5 Tipps für den effektiven Schutz vor Ransomware

Kommentare zu folgendem Beitrag: 5 Tipps für den effektiven Schutz vor Ransomware

„Es gibt keinen vollständigen Schutz vor Ransomware“

Was ist mit der ersten Vorsorge, die mir in so einem Zusammenhang immer einfällt, und die auch in dieser Liste fehlt?

Ein ordentliches Backup.

Mit ordentlich meine ich hier: eine durchdachte Backup-Strategie nach dem Generationenprinzip, das die verschiedenen Sicherungsarten kombiniert, Versionierung einsetzt und die Zugriffsrechte verwendet, um Risiken zu minimieren.

Wer ganz sensible Daten hat, kann auch mit Echtzeitsynchronisierung arbeiten.

IMHO kann Ransomware in diesem Fall nur das OS und die Anwendungssoftware verschlüsseln, was maximal nervig sein kann, aber keinen unwiederbringlichen Schaden anrichtet.

So siehts nämlich aus - eine durchdachte Backup-Strategie, schützt zwar nicht vor einer Infektion mit Ransomware! Aber sie ist halt die finale Möglichkeit, um dabei Datenverlust zu begrenzen bzw. ganz auszuschließen.
Zu dieser Strategie gehört nicht nur das „wie“ der Sicherung, sondern auch das „wohin“ sichert man! Viele der Ransomware-Trojaner haben leider die blöde Angewohnheit, auch angeschlossene Geräte, wie z.B. ein NAS oder eine ext. HDD zu verschlüsseln (über Netzwerk sowie USB).

Richtig. Insofern stimmt der Satz, dass es keinen vollständigen Schutz vor Ransomware gibt. Aber im best case geht eben nichts verloren und man muss nichts zahlen.

Bezüglich des Verschlüsselns von Backup und Versionen: deshalb habe ich von „Zugriffsrechte verwendet“ geschrieben. Denn ich gehe davon aus, dass wenn jemand aus Bequemlichkeit alles mit root oder admin macht, man sich das Rechtekonzept im OS auch gleich sparen kann. Ich handhabe es aktuell so, dass der User keine Schreibrechte auf das Backup hat, das hat nur das Backup-Tool. Und auf die Versionen hat niemand Schreibrechte. Das ist ein read-only Bereich, den man zur Wiederherstellung der Daten verwenden kann.

BACKUPS, BACKUPS und nochmals BACKUPS

Am besten ist wohl tatsächlich, das stetige sichern von wichtigen Daten
in kurzfristigen Abständen u.a. je nach Wichtigkeit der Daten!
Glaube auch nicht, das man sich 100% vor Ransomware schützen kann, allein
durch den Umstand fahrlässiger Mitarbeiter, die es halt nicht besser
wissen oder wollen. Das sind ständige Risikofaktoren, halt der Mensch.
Habe selber mal einen Ransomattacke erlebt, wobei die gezielt erst
die Ordner modifizieren, die auch richtig wichtig sind!
Gerne hier: Dokumente, Eigene Dateien, also Excel-Tabellen, Word-Briefe,
aber auch EXE Dateien also die ausführen Dateien sind gerne mit dabei.
Der Encrypted Modus läuft übrigens rasend schnell ab!!!
In wenigen Minuten werden Gigabytes befallen und verschlüsselt.

Übrigens mein Tipp für ggf. für bereits eingetretende infizierungen!
AVAST Antivirus hat auf folgender Seite einige „Schlüssel“ von
Ransomsoftware veröffentlicht, die bereits bekannte Ransomware
neutralisiert, also die verschlüsselten Dateien wieder decrypted!

Gern geschehen, Joker Hier der AVAST Helfer,
der natürlich nicht alle Ransomware abdecken kann.

https://www.avast.com/de-de/ransomware-decryption-tools

Zahlen Sie das Lösegeld nicht!

Stimmt schon…das ist schon mit der beste Schutz, wenn man granulierte Zugriffsrechte verteilt. Leider gibt es mittlerweile einige der Trojaner, die mit „enum access tools“ ausgestattet sind und Berechtigungen übernehmen können. Gott sei Dank sind das allerdings nur die Ausnahmen, der derzeitig kursierenden Trojaner! Zusätzlich kann ich noch empfehlen, dass z.B. die Backup-Partition eines NAS erst im Moment des Backups gemountet wird und ansonsten unmounted bleibt! Ist zwar nur ein billiger Trick, aber wenigstens eine Hürde mehr für den Trojaner, die er erstmal umgehen muss…

Für Entschlüsselungs-Tools würde ich eher auf die Site von Europol und der niederländischen Polizei zurückgreifen → https://www.nomoreransom.org/de/decryption-tools.html

Hm… wie genau funktioniert das? Ich kenne Ransomware, die elevated enum access übernehmen kann. Und ich kenne Ransomware, die auf infizierten Systemen vor dem Verschlüsseln Zugriffsrechte sammelt. In beiden Fällen muss der Nutzer diese Recht aber selbst haben oder über das Rechtemanagement auf diese zugreifen.

D.h. wenn auf meinem Server ein Backupservice läuft, der mit Rechten ausgestattet ist, die ich nie nutze (Stichwort: technical user), und ich selbst nur in meinen User-Folder auf dem Server schreiben kann, ist Ransomware dann dennoch in der Lage, die Rechte bis in die Backups zu bekommen? Bei den read-only-Archiven gibt es keine Schreibrechte, deshalb gehe ich davon aus, dass hier nichts und niemand reinkommt.

Ehrlich gesagt habe ich beim Lesen der Hintergründe meist geseufzt. Wie war das nochmal bei einem der letzten großen Fälle? Ein Dienstleister hat einen Exploit in einem Webupdate-Server nicht bereinigt, woraufhin die Ransomware in ein Update integriert und an Kunden verteilt wurde. Ehrlich gesagt stellen sich mir da spontan mindestens drei bis vier grundlegende Fragen an die Professionalität des Prozesses.

Prozesse sind auch nur Befehlsketten, die Schwächen entdecken oder aufzeigen, die dann
zu redunanten und fehlerhaften Systemen führen. Schwachstellen sind allgegenwärtig.
Backups sind am besten mehrfach vorzunehmen, möglichst diese selbst im Enrypted Modus,
wobei mind. ein Backup unmounted sein muss. Schon ist die Gefahrenquelle geringer als vorher.
Selbst die „Mounted“ Festplatte wird nicht als das erste Ziel einer Attacke sein.
"Die gehen an das primäre , direkte Problem - die eigenen Dateien und suchen sich nicht
ein evtl. Backup aus, was irgendwo im Untergrund des Servers liegt.

Solarwinds war der Kandidat!

Das mit dem integrierten „enum access tool“ hatte ich letztes Jahr bei Bleepingcomputer (glaube ich) gelesen gehabt. Dieses wurde wohl bei einigen wenigen Trojanern bzw. deren Abwandlungen festgestellt. Sinngemäß haben die über die Registry sämtliche Zugriffsrechte sowie verknüpfte GPOs ausgelesen und anschließend der Reihe nach immitiert, in einem eigenen virt. Bereich. Bei einem Matching von x Prozent wurde die Infizierung fortgesetzt, ansonsten hat sich das Teil schlafen gelegt. Das ist allerdings nicht der Standard bei den gängigen Ransom-Trojanern. Das waren einige wenige Abwandlungen, die von den betreffenden Groups damals für Business-Angriffe entwickelt wurden. Danach denke ich nicht, dass einem solch ein Trojaner absichtlich im Internet begegnet - möglich ist es bestimmt schon, da ja gerne zu Testzwecken der Dreck im Netz verteilt wurde vor dem eigentlichen Einsatz!

Exakt. Und dann ist der Prozess schlecht. Die Technikfolgenforschung (Teilbereich der Soziologie) hat schon vor einem halben Jahrhundert erkannt, dass Du die Wahrscheinlichkeit eines Ausfalls erhöhst und nicht verringerst, wenn Du statt eines Redesigns Patching betreibst. „Keep it simple and stupid“ (KISS) wird dieser Vorgang genannt, bei dem Du einen leanen Prozess aufsetzt. Und nicht einen solchen, der „zur Sicherheit“ noch für jeden Prozessschritt zwei redundante Sicherungssysteme ergänzt. Das sind im Ernstfall alles Einfallstore.

Im Fall von Solarwinds (danke @VIP ) dachte ich an die Aufgaben eines CSO, der jede technische Anbindung über ein Netzwerk auf Mindeststandards überprüfen sollte. Solarwinds war der Exploit bekannt, da liefert man doch so lange keine Updates aus, bis der Hotfix appliziert ist. Oder Du arbeitest mit asymmetrischer Verschlüsselung der Updates, MD5-Hashes etc.

Ich will damit sagen, dass die meisten Fälle von Ransomware-Worst-Case meist auf fragwürdige Entscheidungen zurückzuführen sind. Garmin hatte nach einem von mir gelesenen Artikel kein aktuelles Backup seiner Systeme. Und damit meine ich nicht von heute oder gestern, sondern aus den letzten vier Wochen. Da frage ich mich dann immer, was für ein Risikoassessment hier zugrunde liegt. Kosten für ein Backup verglichen mit den Kosten für eine Ransomwareattacke, multipliziert mit der Wahrscheinlichkeit?

@VIP ja, das ist auch die Vorgehensweise, die mir bekannt ist. Hier helfen getrennte Systeme und das von @Joker vorgeschlagene „unmounted Backup“. In einem meiner letzten Verantwortungsbereiche waren das ein zentrales, lokales Backup mit bidirektionalem Zugriff, ein Bandbackup an einem anderen Standort mit unidirektionalem Zugriff und ein „unmounted Backup“, das monatlich in einem Safe remote abgelegt wurde.

Look at this →

Viel mehr kannst du ja auch gar nicht tun…Vielleicht wirst du lachen, aber ich kenne diese und ähnliche Strategien auch! Mehr möchte ich dazu hier nicht sagen…außer noch:
Habe in dem Bereich, sehr viele Jahre mit Veeam zusammengearbeitet, zuvor mit Acronis, was ich aber niemandem empfehlen kann! Das alles auf mehrfach redundanten ESXI-Cluster, für den Fall der Fälle…

Bei dem Punkt, dass in den allermeisten Fällen, erfolgreiche Ransomware-Attacken ein hausgemachtes Problem sind, kann ich nur 100% zustimmen. Dabei ist es fast schon egal, ob in den betreffenden Firmen die „Geiz ist geil - Mentalität“ vorherrschte, oder die IT (besonders die IT-Sicherheit) nur ein lästiges Anhängsel in der Firmenpolitik darstellte. Bis es dann zum ersten Mal richtig scheppert, nichts mehr geht und das Geheule kaum noch zu ertragen ist. Dann rettet man diesen Heulbojen wirklich noch den Hintern und anstatt eines „Danke“ wird direkt weitergeweint über entstandene Kosten!! Die vielen Wellen der Ransomware hatten aber glasklar einen großen Vorteil für IT’ler, Systemhäuser etc. pp. Deren Arbeit wurde plötzlich viel mehr wertgeschätzt, als noch Jahre zuvor. Es fand in großen Teilen, ein Umdenken bezüglich der Wichtigkeit einer funktionierenden IT statt. Das fällt besonders gut im Bereich des öffentlichen Dienstes, der öffentlichen Verwaltung usw. auf. Aber, wie du schon sagtest, gibt es immer noch genügend Ausnahmen von dieser Regel, bei denen einem einfach nur noch die Worte fehlen! Ich hatte vor diesem Eklat bei Solarwinds, recht viel mit deren Netzmanagement-Dashboard und den vielen Tools dazu, zu tun. Es hat mich schon etwas geschockt, als so langsam das ganze Ausmaß zu Tage kam! Obwohl dieses Desaster schon lange vorher abzusehen war…wollte halt nur keiner wahrhaben!

Backups: Im Prinzip richtig, nur sind offline Backups meistens von letzter Nacht. Jene der Client PCs sind meist noch älter (falls vorhanden). Wenn „nur“ ein halber Arbeitstag einer Firma kaputt geht kostete sie das oft mehr als für das Entschlüsseln zu bezahlen - was direkt die nächste Ransomware Welle finanzierte.
Ein anderer Punkt, welcher in der Praxis Probleme aufwirft, ist es festzustellen, was alles betroffen ist. Man kann zwar gegen die Backups auf Veränderungen checken aber schon bei einzelnen PCs stößt das an seine Grenzen. In den meisten Firmenumgebungen werden tausende Dateien wöchentlich verändert und nicht jede Ransomware benennt die Dateien um oder verschlüsselt alles komplett.

Enum Access: Als Stichworte dazu Kerberos Angriffe & golden Tickets, Metasploit & ähnliche Frameworks.
Wo man unterscheiden sollte ist, ob jemand gezielt angreift oder es „nur“ eine Wurm / Bot Attacke ist. Zwar gibt es Malware, welche selbst Angriffstechniken ausführt, wobei diese verhältnismäßig leicht erkennbar sind durch Virenschutz und IDS/IPS. Ein größeres Problem sind Botnetze, welche regelmäßig ihre Techniken aufgefrischt bekommen, wobei diese häufig über den Zugriff auf die CC Server detektierbar sind.
Die schlimmsten aber auch seltensten Fälle sind gezielte manuelle Angriffe, bei denen Malware oder social Engineering nur für den initialen Zugang verwendet wurde - wofür eingeschränkte Userrechte ausreichen. In den Analysen, welche ich die letzten Jahre las wurden dann, teils über einen langen Zeitraum, sämtliche Wege ausprobiert, bis man erhöhte Rechte erhielt. 0days, Attacke bekannter Hardware Schwachstellen (zb Drucker oder Accesspoints) und Angriffe auf veraltete Software oder Betriebssysteme.
In der Praxis setzt besonders die Industrie häufig Geräte mit altem OS ein. Viele Hersteller lassen keine OS Upgrades zu, ohne eine neue Anlage zu kaufen (zb CNC Maschinen).
In manchen Branchen würde jedes größere Upgrade eine komplette re-evaluierung des Produktionsprozesses nach sich ziehen (zb Pharma Branche durch die FDA).
Zwar könnte man diese abschotten, was aber häufig nur bedingt gemacht wird, weil es die Produktion zeitweise einschränken würde und die Automation oft behindert.

• Zumindest bis zur ersten größeren Infektion.