Start Empfohlen Was tun nach einem Ransomware-Angriff

Was tun nach einem Ransomware-Angriff [Q&A]

3
0


Ransomware

Ransomware ist ein großes Problem und idealerweise möchten Sie zwar Angriffe vermeiden, aber die Chancen stehen gut, dass Sie irgendwann zum Ziel werden.

Was passiert also nach einem Angriff und was sollten Unternehmen unmittelbar danach tun, um die Auswirkungen zu verringern? Wir sprachen mit Ed Williams, EMEA-Direktor von SpiderLabs bei Trustwave, um herauszufinden und Tipps zu erhalten, wie Sie sich in Zukunft proaktiv vor Ransomware-Angriffen schützen können.

BN: Warum ist Ransomware zu einem solchen Problem geworden?

EW: Ich würde sagen, Ransomware ist sehr breit gefächert, sie ist auch wahllos. Wenn Sie also eine RDP-Instanz haben, die nicht gepatcht ist oder schwache Anmeldeinformationen hat, werden Sie angegriffen. Ähnlich bei Software-Schwachstellen, einer Hauptversion oder einer Art Exploit, wird es Ransomware-Gangs geben, die dieses Stück Software oder diese Schwachstelle als Waffe einsetzen und dann in ihren Code integrieren. Und weil Ransomware as a Service zusammen mit der Cloud explodiert ist, ist es einfach, sie einfach im Hintergrund zu installieren. Sie scannen das Internet, um zu sehen, was funktioniert.

Wenn wir Schwachstellen-Scans und Ransomware-Bereitschaftstests durchführen, wird etwas kompromittiert oder es fehlt ein Patch und wir sind anfällig. Wir werden das Geschäft darauf aufmerksam machen und sie werden eines von drei Dingen sagen: „Ich weiß nicht einmal, was das ist. Ich dachte, wir haben es ausgeschaltet. Wir können es nicht patchen.“ Es ist wirklich schwierig für ein Unternehmen, aber es braucht ein wirklich gutes Asset-Management und eine wirklich gute Änderungskontrolle.

Wir empfehlen immer eine Segregation und Mikrosegmentierung. Um dies richtig tun zu können, müssen Sie wirklich verstehen, welche Daten durch Ihr Unternehmen fließen, wie sie fließen, wohin sie gehen müssen und wo nicht.

BN: Was also tun Sie, wenn alle Abwehrmaßnahmen versagt haben und Sie plötzlich feststellen, dass einige Geräte in Ihrem Netzwerk mit Ransomware infiziert sind?

EW: Aus unserer Erfahrung gibt es zwei Arten von Organisationen. Man hat einige Tabletop-Übungen gemacht, weiß, wie der Prozess aussieht und verfolgt nur den Prozess. Sie isolieren die Maschinen vom Netzwerk und ermitteln, wie das Problem aussieht. Wenn Sie das getan haben, formulieren Sie einen Plan und beziehen Sie sich auf Backups zur Wiederherstellung. Es ist wichtig, den Ausgangspunkt der Infektion zu finden und diesen zu schließen.

Das nächste, was wahrscheinlich passieren muss, wenn Sie es im Griff haben, ist ein Blick auf die Daten, die ausgegeben werden. Im letzten Jahr stehlen auch Ransomware-Gangs Daten. Sie versuchen also herauszufinden, was gestohlen wurde, welche Befehls- und Kontrollkanäle verwendet wurden und wie Sie dies verhindern können, damit sie in Zukunft keinen Zugriff mehr erhalten. Dann sehen Sie sich an, was sie sonst noch getan haben, haben sie zusätzliche Benutzer angeschlossen oder bösartigen Code hinterlassen, der eine gewisse Verzögerung hatte?

Unreife Organisationen hingegen geraten als erstes in Panik und tun wahrscheinlich das Falsche. Sie versuchen, Maschinen auszuschalten, links rechts und zentrieren, wo sie genau herausfinden müssen, was vor sich geht.

BN: Was können Sie tun, wenn Sie unvorbereitet erwischt werden?

EW: Das Beste, was Sie tun können, ist, einen vertrauenswürdigen Dritten hinzuzuziehen, der über eine Art Reaktion auf Vorfälle in der digitalen Forensik verfügt. Sie werden Sie durch den Prozess führen, was zu tun ist, ich denke, das ist wirklich wichtig. Natürlich ist diese 30-tägige Panik, okay, wir haben einen Ransomware-Angriff, lasst uns unsere Reife erhöhen und sicherstellen, dass wir niemals Gefahr laufen, erwischt oder entlarvt zu werden, wenn eine andere Variante oder etwas anderes herauskommt.

