#74 Ransomware: Vorbereiten und keine Panik
Subscribe to get the latest
on Wed Jan 26 2022 16:00:00 GMT-0800 (Pacific Standard Time)
with Darren W Pulsipher, Stephanie Sabatini,
Darren Pulsipher, Chief Solution Architect bei Intel, spricht mit Stephanie Sabatini, Sr. Director Professional Services bei Hitachi Systems Security, über die Verhinderung und Vorbereitung von Ransomware-Angriffen sowie darüber, was zu tun ist, wenn Ihre Organisation angegriffen wird.
Keywords
Obwohl eine Ransomware-Attacke für die meisten Organisationen mit einer Art Lösegeldforderung beginnt, brodelt die gesamte Geschichte in der Regel bereits seit vielen Monaten.
Die Lösegeldforderung erfolgt, nachdem die Angreifer Informationen aus kompromittierten Systemen verschlüsselt und alles gesperrt haben, was sie konnten, oder sie haben sensible Informationen gestohlen und drohen nun, diese öffentlich zu veröffentlichen. In beiden Fällen fordern sie eine Geldsumme, um die Veröffentlichung zu stoppen oder die Informationen wiederherzustellen.
Die Höhe des Geldes kann angezielt werden, weil die Angreifer wissen, wie viel das Unternehmen sich leisten kann, und sie werden nach einer massiven Summe fragen. Weniger gezielte Angriffe werden nach einer zufälligen Summe fragen und hoffen, dass sie erfolgreich sind. Doch immer mehr werden die Angriffe raffinierter, und die Angreifer haben ihre Hausaufgaben gemacht. Sie haben bedeutende Fortschritte erzielt, indem sie sich seitlich in der Umgebung bewegt und mehrere Domains kompromittiert haben. Sie wissen, dass es die Organisation eine enorme Summe kosten wird, ihre Dienste wiederherzustellen, also können sie mehr verlangen.
Aber bevor die Angreifer das Lösegeld fordern, sind sie eine gewisse Zeit lang im System aktiv gewesen, im Durchschnitt knapp unter 300 Tage, bis sie ihren Plan vollständig umsetzen. Sie versuchen, so weit wie möglich im Netzwerk voranzukommen, um den größtmöglichen Schaden anzurichten. Zum Beispiel werden sie den Backup-Executive löschen, um die Organisation lahmzulegen und beschädigte, unbrauchbare Backup-Daten zu hinterlassen. Außerdem werden sie Zeit investieren, um Zugangsdaten zu Kontoerhöhungen zu kompromittieren, um sich später im Netzwerk seitlich zu bewegen und eventuelle Schwachstellen aufzudecken.
Jeder Angriff ist unterschiedlich, daher ist es schwierig, die häufigste Schwachstelle zu benennen. Die Angreifer finden jede mögliche Schwachstelle, sei es in der Schwachstellenverwaltung oder sogar bei den Menschen selbst, zum Beispiel durch Phishing-Angriffe oder Social Engineering-Taktiken. Sie werden Telefonanrufe tätigen und sich als Führungskräfte ausgeben oder Namen von Führungskräften verwenden, um Informationen und Daten von Mitarbeitern online zu erhalten.
Viele in der Branche werden sagen, es geht nicht darum, ob, sondern wann du angegriffen wirst. Stephanie jedoch glaubt nicht, dass dies der Fall ist, denn mit Sorgfalt, angemessener Absicherung und dem Ergreifen der notwendigen Maßnahmen wirst du nicht ins Visier genommen.
Due Diligence ist das, worüber Sicherheitsexperten seit Jahrzehnten predigen: Schwachstellenmanagement und Patch-Management durchführen, Passwörter ändern und Berechtigungen so weit wie möglich einschränken. Schulen Sie Ihre Mitarbeiter. Administratoren sollten zum Beispiel nicht mit administrativen Konten im Internet unterwegs sein und in Foren posten. Es geht darum zu verstehen, welche Angriffsflächen existieren und sie zu verwalten.
Was solltest du tun, wenn du Opfer eines Ransomware-Angriffs wirst? Stephanie sagt, dass das, was die Leute tun sollten und was sie tatsächlich tun, zwei verschiedene Dinge sind. Die erste reflexartige Reaktion der IT-Teams ist oft, das System neu zu starten, zu patchen oder die Umgebung signifikant zu verändern. Dadurch werden die Angreifer jedoch nur darauf aufmerksam gemacht, dass ihre Zeit abgelaufen ist. Für die forensische Untersuchung ist es äußerst wichtig, diese Umgebungen zu schonen. Gib so wenige Tastatureingaben wie möglich ein und starte auf keinen Fall neu.
Einige Unternehmen werden in Panik geraten und sich selbst einem Denial-of-Service unterziehen, indem sie in den vollständigen Sperrmodus gehen und alles herunterfahren. Anstatt in Panik zu geraten, sollten sie sich auf ihre Vorfallreaktionsrichtlinien verlassen und erkennen, dass das Problem gelöst werden kann, auch wenn es unangenehm ist.
Offensichtlich sollte jedes Unternehmen über solche Vorfallsreaktionsrichtlinien verfügen, die schnell umgesetzt werden können, um die interne und externe Kommunikation zu verwalten und den Geschäftsbetrieb nach Möglichkeit aufrechtzuerhalten. Sicherheitsexperten können bei der Erstellung dieser Reaktionspläne helfen und während eines Angriffs Unterstützung leisten.
Ihr erster Schritt zur Erhaltung der Informationen besteht darin, einige der fragwürdigen Aktivitäten im Netzwerk zu beobachten. Die Ransomware-Angriffe beginnen nicht damit, Informationen zu verschlüsseln oder zu stehlen; es gibt viele Angriffe davor. Es ist wichtig, herauszufinden, woher sie kommen, woher sie stammen und wohin sie gehen. Dafür benötigen Sicherheitsexperten Beweise und Informationen, die ordnungsgemäß gesichert werden müssen. Ein guter Anfang ist es, die richtigen Leute am richtigen Ort zu haben, um das Geschehen zu kontrollieren.
Als Nächstes geht es darum, die Umgebung ordnungsgemäß zu verwalten. Leider ist die Organisation, sobald es zu Ransomware oder irgendeiner Art von Verstoß oder Vorfall kommt, äußerst verwundbar. Hundert Prozent der Zeit, wenn Umgebungen erfolgreiche Ransomware-Angriffe erleiden, ob öffentlich bekannt gemacht oder nicht, werden sie entweder von derselben Gruppe oder einer anderen Gruppe ins Visier genommen. Es ist wie ein verwundetes Tier mit den Geiern, die kreisen. Die Angreifer wissen, dass du verletzt und angreifbar bist. Es steht ein weiterer Angriff bevor.
Meistens, wenn Sicherheitsexperten ihre Untersuchungen durchführen, finden sie andere Anzeichen für Angriffe und Kompromittierungen an verschiedenen Teilen des Netzwerks. Sie müssen feststellen, ob es Teil des gleichen Angriffs oder eines unterschiedlichen Angriffs ist. Diese Untersuchung ist ein wichtiger Teil der Wiederherstellung nach Malware, denn selbst wenn man denkt, dass man einen Angriff bereinigt hat und das Geschäft nun wieder ordnungsgemäß läuft, besteht immer noch das Potenzial für diese anderen Angriffe.
Eine typische Attacke kostet durchschnittlich vier Millionen und fünfhunderttausend Dollar, um das Chaos zu beseitigen, und das beinhaltet nicht das Lösegeld. Die Summe kann jedoch wesentlich höher sein und ist proportional zur Größe der Organisation.
Es ist unmöglich zu sagen, wie viele Organisationen das Lösegeld zahlen. Viele der Lösegelder werden mit Drohungen verbunden, keine Behörden zu kontaktieren oder den Angriff zu enthüllen. Deshalb variieren die verfügbaren Statistiken darüber, wie viele Organisationen tatsächlich zahlen.
Einige Entscheidungsträger von Organisationen reagieren darauf, indem sie erklären, dass sie unter keinen Umständen zahlen werden, selbst wenn es mehr kostet, wieder aufzubauen, und dadurch die Verhandlungsfähigkeit zerstören. Dies ist eine emotionale Entscheidung, die das Urteilsvermögen trüben kann. Letztendlich, wenn das Ziel darin besteht, weiterhin Geschäfte zu machen und Geld zu verdienen, ist es günstiger, ein niedriges Lösegeld von vielleicht zehn- oder zwanzigtausend Dollar zu zahlen, als für forensische Untersuchungen und den Rest des Prozesses zu bezahlen. Auf der anderen Seite gibt es dokumentierte Fälle, in denen das Lösegeld gezahlt wurde, aber die Daten nicht vollständig wiederhergestellt wurden. Außerdem hat die Organisation keine Sicherheit hinsichtlich der Sicherheit ihrer Umgebung. Es gibt keine Garantie dafür, dass Kriminelle nach Bezahlung des Lösegeldes ihren Teil des Deals einhalten.
Viele Regierungen auf der ganzen Welt haben es illegal gemacht, Lösegelder zu zahlen, da die Angreifer als Terroristen angesehen werden und es verboten ist, mit Terroristen zu verhandeln. Eine weitere Komplikation besteht darin, dass die Angreifer manchmal nicht mit professionellen Verhandlern verhandeln wollen. Oft benennen sie eine Person in der Organisation als einzige Person, mit der sie verhandeln werden, in der Hoffnung, dass diese Person emotionale Entscheidungen trifft.
Die Bedrohungen werden auf verschiedene Weise kommuniziert: per E-Mail, Telefon und sogar als Hintergrundbild auf dem Desktop.
Die beste Strategie, um einen Angriff zu vermeiden oder abzuschwächen, besteht darin, nicht zu warten, bis Ihre Organisation in dieser Situation ist. Engagieren Sie sich stattdessen in einer ordnungsgemäßen Sorgfaltspflicht. Führen Sie mindestens einmal im Jahr Bewertungen durch, um Sicherheitslücken aufzudecken. Die Bedrohungen und Angriffe ändern sich ständig und werden immer raffinierter, daher muss die Sicherheit Ihrer Organisation mithalten. Überwachen und aktualisieren Sie kontinuierlich. Führen Sie Schwachstellenmanagement durch, ändern Sie regelmäßig Passwörter und erinnern und schulen Sie Benutzer bezüglich der Bedrohungen. Dies sind keine neuen Strategien. Sicherheitsexperten empfehlen diese Schritte seit Jahrzehnten, jedoch setzen Organisationen sie nicht richtig um und entwickeln sich nicht weiter.
Es ist auch klug, die Experten einzubeziehen, um den Prozess der Incident-Response-Pläne und -Übungen zu leiten. Jeder in der Organisation sollte wissen, was zu tun ist und wen er im Falle eines Angriffsszenarios kontaktieren sollte, um weiteren Schaden zu vermeiden.
Wenn Ihre Organisation angegriffen wird, hoffentlich wird der Schaden minimal sein oder zumindest begrenzt und beherrschbar, falls Vorbereitungen getroffen wurden. Egal wie viel Zeit, Energie und Geld ein Unternehmen in präventive Maßnahmen investiert, es ist nur ein kleiner Bruchteil der Kosten eines Angriffs.