Ein umfassender Angriff auf ein Unternehmensnetz richtet in der Regel Chaos an. Der normale Betrieb kommt größtenteils zum Erliegen, und die gesamte Organisation schaltet in den "Notfallmodus". Sich davon zu erholen, kann eine Herausforderung sein, die Wochen oder Monate dauern kann. Hier sind einige praktische Überlegungen.
Ransomware-Angriffe sind nach wie vor auf dem Vormarsch, und sie werden möglicherweise nie verschwinden. Behörden wie auch Unternehmen müssen davon ausgehen, dass sie früher oder später mit einem Ransomware- oder Malware-Angriff konfrontiert werden. Vorbereitung ist hier immer der Schlüssel. Wir haben versucht, die verschiedenen Schritte und Maßnahmen für Unternehmen oder Organisationen, die Opfer eines Ransomware-Angriffs geworden sind, zusammenzufassen. Vorbereitung ist bei einem Ransomware-Angriff sehr wichtig. Das Hauptziel ist es, sicherzustellen, dass Unternehmen vorbereitet sind und nicht improvisieren müssen, wenn die Katastrophe eintritt, was zu zusätzlichen Fehlern führen würde, die den Verlust von noch mehr Daten zur Folge haben könnten. Während Ihre Vorbereitungen im Gange sind (d. h. Ihre Notfall- und Krisenpläne sind vorhanden und wurden in einer Übung getestet), müssen Sie sicherstellen, dass dazu auch ein Verfahren gehört, um alles auf dem neuesten Stand zu halten. Die folgenden Schritte sind die Mindestmaßnahmen, die Sie im Falle eines Cyberangriffs befolgen sollten. Seien Sie sich jedoch darüber im Klaren, dass die Wiederherstellung nach einem Cyberangriff nicht immer innerhalb weniger Stunden erfolgt, sondern eher Wochen oder Monate dauern kann.
1. Schadensbericht
- Eine der ersten Maßnahmen, die als Reaktion auf einen Ransomware-Angriff zu ergreifen sind, besteht darin, das Ausmaß des Angriffs einzuschätzen, indem die verschlüsselten und potenziell exfiltrierten Daten ermittelt werden. Diese Informationen sind entscheidend für die Entwicklung eines wirksamen Reaktionsplans. Die Kenntnis des Ausmaßes des Angriffs ist wichtig, weil Sie dadurch die internen und externen Auswirkungen des Angriffs verstehen und einen Plan zu deren Bewältigung formulieren können. Um das Ausmaß des Angriffs zu bestimmen, versuchen Sie zu ermitteln, welche Daten auf den verschlüsselten Rechnern gespeichert oder verarbeitet wurden, und suchen Sie nach Daten, die möglicherweise nach außen geleitet worden sind.
2. Isolieren
Um die weitere Verbreitung von Ransomware zu verhindern, ist es wichtig, infizierte Geräte so weit wie möglich zu isolieren. Das bedeutet, dass Sie die Geräte aus dem Netzwerk entfernen und notfalls alle Netzwerkkabel oder -verbindungen, einschließlich Wi-Fi-Netzwerke, trennen sollten. Wenn Ihr Netzwerk segmentiert ist, sollten Sie auch erwägen, das potenziell infizierte Netzwerksegment zu trennen. Auch wenn es verlockend sein mag, infizierte Systeme abzuschalten, sollten Sie dies unbedingt vermeiden, da möglicherweise noch aktive Malware vorhanden ist, die zusätzlichen Schaden anrichten könnte. Versuchen Sie stattdessen, die Systeme weiterlaufen zu lassen, damit Sie ein Incident-Response-Team einschalten können, das eine gründliche Untersuchung durchführt. Es ist auch eine gute Idee, schnell zu handeln, um die Auswirkungen des Angriffs zu begrenzen, da die Angreifer möglicherweise bereits gut in Ihrer Umgebung etabliert sind, wenn die Ransomware zum Einsatz kommt. Wenn Ihre Infrastruktur potenziell betroffene virtuelle Maschinen enthält, sollten Sie von diesen Snapshots erstellen und sie an einem sicheren Ort aufbewahren.
