Ransomware wird immer intelligenter und greift Backups an, um eine Wiederherstellung zu verhindern. Beugen Sie dem vor, indem Sie ein paar einfache Schritte unternehmen. [...]
Trotz eines jüngsten Rückgangs der Angriffe stellt Ransomware nach wie vor eine erhebliche Bedrohung für Unternehmen dar, wie die Angriffe gegen Organisationen des Gesundheitswesens in diesem Monat gezeigt haben. Sie wird auch immer leistungsfähiger. Insbesondere die Verfasser von Lösegeldforderungen sind sich bewusst, dass Backups eine wirksame Verteidigung sind und modifizieren ihre Malware, um die Backups aufzuspüren und zu eliminieren.
Lösegeldforderung zielt auf Backups
Ransomware wird nun alle Backups löschen, auf die es auf dem Weg dorthin stößt, sagt Adam Kujawa, Leiter der Malware-Intelligenz bei Malwarebytes. Eine übliche Taktik für Lösegeldforderungen besteht beispielsweise darin, automatische Kopien von Dateien zu löschen, die Windows erstellt. „Wenn Sie also zur Systemwiederherstellung gehen, können Sie nicht mehr zurückkehren“, sagt er. „Wir haben auch gesehen, wie sie freigegebene Netzlaufwerke attackierten.
Zwei bekannte Beispiele für Lösegeld-Software, die Backups im Visier hat, sind SamSam und Ryuk. Im November erhob das US-Justizministerium Anklage gegen zwei Iraner, weil sie mit der Malware SamSam mehr als 30 Millionen Dollar von über 200 Opfern, darunter Krankenhäuser, erpresst haben. Die Angreifer maximierten den Schaden, indem sie Angriffe außerhalb der regulären Geschäftszeiten starteten und indem sie „Backups der Computer der Opfer verschlüsselten“, hieß es in der Anklageschrift.
Ryuk traf mehrere hochrangige Ziele, darunter die Los Angeles Times und den Cloud-Hosting-Anbieter Data Resolution. Laut den Sicherheitsforschern von Check Point enthält Ryuk ein Skript, das Backup-Dateien löscht. „Diese spezielle Malware-Variante zielt zwar nicht speziell auf Backups ab, gefährdet aber einfachere Backup-Lösungen – solche, die dazu führen, dass Daten auf gemeinsame Ordner gespeichert werden –„, so Brian Downey, Senior Director of Product Management bei Continuum, einem in Boston ansässigen Technologieunternehmen, das Backup- und Wiederherstellungsdienste anbietet.
Am häufigsten wird dies durch eine Microsoft Windows-Funktion namens Previous Versions erreicht, sagt Mounir Hahad, Leiter der Bedrohungsforschung bei Juniper Networks. Sie ermöglicht es Benutzern, frühere Versionen von Dateien wiederherzustellen. „Die meisten Lösegeld-Mail-Varianten löschen Snapshots von Schattenkopien“, sagt er.
Lösegeld-Angriffe auf Backups eher zufällig, nicht gezielt
Wenn bei Ransomware nach Backups gesucht wird, dann ist das meist zufällig, nicht absichtlich, sagt David Lavinder, Cheftechnologe bei Booz Allen Hamilton. Abhängig von der Lösegeldforderung durchsucht das Programm in der Regel ein System nach bestimmten Dateitypen. „Wenn es auf eine Backup-Dateierweiterung stößt, wird es diese höchstwahrscheinlich verschlüsseln“, sagt er.
Ransomware versucht auch, sich zu verbreiten und so viele andere Systeme wie möglich zu infizieren, sagt er. Bei dieser Art von Wurmfähigkeit, wie bei WannaCry, erwartet er, dass es in Zukunft mehr Aktivitäten geben wird. „Wir rechnen nicht mit einer bewussten Ausrichtung auf Backups, aber wir erwarten, dass man sich stärker auf seitliche Bewegungen konzentrieren wird“, sagt er.
Sie können Ihre Backups und Systeme vor diesen neuen Lösegeldtaktiken schützen, indem Sie einige grundlegende Vorsichtsmaßnahmen ergreifen.
