Erklär’s mir: Wofür ist das Lösegeld?

Erklär’s mir: Wofür ist das Lösegeld?

Haben Sie nicht einmal gesagt, dass sich Verbrechen nicht auszahlt? Das Thema Ransomware ist derzeit in aller Munde. Was ist Ransomware: „Ransomware ist eine Schadsoftware, die den Zugriff auf Daten und Systeme einschränkt oder verhindert und diese Ressourcen nur gegen Zahlung eines Lösegeldes freigibt“, so das Bundesamt für Sicherheit in der Informationstechnik. Ransomware kann Ihnen auf diese Weise nicht nur das Leben zur Hölle machen, sondern auch Ihre Kundenbeziehungen massiv belasten. Ziel ist es meist, ein Lösegeld zu erpressen, was übrigens auch den Namen erklärt: „Ransomware“ – ein Kunstwort aus den englischen Begriffen „ransom“ und „malware“. Nach Zahlung des Lösegelds werden die Daten dann wieder freigegeben.

Die Kosten für Ransomware-Angriffe beliefen sich im Jahr 2021 auf durchschnittlich 1,6 Millionen Euro. Und die Betroffenen verbrachten einen ganzen Monat damit, den Schaden zu beheben. (28. April 2022, csoonline.com)

Um eine solche Katastrophe zu verhindern, stellen Sie sich diese 5 Fragen:

  1. Haben Sie einen Backup-Plan?
  2. Sind die neuesten Update-Patches auf den von außen zugänglichen Systemen installiert?
  3. Welche Systeme sind von außen zugänglich? Ist dies zwingend erforderlich?
  4. Wie sind die administrativen Zugänge geschützt?
  5. Sind Sie auf einen Notfall vorbereitet?

Ransomware ist ein reales Problem, das schwerwiegende Folgen haben kann. Das wescaleIT-Team kann Ihnen helfen, Schwachstellen zu identifizieren und präventiv zu beheben. Wir schulen auch Ihre Mitarbeiter, Dienstleister und das Management, damit Sie alle an einem Strang ziehen und das Lösegeld für die nächste entspannte Sommerparty ausgeben können.

____

Das Wichtigste zum Thema

Das Thema Ransomware ist aktuell in aller Munde. Sie haben davon noch nichts gehört? Ungünstig, aber nicht weiter schlimm. Wir vermitteln Ihnen heute ein Grundverständnis und erklären Ihnen, wie Sie sich möglichst allumfassend gegen Ransomware schützen können.

Aber eins nach dem anderen. Was ist Ransomware: „Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes wieder freigeben.“[1]

Bei Ransomware lassen sich grundsätzlich zwei Kategorien unterscheiden:

  • Ransomware, die den Zugang zu Ihren Systemen sperrt, oder
  • Ransomware, die Ihre Daten verschlüsselt.

So oder so, egal ob Variante 1 oder -2, Ihre Daten sind danach für Sie vorerst unbrauchbar. In der Regel soll hierdurch ein Lösegeld erpresst werden, was im Übrigen auch den Namen erklärt: „Ransomware“ ist ein Schachtelwort aus den englischen Begriffen „ransom“ und „malware“, zu Deutsch „Lösegeld“ und „Schadprogramm“.

Nach Zahlung des Lösegeldes werden die Daten dann wieder freigeschaltet. Aber es wäre natürlich um einiges angenehmer, wenn Sie nicht erst Lösegeld zahlen müssten und Ihre Daten gar nicht erst verschlüsselt werden, oder?

Das BSI, also das Bundesamt für Sicherheit in der Informationstechnik, hat hierzu ein umfassendes Dokument veröffentlicht, dass wir Ihnen heute einmal kurz und knapp erklären.

Vorher möchten wir Sie aber nochmal ausdrücklich auf die Ernsthaftigkeit hinweisen: Ransomware ist ein reales Problem, welches schlimme Konsequenzen bei Nicht-Beachtung haben kann.

Im Wesentlichen gibt es hier zwei Kapitel. Im ersten Teil werden wir wichtige Fragen besprechen, die sich die Geschäftsführung eines Unternehmens stellen muss und hier Implikationen ableiten, damit Sie konkrete Handlungsvorschläge haben. Im weiteren Verlauf besprechen wir dann konkrete Maßnahmen zur Vorbeugung eines Ransomware-Angriffs.

Fragen für die Geschäftsführung

  • Gibt es ein Backup- Konzept? Sind Backups im Normalfall nicht über das Netzwerk erreichbar?

