Ransomware[Advertorial]

Steigende Gefahr und mögliche Abhilfe im Disaster Fall

(Bild: Zerto)

In den letzten Jahren stieg die Zahl der Ransomware-Fälle stetig, in denen Hacker durch den Einsatz verschiedener Ransomware-Trojaner – wie etwa CryptoLocker – versuchten, von Privatleuten und von Unternehmen Geld zu erpressen. Wie sich Unternehmen vor der wachsenden Gefahr schützen können, wenn präventive Maßnahmen nicht wirksam waren, erläutert dieser Artikel.

Diese Art von Schadsoftware ist dafür konzipiert, Zugriff auf Daten und Dateien zu erlangen und diese mittels eines Schlüsselpaars aus öffentlichem und privatem Schlüssel zu verschlüsseln. Ohne den privaten Schlüssel, der sich üblicherweise bis zur Zahlung des Lösegelds auf dem Server des Angreifers befindet, ist es nicht möglich, die Daten zu entschlüsseln. Leider geben die Angreifer in vielen Fällen auch nach Zahlung des Lösegelds den Schlüssel nicht heraus, sodass die Opfer ihr Geld verlieren und trotzdem nicht auf ihre Dateien zugreifen können. Ransomware gibt es zwar schon seit vielen Jahren, die aktuellen Fortschritte bei der Verschlüsselungstechnik und die Mühelosigkeit, mit der Angreifer ihre Identität verschleiern können, machten jedoch den Einsatz dieser Methode für eine wachsende Zahl von Hackern attraktiv.

Aufstieg und Fall von CryptoLocker

Die derzeitige Welle der Bedrohungen durch Ransomware begann Ende 2013 mit dem Auftreten der wahrscheinlich bekanntesten Ransomware-Familie: CryptoLocker. Im Mai 2014 führte eine gemeinsame Aktion von Strafverfolgungs- und Sicherheitsbehörden zur Abschaltung von CryptoLocker. Dies wurde hauptsächlich durch die Zerschlagung des Netzwerks GameOver Zeus erreicht, das einen der wichtigsten Verteilungswege des Trojaners darstellte. Der ursprüngliche CryptoLockerTrojaner wurde zwar abgeschaltet, Imitationen davon sind aber immer noch im Umlauf. Außerdem entstanden seitdem viele neue Ransomware-Familien: CTB-Locker, CryptoWall, TorrentLocker und TeslaCrypt sind darunter die Erfolgreichsten. Welchen Namen sie auch tragen, sie alle haben das gleiche Ziel – von ihren Opfern Geld für die Entschlüsselung von Daten und Dateien zu erpressen.

Warum ist Ransomware so gefährlich?

Diese Art von Angriffen stellt aus mehreren Gründen eine ernstzunehmende Gefahr dar:

  • Bei den Angriffen werden intelligente Technik und Verschleierungsmanöver eingesetzt, um Sicherheitssoftware zu umgehen. Dadurch entsteht häufig eine „Zero-DaySchadsoftware“, also ein Trojaner, der Sicherheitsexperten unbekannt ist und der somit von einer Sicherheitssoftware nicht als Risiko erkannt wird.
  • Sicherheitsexperten halten verschlüsselte Daten für nicht wiederherstellbar. Da viele Opfer auch berichten, dass trotz Zahlung eines Lösegelds der zur Entschlüsselung erforderliche Schlüssel nicht geliefert wurde, ist es nicht ratsam, den Forderungen eines Hackers nachzukommen.
  • Da die Hacker das Tor-Netzwerk und virtuelle Währungen, wie Bitcoin, nutzen, können Sicherheitsbehörden sie meist nicht aufspüren.
  • Die Angriffe richten sich zum Großteil gegen Nutzer in den reicheren Ländern: Im Jahr 2015 fanden 50% aller entdeckten CTB-Locker-Angriffe in den USA und 35% in Europa statt.
  • Die Ende 2014 neu aufgetauchte Ransomware-Familie SynoLocker richtet sich speziell gegen Unternehmen und zielt dort insbesondere auf Festplatten in Massenspeicher- und Netzwerkspeichersystemen (NAS). Der Trend, sich auf „hochwertige“ Opfer zu konzentrieren, hat sich bereits verstärkt und wird dies wahrscheinlich weiterhin tun. Dabei sind nicht nur Großunternehmen im Visier sondern auch der breite Mittelstand wird angegriffen.
  • Im Mai 2017 infizierte die Malware WannaCry an einem Tag ca. 230.000 Rechner in über 150 Ländern. Betroffen waren unter anderem kritische Infrastrukturen z.B. im Healthcare Bereich in UK, was eine massive Gefährdung darstellte und sogar Operationen abegbrochen werden mussten aufgrund nicht funktionierender Systeme

Was ist zu erwarten?

Unglücklicherweise scheint der Einsatz von Ransomware unaufhaltsam anzusteigen. Von 2013 bis 2014 stieg die Anzahl der Ransomware-Fälle um 250%. Im ersten Quartal 2015 lag der Anstieg bereits bei 165%. Forscher der McAfee Labs meldeten dann im zweiten Quartal über 4 Millionen Ransomware-Muster, von denen 1,2 Millionen neu waren. Anfang 2016 registrierenten Security-Anbieter alle zwei Minuten einen Ransomware-Angriff auf Unternehmen. Im Herbst 2016 erfolgten die Attacken schon alle 40 Sekunden. Für das laufende Jahr 2017 wird eine Verdoppelung der Ransomware-Attacken erwartet.

