Warum Backups nicht das Allheilmittel für die Wiederherstellung nach einem Ransomware-Angriff sind

Cyber Security News

Ein Mann läuft durch eine Serverfarm. Die am weitesten verbreitete Weisheit zur Verhinderung von Schäden durch Ransomware ist das Erstellen von Backups der Systeme, aber das allein ist möglicherweise nicht genug. (Amy Sacka für Microsoft)

Die am weitesten verbreitete Weisheit zur Vermeidung von Schäden durch Ransomware ist die, dass man Systeme sichern sollte. FujiFilm und Colonial Pipeline haben in der Tat von Backups wiederhergestellt. Ist die Lösung für die Ransomware-Geißel in Zeiten zunehmender Besorgnis über Ransomware also so einfach wie die Investition in einige Backups?

“Wenn es so einfach wäre, wäre es einfach kein Thema”, sagt Riley Stauffer, Sicherheits- und Incident-Response-Analyst bei der Managed-Detection-and-Response-Firma Pondurance.

In der Tat kann es schwierig sein, sich von Ransomware zu erholen. Backups können es einfacher machen. Aber sie können es nicht einfach machen. Backups können beschädigt sein, nicht getestet werden, unerschwinglich sein, von Angreifern verschlüsselt werden oder in demselben verletzten Zustand wiederhergestellt werden, in dem sie gesichert wurden. Sie vertreiben keine Hacker von den Systemen. Sie bekämpfen keine sekundären Formen der Störung.

Tatsächlich hat die Anwaltskanzlei BakerHostetler errechnet, dass 20 % ihrer Kunden, die von Backups wiederherstellen, am Ende auch das Lösegeld bezahlen. Führungskräfte von Colonial Pipeline und Mandiant, der Firma, die die Wiederherstellungs- und Sanierungsmaßnahmen von Colonial durchführte, sagten letzte Woche bei einer Anhörung im Kongress aus, dass das Unternehmen 4,4 Millionen Dollar Lösegeld zahlte, obwohl die Backups am Ende ausreichten, um das Netzwerk wiederherzustellen.

“Sich auf die gefühlte Weisheit zu verlassen, dass Backups ausreichen, ist höchst problematisch”, so Jeremy Kennelly, Senior Manager of Analysis bei Mandiant gegenüber SC Media. “Jede Organisation, die erwartet, dass Backups allein den Schaden beheben oder ihnen erlauben, wieder zum Laufen zu kommen, wird Probleme bekommen.”

Remediation ist mehr als das Wiederherstellen von Dateien

“Wenn wir an einem Freitag gerufen werden, ist die erste Frage vieler Führungskräfte: ‘Werden wir am Montag wieder einsatzbereit sein?’ Sie müssen nur wissen, dass das nicht der Fall ist”, so Stauffer. “Normalerweise sage ich ihnen, dass sie sich darauf einstellen müssen, dass ihr IT-Team zwei Wochen lang nicht viel Schlaf bekommt, nur um die Sache in den Griff zu bekommen und einen Punkt zu erreichen, an dem sie beginnen können, alles wieder aufzurichten.”

Das Wiederherstellen verschlüsselter Dateien scheint das Wichtigste zu sein, wenn man mit einem Ransomware-Angriff konfrontiert wird. Leider bedeutet die Wiederherstellung aus dem Backup möglicherweise nur die Wiederherstellung von Systemen an einem Punkt, an dem der Angreifer bereits Zugriff hatte. Es behebt nicht die Schwachstellen, die zu dem Einbruch geführt haben. Bei der Behebung eines Ransomware-Angriffs geht es nicht nur um die Dateien, genauso wenig wie es bei der Behebung eines überfluteten Kellers nur darum geht, das Wasser abzupumpen. Sie müssen auch die undichten Rohre reparieren.

“Wenn Ihre gesamte Wiederherstellungsstrategie darauf basiert, die verschlüsselten Daten wiederherzustellen, schließen Sie die Tür, um zu verstehen, wie diese Person Zugang erhalten hat, ob sie mit den Informationen, die sie über Ihr Netzwerk erfahren hat, immer noch Zugang hat und was sie in Ihrem Netzwerk angefasst hat”, so Kennelly.

Tatsächlich wird die überwiegende Mehrheit der Unternehmen, die Lösegeld zahlen, laut einem neuen Bericht von Cybereason erneut Opfer eines Angriffs.

Kennelly sagte, dass Unternehmen sich darauf vorbereiten müssen, Wiederherstellungs- und Ermittlungsoperationen gleichzeitig durchzuführen und sich darauf einstellen müssen, dass die Ermittlungen die Wiederherstellung zum Unterbrechen oder Umkehren des Kurses zwingen könnten.

Eine der schlechtesten Verhandlungspositionen, so Kurtis Minder, CEO von GroupSense und ein bekannter Ransomware-Verhandlungsführer, ist es, der Ransomware-Gruppe zu trotzen, nur um später herauszufinden, dass die Wiederherstellung die Tür für eine Rückkehr der Gruppe weit offen gelassen hat.

“Ein Teil-Backup kann bei Verhandlungen helfen, weil wir kommunizieren können, dass wir teilweise wiederhergestellt sind und es sich für uns nicht lohnt, den vollen Betrag zu zahlen. Aber man muss auch vorsichtig sein. Wenn Sie das dem Bedrohungsakteur sagen, sollten Sie sich sehr sicher sein, dass er nicht wieder einsteigen und alles durcheinander bringen kann. Das haben wir schon ein paar Mal erlebt”, sagt Minder.

Die Erpressung kann mehr sein als der Verlust des Zugriffs auf Dateien

Backups bereiten Sie auf die Wiederherstellung von Dateien vor. Sie bereiten Sie nicht auf die sogenannte doppelte Erpressung vor, bei der Hacker damit drohen, Dateien, die sie aus Ihrem Netzwerk gestohlen haben, zu veröffentlichen.

Ransomware-Betreiber nutzen Lecks schon seit Jahren als Motivator, am bekanntesten wurde dies 2017, als die Gruppe Dark Overlord Episoden von “Orange is the New Black” leakte, nachdem ein Postproduktionsstudio nach Zahlung eines Lösegelds die Strafverfolgungsbehörden eingeschaltet hatte. Mittlerweile ist dies ein weit verbreiteter Bestandteil von Ransomware, wobei die Betreiber spezielle Leak-Seiten hosten.

In jüngster Zeit hat das DDoS-Schutzunternehmen Netscout ein neues Element der Dreifach-Erpressung beobachtet – das Verschlüsseln von Dateien, die Androhung von Dateilecks und das Ausführen eines DDoS-Angriffs, während die Opfer über die Lösegeldforderung nachdenken.

“Es sorgt sicherlich für ein Gefühl der Dringlichkeit”, sagte Hardik Modi, Assistant Vice President of Threat and Mitigation Products bei Netscout. “Sie versuchen, die Entscheidung zu treffen, ob Sie zahlen oder ob Sie Backups machen wollen. Und der Ransomware-Akteur schickt einen DDoS, um zu sagen: ‘Wir haben euch nicht vergessen.’ Das sind die Zeiten, in denen Sie versuchen, mit der Welt darüber zu kommunizieren, was passiert ist. Das sind keine guten Zeiten für eine Website, um unterzugehen.”

Modi sagt, dass Netscout im letzten Jahr begonnen hat zu sehen, dass DDoS als zusätzlicher Stressfaktor bei Angriffen eingesetzt wird.

“Wir haben jetzt mehrere Gruppen gesehen, die DDoS neben ihrer Verschlüsselung und den Aspekten des Einbruchs einsetzen”, sagte er.

Backups werden diese Art von Bedrohungen nicht aufhalten. Angreifer setzen sie zum Teil deshalb ein, weil sie wissen, dass die erste Verteidigungslinie von Unternehmen auf einem Bandlaufwerk liegt.

Bereiten Sie sich darauf vor, dass Ihre Backups Sie im Stich lassen werden

“Im Moment habe ich es mit einer Situation zu tun, in der die Backups, die im Netzwerk waren, alle verschlüsselt waren”, sagt Chris Ballod, Associate Manager bei Krolls Cyber Risk Practice. “Und dann sagten sie ‘kein Problem, wir haben Band-Backups’. Aber wir finden heraus, dass die Band-Backups natürlich schon ein Jahr alt sind. Das ist nicht hilfreich.”