Implikationen:

  • Erstellen Sie regelmäßig Backups, die alle wichtigen und kritischen Geschäftsprozesse abdecken.
  • Trennen Sie die Verbindung der Backups zum IT-Netz, nachdem die Backups erstellt wurden. Erstellen Sie mehrere Backups auf verschiedenen Speicherorten, bzw. Lösungen.
  • Lagern Sie diese Backups an unterschiedlichen Stellen und üben Sie das Wiederherstellen von Backups regelmäßig.
  • Sind auf extern erreichbaren Systemen die aktuellen Patches aufgespielt und dadurch alle Schwachstellen behoben? Wenn nicht, welche Maßnahmen werden zum Schutz getroffen?

Implikationen:

  • Spielen Sie veröffentlichte Patches am besten sofort auf und prüfen Sie die Patches regelmäßig auf Aktualität.
  • Dokumentieren Sie Schutzmaßnahmen, wenn Sie keine Patches aufspielen können und prüfen Sie diese Ausnahmen regelmäßig.
  • Welche Netzbereiche werden genutzt? Werden diese zentral verwaltet?

Implikationen:

  • Nennen Sie alle Netzbereiche und beschaffen und managen Sie diese zentral.
  • Binden Sie den IT-Betrieb zeitnah ein, sollten Sie Netzbereich dezentral beschaffen.
  • Schaffen Sie eine Übersicht über besonders kritische Systeme und mögliche Angriffspunkte
  • Welche Systeme sind von außen erreichbar? Ist dies zwingend erforderlich?

Implikationen:

  • Nur Ihre Web- und Mailserver sollten ohne zusätzliche Schutzmaßnahmen erreichbar sein.
  • Erstellen Sie eine Aufzählung aller weiteren, erreichbaren Systemen.
  • Geben Sie nur zwingend notwendige Ports frei und dokumentieren Sie die Gründe, warum dies notwendig ist.
  • Dienste wie RDP oder OWA sollten deaktiviert oder nur über VPN erreichbar sein.
  • Wird grundsätzlich VPN für die Verbindung zu internen Servern verwendet?

Implikationen:

  • Erlauben Sie externe Verbindung nur von bekannten IPs oder über VPN.
  • Etablieren Sie Multi-Faktor-Authentisierung bei VPNs
  • Wie werden administrative Zugänge geschützt? Wie ist der Stand für alle weiteren Zugänge?

Implikationen:

  • Etablieren Sie auch hier Multi-Faktor-Authentifizierungen an allen externen Zugriffspunkten, besonders bei allen administrativen Zugängen.
  • Multi-Faktor-Authentifizierung an allen externen Zugriffspunkten, besonders für alle administrativen Zugänge.
  • Nur wenige hoch privilegierte Konten im AD.
  • Nutzen Sie getrennte, besonders geschützte Clients, auf denen keine normalen Bürotätigkeiten ausgeführt werden.
  • Verwenden die Administratoren getrennte Accounts für die Verwaltung von Clients und Servern?

Implikationen:

  • Nutzen Sie getrennte Accounts mit den notwendigen Berechtigungen und keine Domänen-Administrationsaccounts für: E-Mails und Surfen im Netz, sowie für Administration der Clients und Administration der Server.
  • Wird die Ausführung von Programmen, Skripten und Makros eingeschränkt?

Implikationen:

  • Deaktivieren Sie Scripting Umgebungen und Makros, oder schränken Sie diese ein, falls eine Deaktivierung nicht möglich ist.
  • Zusätzlich: Verhindern Sie, dass Schadprogramme auf den Systemen ausgeführt werden können.
  • Sind Sie auf diesen Vorfall vorbereitet? Sind kurzfristige Eskalationsmechanismen festgelegt und bekannt?

Implikationen:

  • Planen Sie Reaktionen des IT-Betriebs auf einen Vorfall
  • Erstellen Sie eine Business-Impact-Analyse und aktualisieren Sie diese regelmäßig.
  • Business-Impact-Analyse erstellen und regelmäßig aktualisieren.
  • Falls Trennung von Servern vom Netz notwendig: Bereiten Sie Handlungsoptionen und Kommunikationspläne vor.
  • Welche Geschäftsbereiche sind kritisch? Welche Systeme sind dafür zwingend notwendig?

Implikationen:

  • Nenn Sie kritische Geschäftsprozesse, die dafür notwendigen Systeme und führen Sie Absicherungen mit dem Fachbereich durch.

