kaptn - stock.adobe.com
Wie Ransomware-Angriffe Backup-Daten zerstören
Backups sind vor Ransomware nicht sicher. Aktuelle Angriffe zeigen, dass Admins ihren Fokus darauf ausrichten müssen. Wir erklären, wie sich Ransomware Zugriff verschaffen kann.
Ransomware ist zu einer realen Bedrohung auch für Backups geworden. Viele Administratoren sind damit gezwungen, nicht nur die produktiven Systeme zu schützen, sondern auch besondere Maßnahmen für die Datensicherungen zu schaffen. Wird Ransomware ein einem Unternehmensnetzwerk wirksam und die Backup-Daten sind nicht wiederherstellbar, so entsteht ein weit größerer Verlust für die geschädigte Organisation.
Mittlerweile gibt es Foren, auf denen sich Betroffenen austauschen, beispielsweise auf Reddit, allerdings sind auch der Austausch und die Verhandlungen zwischen Geschädigtem und Erpresser aufzuspüren, die Einblicke in die Methoden der Ransomware-Angreifer geben und zeigen, dass scheinbar gesamte Speicherarchitekturen überdacht werden sollte.
Wir möchten anhand einiger konkreten Beispiele aus dem Herbst 2020 darstellen, wie ein solcher Angriff verlaufen kann.
Angriffsmethoden
Ein Unternehmen, das Opfer von REvil/Sodinokibi wurde erhielt vom Angreifer einen Link zu einem Ordner, der auf einer File-Sharing-Seite gehostet wurde, die häufig von Ransomware-Erpressern verwendet wird, um die gestohlenen Informationen den Organisationen zur Verfügung zu stellen, die sie zu erpressen versuchen. Das Ransomware-Opfer kann diesen Datensatz nach Belieben untersuchen, um den Wahrheitsgehalt der Behauptungen zu überprüfen. Teilweise lassen sich über diese Links die Daten wiederherstellen, natürlich nur, wenn das Opfer der Erpressung nachgibt. Danach werden in der Regel die Spuren der Erpressung beseitigt.
In diesem speziellen Fall ziehen die Daten eines der kompromittierten Hosts im Informationssystem die Aufmerksamkeit auf sich: Es gibt einen Veeam-Konfigurations-Backup-Ordner sowie das Backup einer Workstation im Umfang von mehreren Dutzend Gigabyte.
Der Agent ist für Backups auf Volume-Ebene in das Standard-Backup-Repository – ein im Dateisystem gemountetes Volume – mit einer Aufbewahrungsfrist von 30 Tagen konfiguriert. Hier konnten die REvil/Sodinokibi-Betreiber auf mindestens ein Workstation-Backup zugreifen und dieses kompromittieren, wobei nicht auszuschließen ist, dass es auch weitere Backups betraf.
Es gibt darüber hinaus Malware, die gezielt die Shadow Copy unter Windows zerstört. Diese Schattenkopien werden in Windows von Volume Shadow Copy Service (VSS) angelegt und auf NTFS-Laufwerken gesichert und genau dort spürt die Ransomware sie auf und zerstört sie. In einem weiteren Fall infiltrierte die Ransomware Babuk die zentralen Backups einer Organisation, so dass eine Wiederherstellung der Disk-Images der virtuellen Maschinen nicht mehr möglich war.
Ein weiteres Beispiel ist das eines Unternehmens, das von der Conti-Ransomware befallen wurde, denn die Angreifer agierten schnell und drangen tief ins Netzwerk ein. Es dauerte nur einen Tag, bis sie nach dem ersten Eindringen administrative Rechte für die Domäne erhielten. Zwei Tage später fanden sie acht Veeam-Backup-Server und ein Nimble-Speichersystem mit Volumes und ein paar weiteren Backups in einem speziellen Ordner.
Die Angreifer erklärten, dass sie es geschafft hatten, diese Speicher- und Backup-Elemente aufzufinden, und zwar durch die Web-Produktionssysteme. Nachdem sie Daten extrahierten, einschließlich Datenbanken und Dateifreigaben (File Shares), erlangten sie Kontrolle über den Veeam-Controller und sabotierten daraufhin die gesamte Backup-Technik.
Bevor sie die Verschlüsselung auslösten, löschten die Conti-Angreifer die Veeam-Backups und schrieben sie neu und entfernten den Backup-Ordner vom Nimble Storage System. Damit hatte das Unternehmen keinerlei Möglichkeit, diese Daten wiederherzustellen.
Diese kurz umrissenen Beispiele zeigen, dass einige Firmen eine Anpassung der Backup-Architektur an diese Bedrohungen umsetzen müssen, um sicherzustellen, dass Angreifer nicht in der Lage sind, Datensicherungen zu kompromittieren.