Ratschläge von Security-Anbieter Arctic Wolf
Was nach einem Ransomware-Angriff zu tun ist
Ransomware-Angriffe haben in den letzten Jahren stark zugenommen, haben sie sich doch als lukratives Geschäftsmodell für Cyberkriminelle erwiesen. Gelingt ein Ransomware-Angriff, ist häufig die komplette IT-Infrastruktur lahmgelegt, und dem Unternehmen drohen finanzielle Einbußen sowie Image-Schäden. Oft sind Unternehmen bei Ransomware-Befall überfordert. Der MSSP (Managed Security Services Provider) Arctic Wolf aus den USA gibt nachfolgend Tipps, wie man im Ernstfall vorgehen sollte.
„Organisationen jeglicher Größe sind Ziel von Ransomware-Angriffen – vom kleinen Familienunternehmen über Mittelständler bis hin zum Großkonzern,“ sagt Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf. „Um solchen Attacken vorzubeugen, gilt es, präventive Maßnahme zu ergreifen.“ Dabei könne auch ein Security-Dienstleister wie Arctic Wolf Hilfestellung leisten. Bei einem Ransomware-Vorfall, so Schmerl, „ist es entscheidend, schnell die nächsten Schritte zu planen und sich mit der Frage ‚Zahlen oder nicht zahlen?‘ zu beschäftigen.“
Für die ersten kritischen Momente eines Ransomware-Befalls gibt der Security-Anbieter folgende Tipps:
- Keine überstürzte Reaktion: Sobald Unternehmen auf die Nachricht der Angreifer antworten, starten die Kriminellen einen vordefinierten Prozess, und eine Art Countdown läuft.
- Unterstützung anfordern und Behörden informieren: Auch wenn Unternehmen die Entscheidungen letztlich selbst treffen müssen, bieten Hotlines von Security-Partnern, spezialisierte Berater sowie LKA, BKA, ZAC (Zentrale Ansprechstelle Cybercrime) und BSI wertvollen Expertenrat.
- Incident-Response- oder Ransomware-Plan befolgen: Hat das Unternehmen präventiv einen Notfallplan aufgesetzt, sollte es diesen Schritt für Schritt befolgen.
- Transparenz schaffen: Das Security-Team sollte die Geschäftsführung direkt über den Vorfall informieren. Das bedeutet, die Lage, nächste Schritte und die benötigte Hilfe erklären.
Die nächsten Schritte
Der akute Angriff ist laut Arctic Wolf nicht der Moment, um die Schuldfrage zu diskutieren. Das Team sollte sich vielmehr auf folgende Kernaufgaben konzentrieren:
1. Eine weitere Ausbreitung des Vorfalls mithilfe von Incident Response stoppen:
- Wie kann man im Team kommunizieren? Gegebenenfalls ist eine Notkommunikation einzurichten.
- Wo und inwieweit ist das Unternehmen noch verwundbar? Es ist sehr wahrscheinlich, dass sich die Angreifer noch im Netzwerk befinden.
- Schließen von C&C-Kanälen (Command and Control, Kommunikation der Malware mit den Servern der Kriminellen), um Angreifer vom eigenen Netzwerk auszuschließen.
- Welche Infrastrukturteile kann oder muss das IT-Team isolieren oder abtrennen, um weitere Schäden zu verhindern?
2. Das Schadensausmaß und die Recovery-Optionen durch das IT-Team ermitteln:
- Verfügbarkeit der Backups feststellen und diese sofort offline nehmen, um die Verschlüsselung durch Angreifer zu verhindern.
- Welche Services sind betroffen, welche bestehen noch unberührt?
- Welche Daten wurden verschlüsselt?
- Welche Recovery-Aktionen sind erforderlich für den Fall, dass sich a) Daten wieder entschlüsseln lassen oder b) dauerhaft verschlüsselt bleiben?
3. Informationen zu Angreifern, Malware und ähnlichen Fällen zusammentragen:
- Um welche Ransomware handelt es sich? Gibt es Entschlüsselungsmöglichkeiten durch Schwachstellen in der Ransomware?
- Gibt es erfolgreiche Entschlüsselungen?
- Welche Angreifergruppe steht hinter dem Vorfall? Was sind ihre Motivation, Methoden und früheren Aktivitäten, handelt es sich um Profis oder Anfänger?
4. Business Case aufstellen: Ist die Zahlung des Lösegelds das insgesamt günstigste Szenario? Anschließend ist eine Entscheidung zu treffen: zahlen oder nicht zahlen?
- Wie hoch ist die Lösegeldsumme, und was ist das Unternehmen bereit zu zahlen?
- Wie lang sind die Ausfallzeiten in beiden Szenarien? Wie umfangreich die Aufwände für den Wiederaufbau (Recovery) und Wiederherstellung oder Entschlüsselung der Daten?
- Mit welchen Image- und Reputationsschäden und gegebenenfalls Klagen durch betroffene Stakeholder ist zu rechnen?
- Besteht eine Cybersecurity-Versicherung, die einen Teil der Kosten übernimmt?
- Wichtig ist: Bei Verhandlungen mit Kriminellen gibt es keine Garantien – auch wenn das betroffene Unternehmen Lösegeld zahlt. LKA, BKA und BSI raten zudem von der Zahlung ab, um keine organisierte Kriminalität zu finanzieren.
5. Gegebenenfalls mit den Angreifern verhandeln
- Definition der Verhandlungsziele und Aufbringen der Zahlungsmittel.
- Kontaktieren und Verifizierung der Angreifer.
- Höflich bleiben! Angreifer erpressen meist mehrere Unternehmen gleichzeitig und behandeln „schwierige Kunden“ schlechter.
- Beweise anfordern! Mit Free Keys oder Samples lässt sich überprüfen, ob die Angreifer wirklich den korrekten Schlüssel besitzen. Keys sollte man zunächst in einer Sandbox überprüfen, um auszuschließen, dass es sich auch um bösartige Payloads handelt.
- Höhe der Zahlung verhandeln, aber niemals sagen, dass man kein Geld hat, sonst verlieren die Erpresser das Interesse. Zudem sind die Angreifer über Geschäftsberichte und Finanzbilanzen häufig gut über die Zahlungsfähigkeit informiert.
- Definition eines gemeinsamen Zeitplans.
- Bezahlen mit Cryptowährung (ein bis zwei Tage). Achtung: Es besteht immer die Gefahr, dass Unternehmen zahlen und trotzdem keinen Schlüssel von den Betrügern erhalten!
- Lieferung des Schlüssels durch die Erpresser.
- Das IT-Team sollte auch das durch durch Angreifer bereitgestellte Entschlüsselungsprogramm zuvor in der Sandbox prüften, um sicherzugehen, dass es wirklich entschlüsselt und die Situation nicht noch verschlimmert.
Damit der Ransomware-Angriff eine einmalige Angelegenheit bleibt, gilt es laut Arctic Wolf, nach dem Vorfall einige abschließende Maßnahmen zu ergreifen. So sollte das IT-Team alle Systeme scannen und bereinigen sowie die Passwörter aller Nutzer und technischen Accounts zurücksetzen. Außerdem sollte es mögliche Backdoors und Verwundbarkeiten überprüfen und schließen. Unabhängig davon, ob man sich für oder gegen die Lösegeldzahlung entschieden hat, sollte dem Vorfall außerdem ein intensives Threat Hunting und Public-, Dark-, und Deep-Web-Monitoring folgen, um zu überprüfen, ob die Kriminellen unternehmenseigene Daten veröffentlicht haben.
Lesen Sie mehr zum Thema