Es ist eine Fokussierung auf neue Ziele zu beobachten und es ist zu erwarten, dass insbesondere Unternehmen der Finanzbranche und des öffentlichen Sektors anvisiert werden. Möglicherweise erinnern Sie sich an eine Nachricht der BBC, dass die Systeme der Verwaltung von Lincolnshire in England durch einen Ransomware-Trojaner infiziert worden waren. Dadurch war das betroffene Netzwerk für mehr als vier Tage außer Betrieb und die für die Öffentlichkeit zu erbringenden Dienstleistungen waren beeinträchtigt. Mithilfe des Tor-Netzwerks haben Cyber-Kriminelle jetzt begonnen, Ransomware auch in Form von „Ransomware als Service“ (RaaS) anzubieten, wodurch technisch weniger versierte Cyber-Kriminelle solche Angriffe ebenfalls durchführen können. Cyber-Kriminelle konzentrieren sich verstärkt auf Unternehmen, wohl wissend, dass das Überleben dieser Unternehmen von ihren geschäftskritischen Systemen abhängt. Sie erwarten daher bei Unternehmen eine höhere Bereitschaft für die Datenentschlüsselung zu bezahlen – und die Zahlung wesentlich höherer Beträge.

Wie können Unternehmen sich schützen?

Der obligatorische Basisschutz besteht aus einer geeigneten und immer aktuell gehaltenen Antiviren- und Sicherheitssoftware. Wie sich am Beispiel der Verwaltung von Lincolnshire zeigte, wird jedoch immer häufiger „ZeroDay-Schadsoftware“ eingesetzt. Antivirensoftware kann daher den Schutz vor dieser Bedrohung nicht immer gewährleisten. Die Schulung der Benutzer ist ebenfalls ein Schlüsselelement, da viele Trojaner den ersten Zugang zu den Systemen mithilfe von Links erhalten, die in (oft sehr offiziell erscheinenden) Phishing-Mails enthalten sind. Trotzdem können und werden Menschen Fehler machen. Daher sind noch weitere Schutzmaßnahmen erforderlich. Datensicherungen sind von essentieller Wichtigkeit. Viele Unternehmen haben jedoch keine funktionierende Backup-Lösung oder sie führen Sicherungen so selten durch, dass sie bei einer Infektion ihrer Systeme möglicherweise die Daten mehrerer Monate verlieren könnten. Auch der klassische synchrone Spiegelung für einen unterbrechungsfreien Betrieb der unternehmenskritischen Systeme und Rechenoperationen ist bei Ransomware nicht ausreichend, da ein Schutz nur gegen physikalische Fehler gegeben ist. Die überwiegende Anzahl von Störungen wie auch Ransomware liegt jedoch im logischen Bereich und daher ist der „Fehler“ auf beiden Seiten des Spiegels „synchron“ vorhanden.

Die Antwort: Risikominimierung

Manchmal muss man akzeptieren, dass Risiken nicht ganz vermieden werden können. Sie zu minimieren, ist aber auf jeden Fall möglich. Nehmen wir an, Sie wären das unglückliche Opfer eines Ransomware-Angriffs. Ihre letzte Datensicherung könnte von letzter Nacht, letzter Woche oder vielleicht vom letzten Monat stammen. Wie viele Daten könnten Sie verlieren? Wie hoch werden die Kosten für das Unternehmen sein? Wie wird die Öffentlichkeit es aufnehmen, dass Sie nicht in der Lage waren, diese Bedrohung abzuwehren? Wie lange wird es dauern, bis die Systeme wieder funktionsfähig sind? Und neben den wirtschaftlichen Anforderungen an ein Business Continuity/Disaster Recovery gibt es auch noch die Compliance und IT Governement Anforderungen basierend z.B. auf IT SIG (IT Sicherheitsgesetz) oder europäischen Regularien wie die Europäische Datenschutz-Grundverordnung (EU-DSGVO), EU-Richtlinie zur Cybersicherheit (NIS-Richtlinie), etc..

Die Lösung: Zerto

  • Dank Zerto Virtual Replication (ZVR) können Sie Ihre Systeme, bis auf wenige Sekunden genau, auf den letzten Stand vor der Infektion zurücksetzen.
  • Mit der Zerto-Lösung stellen Sie alle Ihre kritischen Systeme/Applikationen innerhalb weniger Minuten mit nur einigen Mausklicks wieder her.
  • Bei der ZVR Lösung werden losgelöst von der jeweils eingesetzten Applikation die Vorteile einer asynchronen Spiegelung - wie z.B. die Entfernungsunabhängigkeit - mit der Technik der kontinuierlichen Datensicherung verknüpft. Das Produktivsystem, d.h. die die datenverarbeitende Applikation wird durch die asynchrone Sicherung/Replikation nicht beeinträchtigt.
  • Die branchenweit erste Hypervisor-basierte 1:n-Replikation für den Schutz mehrerer Workloads über verschiedene Rechenzentren hinweg. Eine VM kann in mehreren virtuellen Schutzgruppen (Virtual Protection Groups, VPG) platziert werden, um die simultane Replikation der VM an dem gleichen Zielort oder an verschiedenen Zielorten zu ermöglichen, mit der Option, unterschiedliche Service Level Agreements (SLA) pro VPG festzulegen.
  • Jederzeit mögliche, unterbrechungsfreie Ausfalltests geben Ihnen die Gewissheit, dass Sie im Bedarfsfall Ihr Unternehmen ohne Verzögerung wieder online bringen können. Die DR-Tests sind inklusive Reporting und können z.B. auch für Audits genutzt werden.
  • Erstellen Sie zusätzlich zur kontinuierlichen Datensicherung, die bis zu 30 Tage abdeckt, für die längerfristige Datenaufbewahrung externe Sicherungen (Offsite Backup).

Storage-Insider Awards 2017: Jetzt für zerto abstimmen!

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44765288 / Advertorials)