Ergänzen Sie Windows-Sicherungen mit zusätzlichen Kopien und Tools von Drittanbietern
Zur Abwehr von Ransomware-Angriffen, die lokale Sicherungen von Dateien löschen oder verschlüsseln, schlägt Kujawa vor, zusätzliche Sicherungen oder Dienstprogramme von Drittanbietern oder andere Tools zu verwenden, die nicht Teil der Standardkonfiguration von Windows sind. „Wenn es die Dinge nicht auf die gleiche Weise macht, wird die Malware nicht wissen, wo sie die Sicherungen löschen soll.“
Isolieren Sie die Backups
Je mehr Barrieren zwischen einem infizierten System und seinen Backups bestehen, desto schwieriger wird es für die Ransomware, dorthin zu gelangen. Ein häufiger Fehler ist es, wenn Benutzer die gleiche Authentifizierungsmethode für ihre Backups verwenden wie anderswo, sagt Landon Lewis, CEO bei Pondurance, einem in Indianapolis ansässigen Unternehmen für Cybersicherheitsdienste. „Wenn das Konto eines Benutzers kompromittiert wird, will der Angreifer als erstes seine Privilegien ausweiten“, sagt er. „Wenn das Backup-System die gleiche Authentifizierung verwendet, können sie einfach alles übernehmen.“
Mehrere Sicherungskopien an mehreren Standorten aufbewahren
Lewis empfiehlt Unternehmen, drei verschiedene Kopien ihrer wichtigen Dateien aufzubewahren und dabei mindestens zwei verschiedene Sicherungsmethoden zu verwenden, von denen sich mindestens eine an einem anderen Ort befinden muss. Cloud-basierte Backups bieten eine einfach zu verwendende, externe Backup-Option, sagt er. „Blockspeicherung im Internet ist sehr preiswert. Es ist schwer zu argumentieren, warum jemand sie nicht als zusätzliche Backup-Methode verwenden woll. Wenn Sie ein anderes Authentifizierungssystem verwenden, ist es sogar noch besser.
Viele Backup-Anbieter bieten auch die Möglichkeit von Rollbacks oder mehreren Versionen derselben Datei an. Wenn eine Lösegeld-Software Dateien angreift und verschlüsselt, dann erstellt das Backup-Dienstprogramm automatisch Backups der verschlüsselten Versionen und überschreibt die guten Versionen, dann muss die Ransomware nicht einmal aus dem Weg gehen, um an die Backups zu gelangen. Folglich werden Rollbacks zu einer Standardfunktion, und Unternehmen sollten dies überprüfen, bevor sie sich für eine Backup-Strategie entscheiden. „Das würde ich ganz sicher zu meinen Kriterien hinzufügen“, sagt Lewis.
Testen Sie Ihre Backups
Viele Unternehmen stellen erst dann fest, dass ihre Backups nicht funktioniert haben oder zu umständlich sind, wenn sie Opfer eines Angriffs geworden sind. „Wenn Sie nicht irgendeine Art von Wiederherstellungsübung gemacht haben und es nicht dokumentiert ist und niemand damit vertraut ist, sehen wir immer noch viele Kunden, die erwägen, zu bezahlen, und es in einigen Fällen tatsächlich tun, weil die Bezahlung des Angreifers tatsächlich operativ billiger ist“, sagt Lewis.
Bob Antia, CSO bei Kaseya, einem Technologieunternehmen, das Backup-Lösungen als Teil seines Angebots anbietet, empfiehlt auch zu prüfen, ob Backup-Anbieter einen Ransomware-Angriff erkennen können, insbesondere die neueren, gefährlicheren Varianten. Manche Ransomware bewegt sich absichtlich langsam oder ruht vor der Verschlüsselung, sagt er. „Diese beiden Techniken bedeuten, dass es schwierig ist zu wissen, zu welchem Zeitpunkt eine Wiederherstellung von Ihren Backups erfolgen soll“, sagt er. „Ich gehe davon aus, dass Ransomware weiterhin kniffligere Wege finden wird, sich zu verstecken, um die Wiederherstellung zu erschweren.
„Wir haben in letzter Zeit nicht viele große globale Angriffe wie WannaCry und Petya erlebt“, sagt Antia. Aber wenn es doch passiert, kann es äußerst schädlich sein, sagt er. „Wir haben gesehen, wie einzelne Organisationen als Folge der jüngsten Angriffe Verluste in Millionenhöhe erlitten haben.“
*Maria Korolov ist Redakteurin von CSO.
Be the first to comment