'Ransom(A)ware' - native Storage Feature as a Life Insurance for your Company - Part 1
Aktualisiert: 9. Mai 2021
Seit der Verbreitung von „Locky“ hat der Einsatz von Erpressungs-Schadsoftware mit Verschlüsselungsfunktion – sogenannte Ransomware – in den
Cybercrime-Fällen weiter extrem zugenommen. Dabei werden die IT-Systeme der Betroffenen einer Verschlüsselung unterzogen, ihre Verfügbarkeit erheblich eingeschränkt und die Besitzer mit einer Aufforderung zur Zahlung eines Lösegelds für die Entschlüsselung der Daten erpresst. Bei diesem Vorgehen nutzen Täter Fehler ihrer "Opfer" wie Fehlbedienung, Fehlkonfigurationen, veraltete Software-Stände oder mangelhafte Datensicherungen aus.
Der zunehmende Einsatz von Ransomware bei Angriffen spiegelt sich in verbesserten Angriffsmethoden und stetig angepassten Vorgehensweisen der Täter wieder und verschärfen die Bedrohung eines Angriffs zunehmend. Neben Konzernen waren in Deutschland so auch zahlreiche kleine und mittelständische Unternehmen, Krankenhäuser, Universitäten, aber auch kommunale Verwaltungen und Privatanwender betroffen. Erschwerend kommt durch die Anfang 2020 aufgetretene Corona-Pandemie für viele Organisationen ein wirtschaftlicher und finanzieller Ausnahmezustand hinzu, der eine unter Umständen mögliche Erholung nach einem Cyber-Angriff hemmt oder gar unmöglich macht. Über die Suchmaschine findet man täglich mehrere neue Berichte zu Cybercrime-Opfern:
Ransomware High Level
Bei Ransomware handelt es sich um eine fortschrittliche Schadsoftware, die verschiedene Wege und Methoden nutzt, um automatisiert das Netzwerk des Betroffenen – bis hin in die zentralen Komponenten der Nutzerrechteverwaltung (Active Directory) – komplett zu übernehmen. Dadurch wird ein Unternehmensnetz häufig vollständig kompromittiert und ist letztendlich nicht mehr vertrauenswürdig. Der Angreifer besitzt anschließend alle Rechte, um beispielsweise Benutzerkonten mit Administrator-Rechten anzulegen, Daten einzusehen und abfließen zu lassen oder Hintertüren einzurichten. Oft "nistet" sich Ransomware mehrere Wochen im Netzwerk ein, um Datenströme und Kernkomponenten des Unternehmens zu analysieren, damit der Angriff effektivste Wirkung erzielt. So werden Datenbank-, File-, Directory-Server, Backups und deren Speicher-Systeme und Backups ausfindig gemacht und letzteres Passwort-Speicher ausspioniert.
Stellen die Täter fest, dass sie mit einer Verschlüsselung von Daten große Teile der Organisation lahmlegen können und es sich um ein zahlungskräftiges Unternehmen handelt, das potenziell bereit ist, ein hohes Lösegeld für die Entschlüsselung zu bezahlen, rollen sie ihre Ransomware gleichzeitig auf allen (Server-) Systemen aus. Dabei werden aufgrund der dem Angreifer zur Verfügung stehenden Rechte oder nicht ausreichend durchdachter Backup-Konzepte häufig auch alle Datensicherungen verschlüsselt, sofern diese nicht offline gehalten werden. Die Lösegeldforderungen bewegen sich häufig im sechsstelligen Euro-Bereich, können aber auch mehrstellige Millionen betragen (Quelle BSI) - keine Grenzen nach oben.
Fand eine Verschlüsselung der kompletten Produktiv-Umgebung statt, aber es sind "saubere" Datensicherungen verfügbar, müssen diese nach der Bereinigung des Netzwerks zurückgespielt werden, um die Daten wieder nutzen zu können. Wurden auch die aktuellen Datensicherungen vernichtet, bleibt oft nur die Rekonstruktion vereinzelter alter, unvollständiger Einzelsicherungen und viel manuelle Nacharbeit. Vermehrt muss man feststellen, dass die eingesetzten Backup-Systeme vor allem Tape-Libraries nicht mehr "zeitgemäß sind" und die Anforderung einer schnellen Datenwiederherstellung nicht erfüllen.
Diese Methode eines Cyberangriffs wird durch viele Angreifer eingesetzt und stets durch die Hacker weiter verbessert. Die Zahl der verschiedenen Ransomware-Arten nimmt weiter zu. Allerdings stellen sich mittlerweile viele Unternehmen durch eine bessere Sicherung der Backups darauf ein und schränken die Auswirkungen eines Ransomware-Angriffs mit verschiedensten Schutzmechanismen ein.
Über die letzten 1,5 Jahre (persönlicher Eindruck) wurde jedoch bereits eine deutlich bessere (Ransom)Awareness bei IT-Verantwortlichen und Nutzern geschaffen! ... dies ist mein persönlicher Eindruck.
Vorsorgemaßnahmen
Wenn die wesentlichen Grundsätze, Vorgaben und Empfehlungen für Infrastrukturen umgesetzt werden, wird das Risiko eines erfolgreichen Angriffs deutlich verringert:
Sicherheitskonzepte und Notfallpläne erstellen und regelmäßig überprüfen
Netzwerk-Segmentierung und strikte Rechte-Trennung im Active Directory, um eine Ausbreitung von Schadprogrammen und Kompromittierung des Netzwerks zu verhindern/erschweren
durchdachte Backup-Strategie mit unveränderlichen (immutable) Backup-Speichern oder traditionellen Offline-Backups (inkl. widerkehrende Recovery-Tests)
Patch-Management – insbesondere Sicherheitsupdates für kritische Schwachstellen müssen regelmäßig ausgerollt werden
Logging-Mechanismen implementieren, über die ein Abfluss von Daten nachvollzogen werden kann
Sensibilisierung/Schulung von Mitarbeitern und Umsetzung technischer Maßnahmen zur Härtung von Clients/Systemen
Management-Awareness schaffen, um Cyber-Risiken als Bestandteil des Risiko- und Vorsorgemanagements zu verankern
Im nächsten Teil (2) werde ich aufzeigen, wie man mit Features wie Pure Storage "SafeMode" eine Unveränderbarkeit (Immutability) von Backupdaten erreicht und im Fall einer Verschlüsselung die Hoheit über seine Unternehmensdaten behält bzw. ohne zusätzliche monetäre Aufwände an die Erpresser widerherstellt.
Sollten Sie noch keine Ransomware Awareness in Ihrem Unternehmen haben, sollten Sie sich unbedingt sofort mit dem Thema intensiv auseinandersetzen und entsprechende Vorbereitungen treffen, Härtungsmaßnahmen vornehmen und Schutzmechanismen implementieren! Im Fall eines Ransomware-Angriffs haben Sie dann alles mögliche getan - einen 100% Schutz einen Angriff grundsätzlich zu unterbinden, gibt es nicht! Jeder der das behauptet, ist nicht ehrlich. ABER: es gibt definitiv die Möglichkeit den Schaden zu minimieren! Ähnlich einer Versicherung - mit manipulationssichere Mechanismen zum Schutz Ihre Unternehmensdaten vorbeugen.
Weitere Infos - Links
Sämtliche offiziell veröffentlichten Einstellungsmöglichkeiten in der GUI, aber auch CLI können über die "on-board" User Guides der Pure Storage Systeme nachgelesen werden.
Im Purity Hauptmenü hierzu auf "Help" klicken.
Der User Guide ist wie das Hauptmenü gegliedert und kann von Ebene zu Ebene geöffnet werden. Eine Suchfunktion ist auch integriert - hier kann mit Schlagworten gesucht werden.
WEB: Pure Storage (Pure1) Supportportal - Ticketsystem und Unterstützung *(erfordert registrierte FlashSysteme)
TEL: Pure Storage Telefonsupport: GER - (+49) (0)800 7239467; INTERNATIONAL - (+1) 650 7294088
WEB: Pure Storage OFFICIAL Blog