Mit Snapshots gegen Ransomware
Bretagne Télécom widersteht Ransomware-Angriff
Schnelle Datenwiederherstellung durch Pure Storage Snapshot-Backup auf AllFlash-Speicher
Am Dienstag, den 25. Februar berichtete Zataz.com, dass ein französischer Telekommunikationsbetreiber mit Sitz in Westfrankreich von den Cyberkriminellen, die hinter der DoppelPaymer-Ransomware stecken, angegriffen worden ist. Zuvor erklärte Bleeping Computer, dass die Angreifer gerade eine Website eingerichtet hatten, um den Druck auf ihre Opfer zu erhöhen. Darauf drohten sie den angegriffenen Unternehmen mit der Offenlegung gestohlener Daten, falls sie sich weigerten, ihren Lösegeldforderungen nachzugeben. Betroffen war unter anderem „ein französisches Unternehmen, das Telekommunikations- und Cloud-Hosting-Dienste anbietet“.
Nicolas Boittin, der CEO von Bretagne Télécom, erklärte sich daraufhin bereit, den Medien einige Fragen zu beantworten und erläuterte, warum die Attacke am Ende ins Leere gelaufen ist. Es begann Mitte Januar, als die Angreifer die CVE-2019-19781-Schwachstelle ausnutzten, die es ihnen ermöglichte, die Kontrolle über die Citrix ADC/Netscaler- und Gate/Netscaler-Gateway-Umgebung zu übernehmen. Zu diesem Zeitpunkt waren noch keine Patches verfügbar. In dieser Server-Farm wurden die Systeme von etwa dreißig kleinen Geschäftskunden vorgehalten, vor allem Anwendungsserver für Unternehmenssoftware, die manchmal auf veralteten Betriebssystemen liefen. Mitten in der Nacht war alles „komplett verschlüsselt“.
Die Überwachungssysteme entdeckten den Vorfall. Die Snapshot-Backup-Systeme, die auf Pure Storage -FlashArrays liefen, ermöglichten Bretagne Télécom jedoch eine schnelle Wiederherstellung. „Betroffen waren etwa 30 TB an Daten“, erklärt Nicolas Boittin. „Die Snapshots erlauben uns, bis zu fünf Tage zurückzugehen. Wir begannen damit, sie einzeln und ohne Netzwerkverbindung neu zu starten, um sie zu überprüfen. Wir fanden den Punkt, an dem die Angreifer die geplanten Tasks zur Ausführung der Verschlüsselung installiert hatten. Sobald diese Tasks und die Malware entfernt waren, konnten wir wieder in den regulären Betriebszustand zurückkehren. Für alle beteiligten Kunden dauerte es insgesamt drei Tage. Für diejenigen mit weniger Speicherplatz dauerte es etwas mehr als sechs Stunden. In der Zwischenzeit hatten wir die CNIL, unsere Kunden und unseren Auditor benachrichtigt, da wir nach ISO 27001 zertifiziert sind.“
Die Behebung dieses Sicherheitsvorfalls konnte daher sehr schnell abgeschlossen werden. Boittin ist sich sicher: „Wir konnten von den Angreifern nicht erpresst werden, auch wenn es ihnen gelang, die Ransomware zu installieren. Es dauerte einige Zeit, bis der Citrix-Patch zur Verfügung stand. Aber wir haben noch nie Lösegeld bezahlt. Wir möchten keine Parallelwirtschaft anheizen, in der Hacker die Mittel erhalten, ihre Systeme zu verbessern, um uns erneut anzugreifen.“