 

Konkrete Maßnahme zur Vorbeugung eines Ransomware-Angriffs

Backups

Backups sind essentiell zur schnellen Wiederherstellung der Daten bei einem Ransomware-Angriff. Sie können verschiedene Möglichkeiten von Backups nutzen (Cloud, mit NAS, etc.)

Ggf. ist es sinnvoll, nur Daten auf Servern und Netzlaufwerken zu sichern, um Clients im Fall einer Infektion neu aufzusetzen. Prüfen Sie, ob es ausreicht, nur die Inhaltsdaten zu sichern, oder ob auch die Konfiguration gesichert werden sollte. Mindestens eine Backup-Datei sollte offline gesichert werden. Durch Trennung dieser Backups von anderen Systemen sind diese vor Remote-Angriffen geschützt.

Beispiel: Backups können in getrennten Tapes, in einem getrennten Archiv mit nötigem physischem Zugriff oder in einem, vom Netz getrennten, Cloud-Speicher erfolgen.

Die Verteilung der Backups auf verschiedene geographische Orte schützt außerdem vor Brand, Hochwasser o.Ä. Ferner sollten Sie die Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten ebenso üben und planen, wie der Schwarzstart.

Backups sind vor der Wiederherstellung auf Malware zu prüfen. Es sollte beim Wiederherstellen mit Kopien des Backups oder Write-Blockern gearbeitet werden.

 

Prävention vor Malware (Server Einstellungen)

Maßnahmen zum Schutz vor E-Mails mit Schadprogrammen oder verwundbaren extern erreichbaren Systemen.

Umgang mit E-Mails

  • Filtern oder markieren Sie Spam.
  • Filtern Sie Anhänge auf erwartbare Dateitypen und markieren Sie diese entsprechend oder schieben Sie diese in Quarantäne. Beispielsweise sind potenziell gefährlich: .exe, .scr, .chm, .bat, .cmd, und viele mehr.
  • Prüfen und blockieren Sie bekannte Schadprogramme, z.B. mit AV-Signaturen.
  • Umschreiben Sie Links, damit Nutzer diese wirklich bewusst aufrufen müssen.
  • Implementierung und Prüfung von SPF, DKIM und DMARC-Servern. Hierbei ist das Auftreten von Seiteneffekten zu prüfen.
  • Ablehnung von extern eingelieferten E-Mails mit Absende-Adressen der eigenen Organisation durch den E-Mail-Server
  • Blacklisting von (potenziell) schadhaften Mailservern

Extern erreichbare Systeme

Voraussetzung: Erstellen Sie eine Übersicht über schlecht gesicherte, exponierte Dienste oder verwundbare externe Systeme.

Aktives Schwachstellenmanagement:

  • Spielen Sie Updates für extern erreichbare Systeme unverzüglich nach Bereitstellung ein und testen Sie diese.
  • Bei externem Betrieb der IT-Systeme: Vereinbaren Sie ggf. SLAs nach Kritikalität der Updates.
  • Wo Patches derzeit nicht aufgespielt werden können, müssen Schutzmaßnahmen implementiert und dokumentiert werden.
  • IT-Asset Management inklusive einer jederzeit verfügbaren Übersicht mit aktuellen Hard- und Softwareversionen ist empfehlenswert.

Freigabe notwendiger Dienste und Ports

  • Lediglich Webserver und Mailserver sollten von außen erreichbar sein. Nur zwingend notwendige Ports dürfen freigegeben werden.
    1. Diese Einschränkungen sollten regelmäßig überprüft werden
  • OWA oder RDP sollten deaktiviert- oder nur über VPN erreichbar sein.

Remote-Zugänge absichern

  • Schützen Sie Remote-Zugänge immer durch Authentisierung z.B., mittels VPN, zusammen mit einer Multi-Faktor-Authentisierung.
  • Bei Remote-Zugängen, die nicht über VPN abgesichert sind, sollte eine wirksame Account-Lockout-Policy bestehen.
  • Penetrationstests helfen, die von außen öffentlich erreichbaren Systeme zu identifizieren und deren Sicherheit zu prüfen.

Sicherer Umgang mit Administrator Accounts

  • Nutzen Sie Privilegierte Accounts nur für Administratorentätigkeiten
  • Beschränken Sie privilegierte Accounts quantitativ
  • Nutzen Sie abgesicherter Clients für Administratoren (kein Surfen, keine E-Mails usw.)
  • Sicher Sie privilegierte Konten immer über Multi-Faktor-Authentisierung.

