet wiederherstellen<\/strong><\/p>\n\n\n\n

Diese Reaktionsma\u00dfnahmen werden den Wiederherstellungsprozess verz\u00f6gern und das erreichbare Wiederherstellungszeitziel nach hinten schieben. Aber die gefundenen Schwachstellen m\u00fcssen gepatcht, die b\u00f6sartigen Konten entfernt, die Schutz- und Erkennungskontrollen verst\u00e4rkt werden, damit der gleiche Vorfall nicht erneut eintritt. Denn alle b\u00f6sartigen Artefakte m\u00fcssen entfernt werden, bevor ein System in die Produktion zur\u00fcckgespielt wird.<\/p>\n\n\n\n

Sowohl der CIO als auch der CISO im Unternehmen sollten sich unbedingt untereinander abstimmen und die Wiederherstellungszeit und m\u00f6gliche operative Kosten neu justieren. Denn der ganze Prozess der Wiederherstellung wird l\u00e4nger dauern als bisher veranschlagt. Allerdings sind die Vorteile immens: Das Risiko einer Folgeattacke sinkt und die Cyberresilienz der ganzen Umgebung steigt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Irgendwann wird es Bill Murray in seiner Rolle als Phil Connors in \u201eUnd t\u00e4glich gr\u00fc\u00dft das Murmeltier\u201c zu bunt und er zerschl\u00e4gt sein Radio am Bett, als er wieder durch den Song \u201eI Got You Babe\u201c von Sonny and Cher geweckt wird. Ein unerfreuliches D\u00e9j\u00e0-vu scheint leider auch Firmen zu erwarten, die Opfer von Ransomware wurden. Das FBI stellt einen Trend zu so genannten \u201edualen Ransomware-Angriffen\u201c fest. Cyberkriminelle f\u00fchren hierbei zwei oder mehr Attacken in kurzer Folge durch. Die Zeitspanne zwischen den Attacken rangierte dabei zwischen 48 Stunden und maximal zehn Tagen.<\/p>\n","protected":false},"author":81,"featured_media":25567,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6263,12399,17334,10254,5432,7123],"class_list":["post-25565","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-backup","tag-cohesity","tag-cyber-resilienz","tag-datenverwaltung","tag-ransomware","tag-wiederherstellung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=25565"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25565\/revisions"}],"predecessor-version":[{"id":25568,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25565\/revisions\/25568"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/25567"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=25565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=25565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=25565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}