3. Identifikation
Um festzustellen, welche Geräte mit Ransomware infiziert wurden, sollten Sie nach kürzlich verschlüsselten Dateien mit ungewöhnlichen Dateierweiterungen und Berichten über Schwierigkeiten beim Öffnen von Dateien suchen. Es ist auch eine gute Idee, Geräte, die nicht vollständig verschlüsselt wurden, zu isolieren und zu deaktivieren, um eine weitere Verbreitung der Ransomware zu verhindern. Erstellen Sie eine umfassende Liste aller betroffenen Systeme, einschließlich NAS-Geräte, Cloud-Speicher, externe Festplatten, Smartphones und Laptops, und erwägen Sie, freigegebene Ordner zu sperren, um laufende Verschlüsselungsprozesse zu stoppen und zu verhindern, dass andere Freigaben infiziert werden. Bevor Sie Geräte isolieren und deaktivieren, überprüfen Sie die verschlüsselten Freigaben, um zusätzliche Informationen über den Angriff zu sammeln. Wenn ein Gerät beispielsweise eine höhere Anzahl geöffneter Dateien als normal aufweist, könnte es das erste infizierte Gerät in der Kette sein. Sie können auch nach Warnungen von Ihrem Anti-Malware-System oder Ihrer Überwachungsplattform suchen und überprüfen, was die Benutzer mit E-Mails und Anhängen machen. Die Untersuchung der Dateieigenschaften kann ebenfalls Hinweise liefern, z. B. auf die Person, die als Eigentümer der Datei aufgeführt ist. Denken Sie daran, dass die meiste Ransomware über bösartige E-Mail-Links und -Anhänge in Netzwerke eindringt, daher ist es wichtig, bei der Interaktion mit solchen Inhalten vorsichtig zu sein.
4. Unterstützung von Extern
Es ist eine gute Idee zu prüfen, ob Ihr Versicherungsvertrag einen Schutz für die Reaktion auf einen Vorfall beinhaltet, bei dem der Versicherer ein Team entsenden kann, um den Vorfall zu beheben. Ist dies nicht der Fall, müssen Sie möglicherweise selbst ein professionelles Incident-Response-Team beauftragen, das Sie bei der Bewertung des Angriffsvektors und des Angriffspunkts unterstützt und geeignete Gegenmaßnahmen ergreift. Diese Art von Hilfe wird oft von Ihrem Anti-Malware-Anbieter oder spezialisierten Dienstleistern oder Wiederverkäufern angeboten. Möglicherweise verfügen Sie aber auch über internes Fachwissen, das für die Reaktion auf den Angriff genutzt werden kann. Unabhängig davon, welchen Ansatz Sie wählen, ist es wichtig, dass Sie über die notwendigen Ressourcen verfügen, um den Angriff effektiv zu bewerten und zu entschärfen. Wenn Sie sich mit einem Anbieter von Notfallmaßnahmen in Verbindung setzen, sollten Sie so viele Informationen wie möglich bereithalten. Von größter Bedeutung sind die Art des Vorfalls, die Anzahl der betroffenen Systeme, die ergriffenen Maßnahmen sowie die Indikatoren und der Zeitpunkt, zu dem der Angriff bemerkt wurde.
5. Kommunikation
Es ist wichtig, sensible Informationen über den Ransomware-Angriff über einen separaten, sicheren Kanal zu übermitteln, um sich vor einer möglichen Gefährdung zu schützen. Wenn Ihre E-Mail-Systeme noch funktionieren, sollten Sie davon ausgehen, dass sie ebenfalls kompromittiert sind und der Angreifer Zugriff darauf hat. Daher ist es wichtig, die Kommunikation in Ihrem Netzwerk zu minimieren und alternative Methoden für die interne und externe Kommunikation zu verwenden. Ziehen Sie in Erwägung, einen sicheren Kommunikationskanal wie Signal oder WhatsApp einzurichten oder ein temporäres externes Konferenzsystem zu verwenden und separate Gruppen für die Kommunikation zu bilden. Effektive Koordination und Kommunikation sind der Schlüssel zu einer wirksamen Reaktion auf einen Ransomware-Angriff, daher ist es wichtig, einen Kommunikationsplan aufzustellen und diesen genau zu befolgen.
