Incident Response
Ransomware-Angriff: Was tun, wenn das Horrorszenario Realität wird?
Von Stuart Davis, Director of Incident Response Services bei CrowdStrike
Es ist passiert. Angreifer haben Ihre Verteidigungsmaßnahmen durchbrochen und sind in die IT-Systeme Ihres Unternehmens eingedrungen. Die gefürchtete Ransomware-Nachricht begrüßt Ihren IT-Manager. Panik bricht aus. In der Nachricht wird nicht nur eine hohe Kryptozahlung gefordert, sondern auch damit gedroht, sensible Kundendaten preiszugeben und den Ruf Ihres Unternehmens zu zerstören. Sie haben nur ein kurzes Zeitfenster, um Ihr Unternehmen zu retten. Ein ausgereifter Ransomware-Wiederherstellungsplan kann Unternehmen Zeit und Geld sparen und ihnen helfen, sich auf den nächsten Angriff vorzubereiten und darauf zu reagieren.
Wenn eine Ransomware-Katastrophe droht, ist jedes Detail entscheidend, um den Ruf des Unternehmens zu schützen und das Vertrauen der Kunden zu erhalten. Die Reaktionszeit bei einem Angriff ist begrenzt und erfordert koordinierte interne Maßnahmen und rasche Entscheidungen.
Aufrechterhaltung der Systeme
Nach einem Ransomware-Angriff sagt einem IT-Manager vielleicht jeder Instinkt und jede Faser seines Körpers, dass er das gesamte System abschalten sollte. In diesem Fall kann die klassische IT-"Lösung" des Aus- und Wiedereinschaltens aber kontraproduktiv sein. Durch das Abschalten des Netzes wird der Bedrohungsakteur darauf aufmerksam gemacht, dass er entdeckt worden ist. Um also zu verhindern, dass es zu einem "Hau-den-Maulwurf"-Spiel kommt, sollten nach bewährter Praxis alle Systeme online bleiben. Der Angreifer wird wahrscheinlich weitere Systeme kompromittieren, um sich unentdeckt im Netzwerk festzusetzen, oder er hat bereits Hintertüren für diese Situationen vorbereitet.
Viele zielgerichtete Datendiebstähle erfolgen bereits Monate bevor die Angreifer eine Zahlung verlangen. Aus diesem Grund sind Protokolldaten oft entscheidend für die Feststellung, wie der Angriff begann. Wenn man nicht weiß, wie es zu dem Vorfall gekommen ist, kann es zu einer doppelten Lösegeldforderung kommen. Ein Beispiel: Ein Unternehmen, das die Ursachen eines früheren Angriffs nicht erkannt hat, wurde erneut mit Ransomware infiziert und musste nur zwei Wochen später ein weiteres Lösegeld zahlen. Daher ist es von entscheidender Bedeutung, dass Protokolle aufbewahrt werden und wichtige Server-Backups zur Überprüfung zur Verfügung stehen.
Lösungen koordinieren
In solchen Situationen ist es umso wichtiger, dass die interne Kommunikation gut funktioniert. IT, Sicherheit, Rechtsabteilung, Management und Öffentlichkeitsarbeit müssen über den Stand der Datenverletzung informiert sein, damit eine Reaktion formuliert und die Kommunikation mit Aufsichtsbehörden und Kunden sichergestellt werden kann. Es ist aber auch wichtig zu wissen, dass Bedrohungsakteure durchaus in der Lage sind zu spionieren und es daher möglich ist, dass die internen Kommunikationskanäle kompromittiert werden. Daher sollte eine zusätzliche Out-of-Band-Kommunikation eingerichtet werden.
Forensik einschalten
Fortschrittliche Bedrohungen erfordern Antivirenlösungen der nächsten Generation. Die Zeiten der alten signaturbasierten Antivirenprogramme sind längst vorbei. Der Einsatz einer Cloud-basierten EDR-Lösung ist unerlässlich, um das Sicherheitspersonal in die Lage zu versetzen, Ransomware zu suchen, zu erkennen, zu stoppen und zu protokollieren – und zwar in Echtzeit, um die Recovery-Zeit nach einer Ransomware-Attacke zu verkürzen. Unternehmen müssen damit beginnen, einen Ransomware-Angriff wie einen Tatort zu betrachten. Forensische Endpunktuntersuchungen können Unternehmen dabei helfen, wichtige Erkenntnisse zu gewinnen, z. B. wie viele Systeme angegriffen oder kompromittiert wurden, auf welche Daten möglicherweise zugegriffen wurde, wie lange der Vorfall schon andauert, der ursprüngliche Angriffsvektor, Persistenzmechanismen in der Systemumgebung und exfiltrierte Daten.
Diese Daten sind unerlässlich, um einen weiteren Angriff zu verhindern. Sie geben den Unternehmen auch die Möglichkeit, ihre Sicherheitsinfrastruktur und -richtlinien neu zu bewerten, Schwachstellen zu ermitteln und festzustellen, welche Daten in Zukunft am besten geschützt werden müssen.
Den Angriff beheben
Das Hauptziel der Remediation besteht darin, den Bedrohungsakteur vollständig aus der Umgebung zu entfernen und seine Fähigkeit einzuschränken, auf andere Weise zurückzukehren. Zu den Abhilfemaßnahmen gehören die Isolierung kritischer Systeme vom Netzwerk, die Blockierung des Zugriffs auf die Befehls- und Kontrollinfrastruktur des Angreifers, die Entfernung und vollständige Erneuerung infizierter Hosts sowie das Zurücksetzen von Anmeldeinformationen.
Ein wichtiger Aspekt der Abhilfemaßnahmen und eines effektiven Plans zur Reaktion auf einen Vorfall ist die Zusammenarbeit mit einem kompetenten Cybersecurity-Anbieter. Erfahrene Experten können einen umfassenden Ansatz bieten, der sicherstellt, dass keine Bedrohung in der Umgebung unentdeckt bleibt, die Zeit bis zur Sichtbarkeit und Behebung beschleunigt, Verluste durch Betriebsunterbrechungen reduziert und die Auswirkungen von Cyberangriffen minimiert werden.
Die Vorbereitung auf Ransomware und die Sensibilisierung für Cybersicherheit sind für Unternehmen genauso wichtig wie Marketing und Vertrieb. Es ist wichtig zu beachten, dass Unternehmen neben den unmittelbaren Maßnahmen und Reaktionen auf einen Vorfall auch ihre langfristigen Ziele im Bereich der Cybersicherheit bewerten sollten. Die Vorbereitung auf den nächsten Angriff durch makellose Security-Hygiene, die Durchführung von Ransomware-Tabletop-Trainings und das Verständnis von Bedrohungsdaten ist ebenso wichtig wie die Reaktion auf einen Vorfall.
Die Befolgung dieser Schritte ist möglicherweise die einzige Möglichkeit, den Verlust wertvoller Daten und Unternehmenswerte zu verhindern. Sie müssen Feuer mit Feuer bekämpfen. Vertrauen Sie im Kampf gegen ausgeklügelte Ransomware nicht auf ein veraltetes Antivirenprogramm. Eine kluge und frühzeitige Investition wird sicherstellen, dass Ihr Unternehmen erfolgreich gegen Ransomware-Angriffe gewappnet ist.
