zephyr_p - stock.adobe.com
4 Schritte zur Eindämmung eines Ransomware-Angriffs
Selbst bei den besten Sicherheitsmaßnahmen überwindet Ransomware manchmal die Abwehrmechanismen. Mit wenigen Schritten können IT-Teams verhindern, dass die Attacke eskaliert.
Heutzutage ist ein Ransomware-Angriff nicht mehr eine Frage des Ob, sondern des Wann. Die Möglichkeit anonymer Online-Zahlungen bedeutet, dass diese Art von Angriffen nicht verschwinden wird – im Gegenteil, es ist eine richtige Industrie entstanden, die sich damit professionell befasst.
Es gibt zwar keine Patentlösung, wie man Ransomware stoppen kann, aber die folgenden Schritte zur Eindämmung von Ransomware können eine Eskalation der Situation verhindern.
Schritt 1. Strategische Systemabschaltungen durchführen
Die Opfer eines Ransomware-Angriffs versuchen oft, die Verbreitung zu stoppen, indem sie die verschlüsselten Systeme abschalten. IT-Teams sollten jedoch den Unterschied zwischen dem Herunterfahren eines Systems, das nicht infiziert wurde, und einem System, das gerade verschlüsselt wird, kennen. Ein sauberes Herunterfahren ist immer der beste Ansatz, aber das Anhalten des Verschlüsselungsprozesses, bevor er abgeschlossen ist, kann zu beschädigten Systemen und Datenverlust führen.
Es mag zwar kontraintuitiv klingen, Ransomware die Verschlüsselung eines Systems beenden zu lassen, doch die von Hackern angebotenen Entschlüsselungs-Tools sind nicht für Unternehmen geeignet. Die meisten Ransomware-Entschlüsselungsprogramme sind Befehlszeilentools oder Hashes, die beschädigte Daten nicht wiederherstellen können. Wenn ein System mitten in der Verschlüsselung heruntergefahren wird, kann dies zu einem totalen Datenverlust führen, auch wenn das Unternehmen das Lösegeld bezahlt hat.
Die eigentliche Herausforderung besteht darin, herauszufinden, welche Systeme von Ransomware betroffen sind – und welche nicht. Beginnen Sie damit, nach massiver Festplattenaktivität zu suchen. Dies ist normalerweise das beste Anzeichen dafür, dass eine Festplatte oder ein Datenträger verschlüsselt wird, obwohl es auch bedeuten könnte, dass die Angreifer die Daten stehlen und sie auf dem Weg dorthin verschlüsseln.
Schritt 2. Den Netzwerkverkehr analysieren
Der zweite Schritt bei der Eindämmung von Ransomware ist die Untersuchung des Netzwerkverkehrs. Manchmal ist es möglich, den Internetzugang zu unterbrechen, um Datendiebstahl zu verhindern, und den gesamten Netzwerkverkehr zu stoppen, um die Ost-West-Ausbreitung von Ransomware zu begrenzen.
Leider ist das oft leichter gesagt als getan: Um es zu schaffen, müssen IT-Administratoren das Problem sofort erkennen, wenn es auftritt. Außerdem lösen Hacker Ransomware oft vor oder nach den normalen Arbeitszeiten aus, wenn in der Regel nur wenig Personal Dienst hat.
Die Unterbrechung einer Netzwerkverbindung birgt ein gewisses Risiko, da die Daten beschädigt werden können. Ein Unternehmen könnte jedoch entscheiden, dass der Kompromiss es wert ist, wenn die Alternative ein inakzeptables Risiko darstellt. Dies ist eine geschäftliche Entscheidung, die die Zustimmung der Unternehmensleitung erfordert.
Der erste Reflex vieler IT-Abteilungen bei der Eindämmung von Ransomware ist die Isolierung - doch in Wirklichkeit kann sich Ransomware schon seit einiger Zeit in den Systemen des Unternehmens befinden. Ransomware funktioniert manchmal wie ein Virus, der sich durch das Unternehmen bewegt und sich in Echtzeit verbreitet, aber sie kann sich auch unbemerkt durch das Unternehmen arbeiten, bevor die Angreifer sie zu einem bestimmten Zeitpunkt auslösen.