Eine wirksame Kommunikation mit der Öffentlichkeit ist nach einem Ransomware-Angriff von entscheidender Bedeutung. Es ist wichtig, frühzeitig und häufig mit internen Mitarbeitern, Lieferanten, Dienstleistern und Kunden zu kommunizieren, um sie über die Situation auf dem Laufenden zu halten. Den Angriff zu verheimlichen ist generell keine gute Idee, da dies dem Ruf Ihrer Marke schaden kann. Informieren Sie Ihre Mitarbeiter, Stakeholder, Kunden und die Presse transparent über den Angriff und erwägen Sie die Einrichtung einer alternativen Kommunikationswebseite, um Updates und Informationen bereitzustellen. Es ist wichtig, offen und ehrlich mit Ihrem Publikum umzugehen, um das Vertrauen aufrechtzuerhalten und die negativen Auswirkungen des Angriffs zu minimieren. Geben Sie so viele Informationen wie möglich weiter, ohne Details preiszugeben, die den Reaktionsprozess auf den Vorfall gefährden könnten. Legen Sie zentrale Anlaufstellen fest und stellen Sie sicher, dass alle Informationen nur über diese Kontaktpersonen verbreitet werden.
6. Management
Am besten ist es auch, ein Krisenmanagementteam einzusetzen, das bei der Lösung von Konflikten und der Priorisierung der Wiederherstellung der Geschäftsabläufe hilft. Dieses Team sollte für die Koordinierung der gesamten internen und externen Kommunikation zuständig sein und sicherstellen, dass während der Krise eine einheitliche Botschaft vermittelt wird. Das Krisenmanagementteam sollte sich auch mit allen rechtlichen Fragen befassen, die sich ergeben könnten, und mit Fachleuten zusammenarbeiten, um eine Kommunikationsstrategie zu entwickeln. Die Hauptaufgabe des Krisenmanagementteams besteht darin, die Bemühungen zu koordinieren und sicherzustellen, dass die Reaktion auf den Angriff effektiv und effizient ist.
7. Rechtliches
Neben den technischen Aspekten des Cyberangriffs ist es wichtig, alle rechtlichen Verpflichtungen zu berücksichtigen, die Sie möglicherweise haben, um Behörden über mutmaßliche Datenschutzverletzungen zu informieren. Je nach den Vorschriften in Ihrer Region sind Sie möglicherweise verpflichtet, eine Datenschutzverletzung innerhalb eines bestimmten Zeitraums zu melden, um Geldbußen oder andere Strafen zu vermeiden. Wenn Sie beispielsweise gemäß der Allgemeinen Datenschutzverordnung (GDPR) die Behörden nicht innerhalb von 72 Stunden über eine Datenschutzverletzung informieren, die Daten von EU-Bürgern betrifft, kann Ihr Unternehmen mit erheblichen Geldstrafen belegt werden. Es ist auch eine gute Idee, eine Meldung bei der zuständigen Bundes- oder lokalen Strafverfolgungsbehörde zu machen beziehungsweise Anzeige zu erstatten, um sicherzustellen, dass der Angriff ordnungsgemäß untersucht wird.
8. Wiederherstellung und Bootstrapping
Sobald Sie das Ausmaß des Cyberangriffs festgestellt und Maßnahmen zur Isolierung und Sicherung der betroffenen Geräte ergriffen haben, ist es an der Zeit, such mit der Wiederherstellung Ihrer Systeme zu befassen. Eine der schnellsten und einfachsten Möglichkeiten, dies zu tun, ist die Verwendung eines aktuellen, nicht infizierten Backups zur Wiederherstellung Ihrer Systeme. So können Sie Ihre Systeme so schnell wie möglich wieder in einen funktionsfähigen Zustand versetzen. Es ist wichtig, ein zuverlässiges und aktuelles Backup-System für den Fall eines Ransomware-Angriffs oder eines anderen Datenverlusts zu haben. Der einzige mögliche Haken: Je nachdem, wie lange der Angreifer bereits Zugang zu Ihrer Netzwerkinfrastruktur hatte, besteht die Möglichkeit, dass einige Backups bereits kompromittiert sind. Wenden Sie sich an Ihr Incident Response Team, bevor Sie versuchen, einen Rechner wiederherzustellen.
Wenn Sie kein brauchbares Backup haben, gibt es immer noch eine Chance, Ihre Daten zurückzubekommen. Mehrere kostenlose Entschlüsselungsschlüssel finden Sie auf No More Ransom. ( www.nomoreransom.org/en/index.html ) Bitte beachten Sie, dass es selbst mit einem Entschlüsselungsschlüssel Wochen dauern kann, bis die Dateien wiederhergestellt sind. Der Grund dafür, dass dies so lange dauert, ist, dass die Entschlüsselungstools nicht auf Geschwindigkeit optimiert sind, selbst wenn sie von der Ransomware-Gruppe zur Verfügung gestellt wurden. Das ergibt Sinn, denn das Hauptaugenmerk der kriminellen Gruppen liegt darauf, schnell und effizient zu verschlüsseln, um so früh wie möglich Lösegeld fordern zu können. Die Leistung ihrer Entschlüsselungstools ist nicht das entscheidende Kriterium.
Um Ihren IT-Betrieb nach einem Ransomware-Angriff wiederherzustellen, ist es wichtig, sich zunächst auf die Benutzer zu konzentrieren, die für den Wiederherstellungsprozess notwendig sind. Lassen Sie nicht sofort alle Benutzer auf das Internet zugreifen, da dies Ihre Systeme möglicherweise weiteren Bedrohungen aussetzen könnte. Nehmen Sie stattdessen Patches und Updates für alle bekannten anfälligen Systeme vor, die von dem Angriff betroffen waren, und erwägen Sie die Einführung einer Multi-Faktor-Authentifizierung (meine persönliche Lieblingstechnik zur Vermeidung von Datenverlusten), falls diese noch nicht vorhanden ist. Konzentrieren Sie sich zunächst auf privilegierte Konten und Dienste, wie z. B. Verwaltungskonten und Verwaltungsdienste. Verwenden Sie eine Endpunkt-Sicherheitslösung, um sicherzustellen, dass alle infizierten Systeme und Geräte frei von Ransomware sind, da ruhende Malware weiterhin Ihr Netzwerk und Ihre Systeme sperren und Ihre Backups beschädigen kann. Implementieren Sie Sicherheitsüberwachungsdienste, um einen besseren Überblick über die Aktivitäten in Ihrem Netzwerk zu erhalten. So können Sie potenzielle Bedrohungen erkennen und geeignete Maßnahmen zum Schutz Ihrer Systeme ergreifen.
9. Nach dem Angriff ist vor dem Angriff
Seien Sie sich darüber im Klaren, dass ein neuer Angriff immer möglich ist. Nehmen Sie sich die Zeit, den Angriff zu analysieren und zu dokumentieren, um auf den nächsten Angriff vorbereitet zu sein. Es gibt auch eine gemeinsame Empfehlung, die das Ergebnis einer gemeinsamen Forschungsarbeit der Cybersicherheitsbehörden von fünf Nationen ist: Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den Vereinigten Staaten. Darin werden technische Ansätze zur Aufdeckung bösartiger Aktivitäten hervorgehoben und Maßnahmen zur Schadensbegrenzung nach bewährten Verfahren genannt.
Schlussbemerkung
Eine Sache ist sehr wichtig und wir haben bereits vor einiger Zeit einen ausführlichen Bericht darüber geschrieben: Wir raten dringend von der Zahlung von Lösegeld ab! Denken Sie daran, dass die Angreifer höchstwahrscheinlich an finanziellem Gewinn interessiert sind und daher mit allen Mitteln versuchen werden, mehr Geld von Ihnen zu erpressen. Seien Sie vorsichtig im Umgang mit den Angreifern. Die Beauftragung eines professionellen Unterhändlers ist kein Allheilmittel. Es hat viele Fälle gegeben, in denen sich die Lösegeldsummen verdoppelt haben, nachdem ein Unterhändler beauftragt wurde. Es gibt auch keine Garantie dafür, dass Sie die Entschlüsselungsschlüssel von den Cyberkriminellen erhalten werden.
Eddy Willems
Security Evangelist