Ransomware: Was tun, bei verschlüsselten Unternehmensdaten?

So minimieren Sie den Schaden eines Ransomware-Angriffs auf Ihr Unternehmen.

Sie haben bereits unsere Tausendundeinen Blogbeitrag darüber gelesen, wie Sie Ihr Netzwerk vor sämtlichen Bedrohungen auf der Welt schützen können. Es kann aber durchaus passieren, dass Ihre IT-Systeme trotz aller Sicherheitsmaßnahmen infiziert werden. Wenn es so weit gekommen ist, ist es wichtig einen kühlen Kopf zu bewahren sowie entschlossen und schnell zu handeln. Wie Sie auf den Angriff reagieren, hat einen entscheidenden Einfluss darauf, ob der Angriff zu tödlichen Kopfschmerzen für das Unternehmen wird oder ob Sie ruhmreich aus der Sache hervorgehen.

Denken Sie daran, während des Wiederherstellungsvorgangs alle Schritte aufzuzeichnen. So gewährleisten Sie vollkommene Transparenz für Ihre Mitarbeiter und allgemein für die öffentliche Meinung. Versuchen Sie auch jegliche Beweise der Ransomware aufzubewahren, um später zu versuchen weitere bösartige Software ausfindig zu machen, die es auf Ihr IT-System abgesehen hat. Das bedeutet Protokolldateien und Spuren der Malware zu speichern, die für spätere Untersuchungen nützlich sein können.

1. Schritt: Ausfindig machen und isolieren

Zuerst sollten Sie sich ein klares Bild davon verschaffen, welche Reichweite der Angriff hat. Hat die Ransomware, bzw. Erpressungssoftware das ganze Netzwerk befallen? Sind wirklich alle Büros davon betroffen?

Suchen Sie nach den infizierten Computern und Netzwerksegmenten innerhalb der IT-Infrastruktur Ihres Unternehmens und isolieren Sie diese sofort von dem restlichen Netzwerk, um der Kontaminierung so gut wie möglich entgegenzuwirken.

Arbeitet Ihr Unternehmen nur mit wenigen Computern, können Sie Ihre Überprüfung direkt mit Folgendem beginnen: Virenscanner, Endgeräteerkennung und Reaktion (EDR), Firewall und Logdateien. Bei einer geringen Computer-Anzahl können Sie von Rechner zu Rechner gehen und diese einzeln überprüfen.

Ist genau das Gegenteil der Fall und Ihr Unternehmen arbeitet mit zahlreichen Computern, ist es sinnvoller die Prozesse und Logdateien mithilfe des SIEM-Systems zu analysieren. Damit ist es natürlich längst nicht getan, aber Sie verschaffen sich einen Überblick über die Situation.

Nachdem Sie die infizierten Geräte vom Netzwerk getrennt haben, erstellen Sie Disk-Images und verwenden Sie die Geräte möglichst nicht mehr, bis die Untersuchung abgeschlossen ist. (Kann sich das Unternehmen keine längeren PC-Ausfallzeiten leisten, erstellen Sie trotzdem die Disk-Images und verwahren Sie den Speicherauszug für die Untersuchung auf.)

2. Schritt: Analysieren und handeln

Nach Beendigung der Überprüfung Ihrer IT-Systeme verfügen Sie jetzt über eine Liste mit den Geräten, dessen Daten verschlüsselt wurden und Sie haben auch die Abbilder der entsprechenden Festplatten. Alle infizierten Geräte sind bereits vom Netzwerk getrennt und stellen keine Gefahr mehr dar. Sie könnten direkt mit der Wiederherstellung Ihrer Daten auf den verschlüsselten Festplatten beginnen, aber es ist ratsam vorher die Sicherheit des restlichen Netzwerkes zu überprüfen.

Jetzt ist es an der Zeit, die Ransomware zu analysieren – versuchen Sie herauszufinden, wie sich die Malware auf Ihren Computern installieren konnte und von welchen Verbrechergruppen diese Schadsoftware in der Regel verwendet wird. Kurz gefasst, beginnen Sie mit dem Prozess des Threat Huntings. Ransomware kommt nicht einfach so aus dem Nichts. Zur Installation ist ein Dropper, ein Remote Access Tool (RAT), ein Trojaner-Loader oder etwas Ähnliches erforderlich. Es ist ausschlaggebend herauszufinden, was es genau war.

Hier beginnen Sie mit einer internen Ermittlung. Durchstöbern Sie die Logdateien, um zu entdecken, welcher Rechner zuerst infiziert wurde und warum dieser Computer den Angriff nicht abgewehrt hat.