IT- und Sicherheitsteams müssen Vorkehrungen treffen, um Systeme und Geräte zu isolieren, wann und wo dies sinnvoll ist - zum Beispiel, indem sie ein Netzwerkkabel abziehen, um eine Etage oder wichtige Geräte im Rechenzentrum zu isolieren. Dadurch wird der Verschlüsselungsprozess zwar nicht gestoppt, aber die Verbreitung der Ransomware auf andere Geräte kann eingeschränkt werden.
Ebenso sollten alle Geräte, die bereits offline oder air gapped sind, nicht in Betrieb genommen werden, bis die Organisation die Verbreitung der Ransomware in den Griff bekommen hat. Das Gleiche gilt für alle vom Unternehmen unterstützten PCs oder Geräte, die mit dem Netzwerk verbunden werden könnten.
Schritt 3. Pflege und Verwaltung von Backups
Wenn Ransomware zuschlägt, sind Backups oft das erste Diskussionsthema - aber IT-Teams sollten nicht davon ausgehen, dass alle Backups in Ordnung sind. Eine häufige reflexartige Reaktion besteht darin, verschlüsselte VMs zu entfernen und von Backups wiederherzustellen. Diese Logik mag zwar vernünftig erscheinen, aber es gibt einige wichtige Fragen, die man sich vorher stellen sollte.
Erstens: Kann das IT-Personal auf den Backup-Server zugreifen, um die Wiederherstellung durchzuführen? Wenn die Verwaltungskonsole auf einem verschlüsselten System läuft, ist dies möglicherweise nicht möglich. Eine Krise ist leicht zu bewältigen, wenn alle Werkzeuge zur Verfügung stehen, aber sie kann zu einer Katastrophe werden, wenn diese Werkzeuge nicht mehr zugänglich sind. Bevor Sie wichtige Entscheidungen treffen, sollten Sie sich einen Überblick darüber verschaffen, welche Werkzeuge noch zugänglich sind.
Zweitens - und am wichtigsten - sind die Backups noch vorhanden? Ransomware hat die unangenehme Angewohnheit, Backups als ersten Schritt zu löschen, also vertrauen Sie keinen Backups, bevor Sie nicht einige getestet haben (siehe auch Kostenloses E-Handbook: Backup-Daten vor Ransomware schützen).
Damit wird ein wichtiger betrieblicher Aspekt bei Backups angesprochen. Das IT-Personal entfernt häufig verschlüsselte VMs, um Platz für die wiederherzustellenden Daten zu schaffen. Wenn das Wiederherstellungs-Image jedoch ein Problem aufweist oder verschlüsselt ist, wurde die verschlüsselte VM, für deren Entsperrung das Unternehmen zahlen muss, einfach gelöscht. Es ist nicht empfehlenswert, ein Lösegeld für Ransomware zu zahlen, da es keine Garantie dafür gibt, dass die Daten wiederhergestellt werden, selbst wenn das Lösegeld gezahlt wird - aber es gibt absolut keine Chance auf Wiederherstellung, wenn die Daten weg sind.
Schritt 4. Überprüfung und Planung der Kommunikationswege
In einer Krise ist Kommunikation das A und O. Sie können jedoch nicht in einen Gruppenchat einsteigen, wenn der Chat-Server verschlüsselt ist. Mangelnde Kommunikation zwischen den Mitarbeitern, die an den Problemen arbeiten, und der Geschäftsleitung kann zu verheerenden Fehlern führen. Also machen Sie Pläne, wie Sie kommunizieren können, wenn die Kommunikationsmittel nicht verfügbar sind. Das ist auch beispielsweise dann wichtig, wenn alle Passwörter getauscht werden müssen und die Standardkommunikationswege nicht zur Verfügung stehen (siehe auch Wie können kompromittierte Passwörter ausgetauscht werden?)
Erstellen Sie einen alternativen Plan für die Kommunikation während eines Ransomware-Angriffs und stellen Sie sicher, dass alle Beteiligten im Voraus wissen, welche Rolle sie spielen werden. Insbesondere wenn das Unternehmen externe Berater zur Unterstützung bei der Eindämmung von Ransomware hinzuzieht, muss die Kommunikation reibungslos funktionieren, um eine rechtzeitige und fundierte Entscheidungsfindung zu gewährleisten.