Ransomware nimmt die IT in Geiselhaft - Gegenmassnahmen
Krisenbewältigung in 3 Schritten
Wenn es also dann doch passiert, empfiehlt sich für die Krisenbewältigung eine strukturierte Vorgehensweise, die alle Möglichkeiten auslotet.
- Sofort-Quarantäne zur Schadensbegrenzung: Wer die betroffenen Systeme von der übrigen Infrastruktur isoliert, kann die zeitgesteuerte Vernichtung der Daten zwar nicht verhindern, minimiert jedoch die Infektionsgefahr der noch nicht infizierten Geräte und Datenbestände. Die Quarantäne unterbricht ausserdem die Übertragung unternehmenskritischer Daten nach aussen und andere Spähaktivitäten.
- Vorfalluntersuchung: Eine eingehende Prüfung der infizierten Systeme kann schon mal überraschende Tatsachen ans Licht fördern und sollte die scheinbar nicht verseuchte Infrastruktur mit umfassen. Sollte die Analyse möglichen Angriffsvektoren auf die Spur kommen (zum Beispiel konkrete Phishing-E-Mails oder Drive-by-Hacking über eine infizierte Webseite als die Ursache identifizieren), so gilt es, umgehend geeignete Gegenmassnahmen in Kraft zu setzen, um die künftige Angriffsfläche weiter zu reduzieren.
- Neutralisieren der Ransomware-Infektion: Das Entseuchen der betroffenen Systeme ist leider nicht gleichbedeutend mit der Wiederherstellung der verschlüsselten oder gelöschten Daten. Das Neutralisieren von Ransomware auf den infizierten Systemen umfasst daher:
- Bereinigung der betroffenen Systeme von der Malware,
- Datenwiederherstellung,
- Umsetzung präventiver Massnahmen und Kontrollmechanismen.
Optionen zur Wiederherstellung
Im Hinblick auf die Datenwiederherstellung stehen dem betroffenen Unternehmen wiederum mehrere Optionen zur Verfügung, die aber auch alle ihre Schattenseiten haben:
-
Lösegeld zahlen: Obwohl sich viele Unternehmen vom Lösegeld eine wohlverdiente Atempause versprechen, kann die Illusion recht schnell verpuffen. Zum einen gibt es keine Garantie, dass die Täter den Crypto-Key je herausrücken werden, zum anderen kann das Entschlüsseln der Dateien auch mit einem gültigen Schlüssel schlicht und ergreifend fehlschlagen. Auch in einer Ransomware stecken schon mal Bugs. Sogar im vermeintlichen "Erfolgsfall" der vollständigen Datenrückgabe bzw. -entschlüsselung kann die Ransomware eine multifunktionale, getunnelte Hintertür für langfristige Cyberspionage zurücklassen. Diese Hintertür bleibt dann beliebig lange bestehen. Manchmal über Monate oder gar Jahre hinweg. Einige Ransomware (darunter Cerber) soll darüber hinaus in der Lage sein, die Infrastruktur des betroffenen Unternehmens in ein Botnet zu "rekrutieren" und für DDoS-Attacken auf Dritte zu missbrauchen. Der Sicherheitsspezialist Kaspersky Lab empfiehlt, Ransomware-Forderungen zu ignorieren und die ganze Aufmerksamkeit der Notfallwiederherstellung zu widmen. Doch was passiert dann mit den gestohlenen Daten, die sich die Täter angeeignet haben?
- Ransomware aushebeln: Auch Cyberkriminelle machen schon mal Fehler. In der Vergangenheit haben Krypto-Erpresser die privaten Schlüssel zum Dekodieren der Daten in der Windows-Registry betroffener Systeme "gesichert", ein anderes Mal im Dateisystem im Klartext "versteckt". Wann immer es Sicherheitsfirmen gelingt, gültige Malware-Keys für eine Crypto-Ransomware ausfindig zu machen, werden diese Informationen veröffentlicht. So können die Betroffenen im Idealfall ihre Daten noch rechtzeitig retten und brauchen sich dabei nicht in Unkosten zu stürzen. Die Täter hinter TeslaCrypt haben im Mai 2016 sogar selbst einen universellen privaten Krypto-Schlüssel für die eigene Ransomware veröffentlicht und sich bei der Gelegenheit für ihr bösartiges Handwerk entschuldigt. Ransomware ist aber längst auch dazu in der Lage, Daten gezielt zu beschädigen (zum Beispiel bruchstückweise mit Datenmüll zu überschreiben, der als solcher möglicherweise nicht auffällt).
- Daten aus einer Sicherheitskopie wiederherstellen: Die sicherste Methode, um die Datenintegrität nach einem Ransomware-Angriff zu gewährleisten, besteht daher in der Wiederherstellung gesamter Systeme aus einer "sterilen" Sicherheitskopie. Das ist allerdings einfacher gesagt als getan. Eine Ransomware schlägt typischerweise erst mit einer gewissen Verzögerung zu (etwa PHP.Ransomcrypt.A). Dadurch steigt die Wahrscheinlichkeit, dass inkrementelle Sicherheitskopien der betreffenden Daten zwar noch nicht allesamt verschlüsselt, aber bereits mit der Malware verseucht sind. Wer ein solches Backup einspielt, "restauriert" natürlich das ursprüngliche Problem. Vor dem Einspielen der Daten gilt es, alle Sicherheitskopien unbedingt zu desinfizieren (oder zu vernichten).
- Mit den Tätern am Verhandlungstisch: Lösegeldforderungen sind offenbar nicht in Stein gemeisselt. Einige Unternehmen haben nämlich noch einen weiteren Weg der Krisenbewältigung für sich entdeckt: den (rein virtuellen) Verhandlungstisch. In einigen Fällen sei es der Führungsetage gelungen, die Krypto-Erpresser als Sicherheitsberater mit der Offenlegung der bereits ausgenutzten Verwundbarkeiten zu beauftragen. So innovativ der Ansatz klingen mag, ist es doch kein Patentrezept für die Neutralisierung von Ransomware. Das Unternehmen steht ja mit dem Rücken zur Wand. Wer Lösegeldforderungen in den Wind schlägt, muss sich nicht nur auf einen Datenverlust, sondern auch auf Vergeltungsmassnahmen wie eine DDoS-Attacke oder die Veröffentlichung zuvor entführter Daten gefasst machen. Wer aber einer Zahlungsaufforderung nachkommt, sponsert die nächste Attacke gleich mit.