Mit den Ergebnissen Ihrer Ermittlung in der Hand, befreien Sie das Netzwerk von verborgener Malware und falls möglich setzen Sie die Geschäftstätigkeiten wieder in Gang. Denken Sie dann darüber nach, wie Sie den Angriff hätten verhindern können. Welche Sicherheits-Software fehlt in Ihrem Unternehmen? Beheben Sie sämtliche Sicherheitslücken.

Informieren Sie dann alle Mitarbeiter über den Vorfall. Halten Sie ein kurzes Informationsgespräch oder geben Sie praktische Anleitungen dazu, wie diese Cyberfallen vermieden werden können und weisen Sie darauf hin, dass in Kürze ausführliche Schulungen rund um das Thema zur Verfügung gestellt werden.

Achten Sie ab jetzt immer darauf, alle Updates und Installationen von Patches rechtzeitig durchzuführen. Update- und Patchmanagement ist eine der obersten Prioritäten von IT-Administratoren, denn oft nutzt Malware Schwachstellen aus, um sich in Unternehmensnetzwerke einzuschleusen, für die bereits effektive Patches entwickelt wurden.

3. Schritt: Desinfizieren und wiederherstellen

Zu diesem Zeitpunkt haben Sie die Bedrohung für das Unternehmensnetzwerk neutralisiert und die Sicherheitslücke entfernt, die von der Malware ausgenutzt wurde. Es ist also an der Zeit, sich um die Computer zu kümmern die außer Betrieb sind. Wenn die Rechner nicht mehr für die Untersuchung erforderlich sind, können Sie jetzt die Festplatten formatieren und die Daten über das letzte „saubere“ Back-up wiederherstellen.

Wenn Ihnen kein Back-up zur Verfügung steht, bleibt Ihnen nichts anderes übrig, als zu versuchen, die Daten auf den Festplatten zu entschlüsseln. Werfen Sie hierfür zuerst einen Blick auf Kasperskys Website mit kostenlosen Ransomware Decryptoren. Wenn Sie Glück haben, gibt es bereits ein Entschlüsselungstool für die Ransomware, die Ihr Unternehmen angegriffen hat. Sollten Sie keinen passenden Dekryptor auf der Seite finden, setzten Sie sich mit Ihrem Cybersicherheitsanbieter in Verbindung, um gemeinsam nach der besten Lösung zu suchen. Denken Sie daran, die verschlüsselten Dateien unter keinen Umständen zu löschen. Von Zeit zu Zeit tauchen neue Dekryptoren auf und vielleicht ist dann auch der richtige für Sie dabei – es wäre auf jeden Fall nicht das erste Mal, dass so etwas geschieht.

Und egal was passiert, zahlen Sie keinesfalls das geforderte Lösegeld! Damit würden Sie die Kriminellen nur finanziell unterstützen und möglicherweise werden Ihre Daten nach der Zahlung nicht einmal entschlüsselt. Abgesehen von der Verschlüsselung, besteht auch die Möglichkeit, dass die Verbrecher Ihre Daten gestohlen haben, um weitere Erpressungsgelder damit einzutreiben. Eine Lösegeldzahlung an die habgierigen Verbrecher kann dazu führen, dass noch mehr Lösegeld gefordert wird. In manchen Fällen klopften die Cyberkriminellen bereits nach wenigen Monaten erneut mit der Drohung an die Tür, die Daten zu veröffentlichen, um noch mehr Geld zu erpressen.

Es ist sinnvoller sich damit abzufinden, dass die gestohlenen Daten an die Öffentlichkeit gelangen könnten und sich auf dieses mögliche Datenleck vorzubereiten. Den Vorfall können Sie nicht ewig verheimlichen – früher oder später werden Sie mit Mitarbeitern, Aktionären, Behörden und höchstwahrscheinlich auch Journalisten darüber reden müssen. Offenheit und Ehrlichkeit sind hier sehr wichtig und werden sehr geschätzt.

4. Schritt: Ergreifen Sie präventive Maßnahmen

Cybervorfälle bedeuten immer großen Ärger und bekanntlich ist Vorbeugung die beste Medizin. Bereiten Sie sich im Voraus auf mögliche Vorfälle vor.

  • Installieren Sie einen zuverlässigen Schutz auf allen Endgeräten des Unternehmensnetzwerkes (einschließlich Smartphones).
  • Unterteilen Sie das Netzwerk und installieren Sie gut konfigurierte Firewalls. Noch besser wäre, wenn Sie Next Generation Firewalls (NGFW) oder ein ähnliches Produkt verwenden, die automatisch Daten zu neuen Bedrohungen erhalten.
  • Gehen Sie über Virenscanner hinaus und verwenden Sie leistungsstarke Threat-Hunting-Tools.
  • Implementieren Sie bei großen Unternehmen ein SIEM-System, das sofort vor Gefahren warnt.
  • Schulen Sie Mitarbeiter in Cybersecurity Awareness mit regelmäßigen interaktiven.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.