Veraltete Systeme isolieren

Sollten Systeme im Einsatz sein, die nicht gepatcht werden können, sollten Sie diese sauber vom restlichen Netzwerk trennen. Diese Systeme sollten weiterhin möglichst keinen Kontakt zu externen Systemen besitzen.

Zugriff auf Ransomware-C2 Server überwachen

Durch das Überwachen bzw. bestenfalls das Blockieren der Zugriffe auf bekannte Ransomware Command & Control (C2) Server, können sofortige Alarmierungen über kompromittierte Server erreicht werden. Unter Umständen kann sogar die Verschlüsselung der Daten, durch Verbindungsüberwachung, vollständig unterbunden werden, da einige Ransomwarevarianten eine Verbindung zu C2 Servern brauchen.

Ausführbarkeit von Schadprogrammen einschränken (Client Einstellung)

Zur Sicherung der Systeme sollten Sie verhindern, dass Schadprogramme, die die Systeme erreicht haben, ausgeführt werden können. Die Maßnahmen hängen vom Gerätetyp, Betriebssystem und den eingesetzten Versionen ab.

Software-Updates

Sie sollten Updates immer unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller testen- und in das IT-Systemen einspielen. Beim Betreiben der IT-Systeme durch externe Dienstleister sind SLAs zu vereinbaren.

Deaktivieren oder Beschränken von Scripting Umgebungen und Makros

Es ist zu empfehlen, bei Windows-Systeme, die PowerShell einzuschränken, um die Ausführung von bestimmten Schadcodes zu erschweren oder zu verhindern. Hierbei sind jedoch genauestens die Auswirkungen dieser Einschränkung zu prüfen.

Beispiele sind, die das Blockieren des Internetzugriffs von PowerShell durch eine Firewall, die Aktivierung des „Constrained Language Modes“ oder das Aktivieren des Loggings aller Befehle via GPO.

Anwendungskontrolle

Infektionen können verhindert werden, in dem die Ausführung und Installation unerwünschter Software grundsätzlich unterbunden wird. Hierfür eignen sich verschiedene Maßnahmen:

  • Application Whitelisting, ermöglicht lediglich die Ausführung von freigegebenen Programmen.
  • Einsetzen von Verzeichnisregeln erlaubt die Ausführung von Programmen nur aus bestimmten Verzeichnissen. Wichtig: Entzug der Schreibrechte auf dieses Verzeichnis für den Nutzer.

Virenschutz

Konsequente Nutzung aller verfügbaren Module bei professioneller Antivirensoftware. Viele Infektionen mit neuen Varianten Ransomeware werden durch die hostbasierten Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software verhindert.

Zusätzliche AV-Module können die Ausführung oder Verbreitung von Malware verhindern.

Behandlung von E-Mails

Viele Mails werden als sog. HTML-E-Mails versendet, um eine ansprechende Optik zu gewährleisten. Hierdurch können aber auch Phishing-E-Mails schnell vertrauenswürdig aussehen, da sich verdächtige Inhalte einfacher verschleiern lassen. Daher sollte die Darstellung von E-Mails als sog. Textdarstellung („Nur-Text“) voreingestellt werden. Ferner sollte automatisiertes Nachladen von Dateien in E-Mails verhindert werden.

Ausführung potenziell gefährlicher Inhalte in gekapselten Umgebungen

Eine weitere Schutzschicht kann die Ausführung potenziell gefährlicher Inhalte in gekapselten
Umgebungen, insbesondere (Mirco-) VMs, sein. Dabei wird eine temporäre Arbeitsumgebung gestartet, welche regelmäßig wieder gelöscht oder zurückgesetzt wird. Wenn Dokumente und Dateien aus unsicheren Quellen in einer virtuellen Umgebung (VM) geöffnet werden, müsste entsprechende Schadsoftware aus dieser VM ausbrechen, um das eigentliche System zu infizieren. Entsprechende (Micro-) VMs können beispielsweise auch das Öffnen Links aus E-Mails abdecken. Selbstverständlich müssen auch entsprechende Lösungen, welche (Micro-) Virtualisierung anbieten aktuell gehalten werden. Zum einen können Betriebssystem-Updates zu Problemen führen, zum anderen kann nur so verhindert werden, dass Schadprogramme aus der VM ausbrechen können.

