Immer wieder Ransomware – und kein Ende in Sicht

Ransomware-as-a-Service wird immer mehr zum Trend – ebenso gilt es mittlerweile Ransomware-Angriffe, die speziell auf Backups abzielen, abzuwehren

Ransomware hat sich in den letzten Jahren so rasant entwickelt, dass es für Unternehmen zu einer großen Herausforderung wird, das Problem in den Griff zu bekommen. Die Lösegeldforderungen pro Unternehmen stiegen zuletzt bis in den siebenstelligen Bereich.

Die wichtigste Neuerung hat sich jedoch hinter den Kulissen vollzogen – in Form von Ransomware-as-a-Service (RaaS). Malwareautoren vermieten dabei ihre bösartige Software an technisch weniger versierte Kriminelle, die so in das lukrative Erpressungsgeschäft einsteigen können. Ransomware ist damit nicht nur immer raffinierter oder effektiver, sondern noch dazu leichter zugänglich.

Mit dieser „Demokratisierung“ nimmt auch die Häufigkeit des Risikos zu, auch wenn hochkarätige spektakuläre Angriffe von spezialisierten Bedrohungsgruppen wie REvil, Conti und BlackMatter die meiste Aufmerksamkeit erhalten. Es sind jedoch die zahlreichen weniger bekannten Gruppen, die gerade mittels RaaS am Ende mehr Schaden anrichten können.

Neue Taktik: Backups geraten zunehmend gezielt ins Visier

Ein weiteres Problem ist, dass Angreifer dazu übergehen, Shadow-Volume-Dateien zu löschen, bei denen es sich um Sicherungskopien von Dateien handelt, die von Windows-Rechnern lokal erstellt wurden. Ryuk wurde dabei beobachtet, wie es mithilfe einfacher Skripte automatisch alle Schattenvolumina oder andere Sicherungsdateien, die es findet, durchforstet und löscht. Locky, Wannacry und Cryptolocker zielen alle auf Shadow-Volumes ab.

Die meisten Ransomware-Familien durchsuchen auch Netzwerke nach gemeinsam genutzten Volumes. Die Suche nach Backups ist oft relativ einfach, da einige Sicherungsdateien Kopfzeilen mit detaillierten Informationen über ihren Inhalt enthalten. Diese Backups sind oft eine einfache Möglichkeit, große Mengen sensibler Daten bei einem einzigen Angriff zu sammeln. Cloud-Backups sind sogar noch mehr gefährdet, denn Angreifer, die sich Zugang zu den Konten verschaffen, können die Backups oft stehlen, ohne dass im internen Netzwerk des Opfers ein Alarm ausgelöst wird. Sie können dann in aller Ruhe nach sensiblen Daten suchen.

Ein neuer Ansatz ist nötig, um das Problem zu bewältigen

Egal, ob es sich um RaaS handelt, oder Backups betroffen sind: Um die Folgen eines letztlich kaum vermeidbaren erfolgreichen Ransomware-Angriffs zu minimieren, ist ein neuer Ansatz nötig. Dabei stehen Datenresilienz, Datenüberwachbarkeit und Bedrohungserkennung sowie Datenwiederherstellung im Vordergrund. Diese Prozesse müssen zudem parallel und nicht nacheinander ablaufen, da bei Ransomware jede Sekunde zählt.

Datenresilienz – als erster Baustein – bedeutet die Wiederstandsfähigkeit der Daten. Dies erfordert konsequentes Zero-Trust-Datenmanagement und effektiven Datenschutz durch unveränderliche, logisch verschlüsselte Daten mit einer auf Multi-Faktor-Authentifizierung basierenden Zugangskontrolle.

Die Datenüberwachbarkeit – als zweiter Baustein – steht für die kontinuierliche Überwachung von Risiken und Untersuchung von Bedrohungen für Daten, einschließlich Ransomware-Überwachung und -Untersuchung. Basierend auf maschinellem Lernen gelingt es, Datenanomalien, Verschlüsselungen, Löschungen und Änderungen rechtzeitig zu erkennen. Entscheidend ist dabei auch, die sensibelsten Daten zu finden, zu klassifizieren und das Exfiltrationsrisiko zu bewerten. Mittels moderner Bedrohungsüberwachung und -jagd ist es möglich, Indikatoren für eine Kompromittierung rasch zu identifizieren und die letzte bekannte saubere Kopie von Daten zu finden.

Der dritte Baustein ist die – schnelle und zuverlässige – Wiederherstellung von Daten, egal ob es sich um eine Datei, Anwendungsdaten oder eine Massenwiederherstellung für das gesamte Unternehmen handelt. Hier sind zudem erweiterte Funktionen hilfreich, um etwa Malware unter Quarantäne zu stellen und den Benutzerzugriff auf infizierte Daten einzuschränken und so eine sichere Wiederherstellung zu unterstützen.

Es ist möglich, den Erpressern etwas entgegensetzen

Die steigende Zahl der erfolgreichen Angriffe hat gezeigt, dass sich Unternehmen damit abfinden, trotz herkömmlicher Endpunkt- und Netzwerksicherheit ein Restrisiko zu akzeptieren. Dieser Fatalismus muss jedoch nicht sein. Mit zeitgemäßen Lösungen für Backup und Wiederherstellung können Unternehmen den digital agierenden Erpressern durchaus etwas entgegensetzen.