Selbst wenn sie es wären, fügte er hinzu, wäre die Software, die benötigt wird, um zu sehen, was auf diesen Band-Backups ist, verschlüsselt. Und alle Band-Backups sind sequentiell. “Sie müssen die Systeme basierend darauf wiederherstellen, wann sie auf dem Band gespeichert wurden”, sagte Ballod. “Man kann nicht kritische Systeme vor anderen auswählen.”

Backups sind großartig, wenn sie funktionieren. Aber es gibt viele Möglichkeiten, wie sie versagen können.

“Am Ende des Tages, nur weil Bob aus der IT-Abteilung gesagt hat, dass wir die Backups wöchentlich machen – ich habe schon mehr Fälle erlebt, in denen das tatsächlich nicht der Fall war, oder Bob ist nicht mehr bei uns, so dass wir nicht wissen, wo er die Backups hingelegt hat”, so Ballod.

Wenn die Backups im Netzwerk gespeichert sind, besteht eine gute Chance, dass die Ransomware-Gruppe auch diese verschlüsselt hat. Die beste Praxis ist es, eine Form von Offline-Backup zu haben, nur für den Fall. Aber das kann seine eigenen Probleme verursachen. Was passiert zum Beispiel, wenn der externe Speicher nur an Wochentagen geöffnet ist und Sie an einem Freitagabend angegriffen wurden?

Backups können leicht so veraltet sein, dass sie nicht mehr brauchbar oder sogar mit aktuellen Systemen kompatibel sind. Selbst Unternehmen, die regelmäßige Backups einsetzen, fehlt manchmal das Testregime, um sicherzustellen, dass die kritischsten Backups im Ernstfall brauchbar sind.

“Was bei den Kunden, mit denen wir zu tun hatten, ziemlich einheitlich ist, ist, dass sie ihre Backups nicht testen”, sagt Chad Vicknair, Experte für Backup und Wiederherstellung bei der Cybersicherheitsfirma für industrielle Netzwerke aeCyberSolutions.

Es gibt unzählige Möglichkeiten, wie ein Backup versagen kann. In der Cybersicherheitsbranche gibt es Witze über “Schrödingers Backup”, also das Backup, von dem man nicht weiß, ob es funktioniert, bis die Systeme wiederhergestellt werden müssen. Vicknair sagte, er habe gesehen, wie Backups durch Firewalls, die Zeitüberschreitungen zwischen Servern und Speicher erzeugen, unbrauchbar gemacht wurden.

Und wenn Backups funktionieren, funktionieren sie vielleicht nicht genau so, wie man es erwartet. Vicknair merkt an, dass vor allem im Bereich der Betriebstechnologie eine wachsende Menge an Abhängigkeiten zwischen den Systemen es schwieriger macht, ein kritisches System einfach wiederherzustellen. Eine Produktionsanlage könnte nicht funktionieren, ohne dass das Just-in-Time-Abrechnungssystem, das sich in einem Unternehmensnetzwerk befindet, ebenfalls in Betrieb ist. Und, so Ballod, der Wiederherstellungsprozess kann oft Tage dauern und Millionen von Dollar an verlorenen Arbeitsprodukten kosten – langsamer als die Zahlung eines Lösegelds.

Also, was dann?

Alle, mit denen SC Media für diese Geschichte gesprochen hat, sind der Meinung, dass Backups eine wichtige Komponente zur Abwehr von Ransomware und anderen Arten von Angriffen sind. Der Schlüssel, so sagen sie, liegt darin, ihre Grenzen zu verstehen und die Vorbereitungen zu treffen, die getroffen werden müssen, um ein Backup erfolgreich zu nutzen.

Vicknair plädiert für einen 3-2-1-Ansatz – drei Kopien der Daten, die zwei verschiedene Technologien verwenden, wobei eine Kopie außerhalb des Unternehmens aufbewahrt wird.

Backups müssen regelmäßig getestet werden. Gute Logging-Praktiken können den Untersuchungsprozess von Vorfällen beschleunigen. Es müssen Pläne für mehrere Arten von Erpressung vorhanden sein und für den Fall, dass jeder Plan fehlschlägt.

“Backups sind essentiell – sie sind ein wichtiger Teil des Risikomanagementplans im Allgemeinen, noch viel weniger, wenn man von Ransomware getroffen wird”, sagt Ballod. “Aber es geht um mehr.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com