Vorbereitung auf einen Vorfall

Es ist immer möglich, dass es zu einem Ransomware-Vorfall kommt. Maßnahmen zur Wiederherstellung können häufig Wochen oder gar Monate dauern. Um dies und einen möglichen Reputationsverlust zu vermeiden, sollten Sie mit allen Beteiligten üben, wie das Vorgehen bei einem Vorfall auszusehen hat. Die hierbei eingeübten Vorgehensweisen und sich aus der Übung ergebenden Lektionen sollten dann in Playbooks münden. Aber auch umgekehrt sollte auf Basis der erstellten Playbooks regelmäßig geübt werden.

Bei entsprechenden Planbesprechungen sollten insbesondere Unterschiedliche Kompromittierungs-Grade durchgespielt werden. Folgenden Punkte sollten beachtet werden:

  • Welche Geschäftsprozesse sind für die jeweilige Institution kritisch? Welche Systeme sind für den
    Geschäftsbetrieb zwingend notwendig und wie würde man diese nach einer Kompromittierung
    wiederherstellen?
  • Wie wird zu dem Vorfall intern und extern kommuniziert? Es ist wichtig, dass die richtigen
    Informationen die richtigen Stakeholder zeitnah erreicht. Beachten Sie dabei auch nötige rechtliche Meldepflichten. Über welche Mittel oder Systeme werden diese informiert?
  • Halten Sie eine Liste mit Dienstleistern für solche Notfälle bereit, beispielsweise zur Wiederherstellung oder forensischen Analyse ihrer IT-Systeme.
  • Planen Sie, wie auf eine Erpressung Forderung reagiert werden sollte und welche Risiken bestehen, wenn Unternehmensdaten veröffentlicht werden.
  • Stellen Sie sicher, dass auch bei Verschlüsselung von Daten Zugriff auf die Reaktions-Pläne und in
    diesem Zusammenhang zwingend notwendige Daten besteht. Hierzu kann es nötig sein, dass
    entsprechende Dokumente, Kontaktdaten und Passwörter in ausgedruckter Form vorliegen.
  • Denken Sie daran, dass Aufsichtsbehörden eine unmittelbare Prüfung zur Kontrolle der technischen und organisatorischen Maßnahmen in Betracht ziehen können. Bereiten Sie sich im Rahmen der zu übenden Maßnahmen darauf vor und stellen Sie sicher, dass alle Unterlagen in ausgedruckter Form vorliegen und die Beschäftigten, welche mit Datenschutz-Themen vertraut sind, als Ansprechpartner zur Verfügung stehen.
  • Auch das Wiederaufsetzen der verschiedenen Systeme sollte nicht nur theoretisch durchgespielt,
    sondern auch praktisch geübt werden. Dabei können die folgenden Fragen beantwortet werden:
  • Welche Prozesse und Reihenfolgen gibt es beim Wiederherstellen von Servern und Daten aus den Backup-Lösungen
  • Wie lang nimmt das Wiederherstellen und Neukonfigurieren der zwingend nötigen Geräte in Anspruch?
  • Wie wird vorgegangen, wenn lokale Systeme und Backups nicht mehr verwendbar sind und komplett aus Offline-Backups wiederhergestellt werden müssen? Was ist, wenn dann die Offline-Backups nicht mehr nutzbar sind?
  • Wie werden virtuelle Umgebungen und physische Server neu aufgebaut?
  • Werden neue Systeme benötigt?
  • Wie viele neue Systeme sind notwendig?
  • Wie kommen Sie an neue physische Systeme? Können die üblichen Lieferanten schnell genug liefern oder haben Sie ggf. eigene Vorsorge getroffen (eigene Lagerhaltung)?
  • Wie werden kritische Geschäftsprozesse aufrechterhalten?
  • Welches Personal und welche Fähigkeiten werden wo in welcher Funktion benötigt?
  • Wer kontrolliert die entsprechende Leak Seite um zeitnah auf einen Datenabfluss reagieren zu können?

 

Dieser Artikel war etwas länger, als Sie es vermutlich von uns gewohnt sind, aber wir möchten hier die notwendige Awareness schaffen und Ihnen Möglichkeiten an die Hand geben, um sich vor Ransomware zu schützen.

In diesem Sinne: Eine gute, sichere Zeit an Ihrem PC!

____

Quelle:

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.pdf?__blob=publicationFile&v=2

____

Awareness Schulungen gibt es hier bei uns. Jetzt anfragen. >