Interview mit Palo Alto Networks und Rubrik
Impfung gegen Ransomware
Die diversen Spielarten von Ransomware sind die COVID-19-Varianten der digitalen Welt: Sie verbreiten sich schnell, und wer mit einem Befall zu kämpfen hat, kann ernsthaft Schaden nehmen. Was in der Medizin die Impfung, das ist in der IT der Einsatz aktueller Security- und Backup-Technologien: Sie können das Risiko einer Infektion letztlich nicht ausschließen, aber deren Auswirkungen erheblich mildern. Ein Gespräch dazu mit Sergej Epp, CSO Central Europe von Palo Alto Networks, Frank Schwaak, Field CTO EMEA bei Rubrik, und Roland Rosenau, SE Manager EMEA Central and West bei Rubrik.
LANline: Herr Epp, wie schnell geht eine Infektion mit Ransomware vonstatten?
Sergej Epp: Bei NotPetya waren innerhalb von sieben Minuten 60.000 Geräte „weg vom Fenster“.
LANline: NotPetya war aber kein typischer Ransomware-Angriff ...
Sergej Epp: Das ging damals so schnell, weil Sabotage das Ziel war. NotPetya hat schließlich nicht die Daten verschlüsselt, sondern den Master File Table korrumpiert.
LANline: Und wie sieht es bei einem „richtigen“ Ransomware-Angriff aus?
Frank Schwaak: Die Geschwindigkeit der Verschlüsselung von Ransomware ist dynamisch. Sie hängt stark von den Kapazitäten des Servers ab. Die wichtige Frage ist: Wann bemerkt man das?
Roland Rosenau: Ransomware geht heute sehr raffiniert vor, um nicht aufzufallen, und prüft erst einmal: Was sind die wichtigsten Applikationen? Diese liegen wahrscheinlich auf einem leistungsfähigen All-Flash Array. Ransomware kann sie deshalb schnell verschlüsseln, das fällt aber auch schnell auf. Deshalb kompromittiert neuere Ransomware gern erst einmal weniger kritische Dateien wie Word-Dokumente.
LANline: Wie sollte ein Unternehmen vorgehen, um solche Angriffe möglichst frühzeitig zu erkennen?
Sergej Epp: Die Eintrittspunkte sind häufig Phishing – etwa per Emotet-Botnet – oder von außen zugängliche Protokolle wie RDP (Remote Desktop Protocol, d.Red.), das manche bereits scherzhaft „Ransomware Delivery Protocol“ nennen. Deshalb benötigt man Security-Lösungen, die nachvollziehen können, was auf dem Gerät selbst passiert und welche Kommunikation erfolgt. Ein NIDS (Network-based Intrusion Detection System, d.Red.) erkennt dann Aspekte wie Versuche lateraler Bewegung oder die Kommunikation mit Command-and-Control-Servern. Wenn Angreifer ihre Kommunikation verschlüsseln oder in DNS-Kommunikation verstecken, muss man mit Machine Learning arbeiten, um dies zu identifizeren und zu erkennen, ob die Kommunikation von Menschen oder Maschinen initiiert ist. Wird eine neue Schwachstelle publiziert, scannen Angreifer schon nach 15 Minuten das Netz auf diese Lücke hin. Das ist der Maßstab für Unternehmen, der Zeitrahmen, den sie in solchen Fällen für ihre Inventarisierung haben. Dafür benötigt man Automatisierung.
LANline: Und wie sorgen Kriminelle dafür, dass sich die Ransomware unternehmensweit verbreitet?
Sergej Epp: Angreifer attackieren heute gerne das Active Directory, um sich dort ein „Golden Ticket“ holen, also Zugriff auf alle Systeme zu verschaffen. Dieses klassische Vorgehen sehen wir heute bei fast allen Gruppierungen. Sie hacken entweder das AD selbst, wenn es nicht gepatcht ist, oder nutzen den Umstand, dass Administratoren gerne lokale Backup-Passwörter für User Accounts erstellen. Mit so einem „Generalschlüssel“ können Angreifer dann die gesamte Umgebung infizieren, selbst ohne Zugriff auf das AD.
LANline: Wie viele Unternehmen erhalten denn heute schon verwertbare Alarme, bevor ein Beschäftiger beim Helpdesk wegen eines Ransomware-Befalls anruft?
Sergej Epp: Alarme erhalten heute wohl schon 100 Prozent der Unternehmen während eines Angriffs. Das Problem: Alarme gibt es immer und überall.
LANline: Ja, die berüchtigten Alarmfluten. Aber wie lassen sich schon früh verwertbare Alarme für die schnelle Reaktion generieren?
Sergej Epp: Hier geht es um die Transformation des gesamten SOC-Betriebs (Security Operations Center, d.Red.). Denn die meisten Unternehmen sind noch nicht so weit, einen laufenden Ransomware-Angriff automatisiert abwehren zu können. Sie sehen ihn vielleicht, können aber nicht schnell genug darauf reagieren.
LANline: In solchen Fällen warnen Security-Anbieter strikt vor Lösegeldverhandlungen. Dennoch scheinen sie aber üblich zu sein ...
Sergej Epp: Einerseits raten wir immer davon ab, mit Ransomware-Gruppen zu verhandeln, um es ihnen nicht zu leicht zu machen, andererseits gibt es da keinen Königsweg. Mitunter lässt sich auf diesem Weg das Lösegeld stark reduzieren, in einem Fall von geforderten 770 Millionen Dollar auf gezahlte 2,3 Millionen. Solche Verhandlungen gehen oft über Wochen, teils über Monate, das verschafft dem Unternehmen Zeit. Allerdings erhöhen die Angreifer dabei den Druck durch Veröffentlichen von Interna oder DDoS-Angriffe.
Roland Rosenau: Das Bezahlen ist zweischneidig. Ein Unternehmen kann sich durchaus strafbar machen, wenn es terroristische Vereinigungen unterstützt. Zunächst muss es prüfen, ob der weitere Betrieb ohne den Schlüssel der Erpresser möglich wäre. Die durchschnittliche Zeit, bis die Systeme nach einer Ransomware-Attacke wieder produktiv sind, liegt bei 7,3 Tagen. Das klingt nicht nach viel, aber man stelle sich vor, Amazon würde eine Woche lang keinen Umsatz machen. Die von Ransomware betroffenen Landratsämter in Ostdeutschland gehen von einem halben Jahr Recovery-Zeitraum aus. Sie müssen vieles händisch wiederherstellen, weil auch die Backups kompromittiert sind. Die 7,3 Tage sind realistisch, wenn man irgendwo ein Backup hat, zum Beispiel auf Tape. Das Problem: Man sichert nicht stündlich auf Tape, in der Regel sind das bestenfalls Monats-Backups.
- Impfung gegen Ransomware
- Echtzeitschutz vor Ransomware
Lesen Sie mehr zum Thema
