zephyr_p - stock.adobe.com

So schützen Sie Backups vor Ransomware

Aktuelle Ransomware schlägt nicht mehr sofort zu, sondern breitet sich über längere Zeit unerkannt im Netz aus, infiziert Computer und verschlüsselt ältere Dateien.

Ransomware wird heute taktisch eingesetzt. Anscheinend haben die Programmierer dieser Schadsoftware verstanden, dass große Organisationen viel Geld haben und manche von ihnen nicht optimal gegen Infektionen geschützt sind. Ransomware jüngeren Datums verhält sich wie ein Advanced Persistent Threat (APT). Derartige Malware geistert möglichst lange unbemerkt im Netz der infizierten Organisationen herum, um dann den größtmöglichen Schaden anzurichten.

APTs verbreiten sich normalerweise über das Netz und infizieren dabei so viele Computer wie möglich. Oft versucht sich die Malware über das Internet mit einem sie steuernden Server zu verbinden. Diesem Server berichtet sie über den Fortschritt der Infektion und wartet auf den Angriffsbefehl durch ihn. Um auf diese neue Bedrohung zu antworten, braucht man unterschiedliche Herangehensweisen, damit Backups vor Ransomware geschützt sind.

Angriff aus dem Hinterhalt

Ein APT-Angriff mit Ransomware wird meist mit der heimlichen Verbreitung der Malware übers Netzwerk und der Infektion möglichst aller Computer beginnen. Anschließend sucht die Malware File-basierte Backups und wertvolle, aber ältere Dateien, um sie zu verschlüsseln. Das Ziel ist, möglichst viel von der betroffenen Infrastruktur zu befallen und unleserlich zu machen. Das kann Wochen oder Monate dauern. Erst dann wird der Anwender gewarnt und kann seine Backups vor der Ransomware schützen.

Backups sollten nicht wie Files übers Netzwerk zugänglich sein. Denn sie sind primäre Ziele für die Verschlüsselung durch Ransomware.

Wenn die Dateien so langsam Stück für Stück verschlüsselt werden, erschwert das die Wiederherstellung über Backups. Sie wird teuer und langsam, vielleicht sogar teurer, als Lösegeld zu zahlen. Ist die Infektion einmal abgeschlossen und enthalten die Backups eine Mischung aus verschlüsselten und sauberen Dateien, wird die Ransomware endgültig in Aktion gesetzt. Sie verschlüsselt plötzlich alle kürzlich benutzten Dateien, woraufhin Applikationen die Arbeit einstellen.

Vorsicht, Restore!

Weil sich die APT-Ransomware in vielen Fällen schon seit einer ganzen Weile im Netz befunden hat, bevor sie aktiv wurde, wurde sie wahrscheinlich auch mehrfach gesichert. Das heißt, dass Backups nun verschlüsselte Dateien und die Ransomware selbst enthalten. Führt man dann einen Restore von ganzen Systemen durch, um die Backups vor Ransomware zu schützen, stellt man auch die Infektion wieder her und macht damit alle bisher geleistete Säuberungsarbeit zunichte.

Deshalb empfiehlt sich, ausführbare Dateien nur mit äußerster Vorsicht wieder herzustellen. Dasselbe gilt für Skripts wie JavaSkript sowie Dateien, die Makros enthalten können und so lange, bis klar ist, wie sich die Ransomware verbreitet. Idealerweise wird man zumindest bis dahin nur Daten-Files wieder zurückspielen.

Die sieben Schritte eines Cyberangriffs
Abbildung 1: Die sieben Schritte eines Cyberangriffs

Rettende Analysen

Wahrscheinlich besitzt ein Unternehmen Tausende verschlüsselter Files. Die nicht verschlüsselten Versionen verteilen sich über mehrere Backups. Nun gilt es herauszufinden, was tatsächlich wiederhergestellt werden muss. Mit der Backup-Applikation sollte sich anhand des Backup-Katalogs die letzte unverschlüsselte Version jeder Datei identifizieren und automatisch zurückspielen lassen. Befinden sich die betreffenden Backups auf Tape, dauert es eine Weile, sich durch jedes Tape zu arbeiten. Bei Disk-Backups braucht man weniger Zeit für die Recovery.

Backups sollten nicht wie Files übers Netzwerk zugänglich sein. Denn sie sind primäre Ziele für die Verschlüsselung durch Ransomware. Erkennt die Backup-Applikation verschlüsselte Dateien, könnte es sein, dass sie die Ransomware-Infektion im Netz als erstes entdeckt. Ein sicheres Zeichen von Ransomware-Infektionen besteht darin, dass viele nicht komprimierbare Files in einem Verzeichnis gesichert werden müssen, das bislang ausschließlich komprimierbare Files enthielt.

Fazit

Ransomware hat sich also weiterentwickelt und greift Unternehmen nun mit den Verhaltensweisen von APTs an. Man sollte sich dieser Veränderung bewusst sein und Backups durch die frühzeitige Entdeckung der Infektion schützen. Dann besteht die beste Chance,  die Systeme ohne Lösegeldzahlung wieder herzustellen.

Nächste Schritte

So schützen Sie Ihre Backups vor Ransomware-Angriffen

Das müssen Sie beim Test für Ransomware-Recoverys beachten

Object Storage kann vor Ransomware schützen

Erfahren Sie mehr über Backup-Lösungen und Tools