Aber Sie können das Risiko nicht vollständig beseitigen. Was Sie tun können, ist, Ihre Zeit bis zur Erkennung und Ihre Zeit bis zur Reaktion zu verbessern, indem Sie sicherstellen, dass es geeignete Tabletop-Übungen und Teaming-Übungen gibt, um herauszufinden, was für Ihr Unternehmen wirklich wichtig ist. Wenn Sie auf das kompromittiert werden, und das können personenbezogene Daten oder eine sensible Datenbank sein, können Sie Trigger basierend auf gängigen Angriffs-Frameworks umschließen.

Sobald Sie die Grundlagen abgedeckt haben, hilft es Ihnen bei Ihrer Telemetrie oder beim Benutzerzugriff oder was auch immer es sein mag. Es ist wirklich sehr wichtig, dass sich Organisationen auf die Grundlagen konzentrieren, nicht weil sie einfach sind, sondern weil sie die Dinge sind, die jede Organisation, unabhängig von ihrer Größe, haben muss.

BN: Wie wichtig ist es, den speziellen Ransomware-Stamm zu identifizieren, mit dem Sie infiziert wurden?

EW: Wir wissen, wie Ransomware eindringt, wir wissen, wie sie sich intern verbreitet. Wenn Sie kurzfristig angegriffen werden, ist es wahrscheinlich sehr wichtig, dass Sie wissen, was diese Ransomware ist und wozu sie in der Lage ist und was wahrscheinlich wieder auf Kommando und Kontrolle zurückkehrt.

Allgemein gesprochen ist es wahrscheinlich weniger wichtig. Wenn ich eine Ransomware-Bereitschaftsstudie durchführe, würde ich mich nicht darauf konzentrieren: „Sie werden wahrscheinlich von dieser Ransomware angegriffen, also lassen Sie uns sicherstellen, dass Ihre Abwehrmaßnahmen und Ihre Reaktion darauf ausgerichtet sind.“ Ich denke, es ist umfassender als das, wir sollten uns die umfassendere Bedrohung ansehen.

BN: Wie sieht es mit dem Schutz von Systemen in der Cloud aus?

EW: Organisationen sind leicht verwirrt, was die Verantwortung des Cloud-Anbieters und was ihre Verantwortung ist. Wir wissen, dass es ein Modell der gemeinsamen Verantwortung gibt, je nachdem, welche Art von Infrastructure-as-a-Service, Software-as-a-Service, Platform-as-a-Service oder Application-as-aS-Dienst verwendet wird, müssen Sie machen sicher, dass Sie die Sicherheit verstehen. Wenn wir ein Jahr oder 18 Monate zurückgehen, gab es die Erwartung, dass die gesamte Cloud gepatcht und auf dem neuesten Stand war, aber das ist nicht immer der Fall. Wenn die Kunden reifer werden, erkennen sie, dass es eine etwas größere Pflicht ist, zu verstehen, was sie in die Cloud stellen, und dann Services darum zu wickeln.

BN: Also, die – möglicherweise buchstäblich – $64.000-Frage, sollten Sie jemals erwägen, das Lösegeld zu zahlen?

EW: Meine persönliche Meinung ist nein. Ransomware ist wirklich ausgeklügelt, wir wissen, dass sie Daten stehlen, also warum sollten Sie sich mit jemandem befassen, der Ihre Daten bereits besitzt? Es gibt absolut keinen Grund, warum sie Ihre Daten löschen, sobald Sie sie bezahlen. Wenn Sie sich Bitcoin ansehen, sagen sie, es sei rückverfolgbar, aber Sie haben keine Ahnung, wo sich die Brieftasche befindet. Ja, es ist bis zu dem Punkt rückverfolgbar, an dem Sie die Wallet-Adresse haben, aber wenn sie von einer Börse auf eine Hardware-Wallet genommen werden, haben Sie sie verloren.

Aber wenn man mit verschiedenen Leuten spricht, bekommt man unterschiedliche Ansichten. Es wird wahrscheinlich einige Gesetze geben, die Richtlinien zur Zahlung geben. Ich bin ehrlich, wir haben Organisationen gesehen, die sich darauf vorbereiten, Zahlungen zurückzuhalten, für den Fall, dass etwas passiert, sie haben bereits die Entscheidung getroffen, dass sie zahlen können. Sie haben ihre Bitcoins bereit und können im schlimmsten Fall schnell reagieren, damit sie nicht Bitcoin kaufen müssen. Wir sehen Organisationen, die das tun, in der Regel empfehlen wir dies nicht, aber letztendlich ist es ihr Geschäft, ihr Risiko.

Bildnachweis: LeoWolfert/Shutterstock



Vorheriger ArtikelAlle Hinweise deuten darauf hin, dass Microsoft die Ankündigung von Windows 11 vorbereitet
Nächster ArtikelApple kauft Dark Sky, und das sind schreckliche Neuigkeiten für Android-Nutzer

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein