Vorbei sind die Zeiten, als nur Viren und Trojaner Unfug trieben. Inzwischen steht viel kriminellere Energie in institutionalisierter Form hinter Malware, vor allem bei Erpressungstrojanern. Egal, ob die Täter Dateien verschlüsseln oder persönliche Daten stehlen und mit deren Veröffentlichung drohen: In der Regel ist das Motiv kommerzieller Natur. Im Gegenzug für die Rückgabe oder Geheimhaltung der Daten sollen Zahlungen fliessen. Dabei ist längst nicht gesichert, dass die versprochene Rückgabe erfolgt. Obwohl die Kriminalpolizei vom Bezahlen abrät, schätzt man die gezahlten Lösegelder auf Millionen. Kein Wunder, dass das Geschäftsmodell Ransomware boomt.
Im nachfolgenden Beitrag möchten wir einen Erfahrungsbericht teilen und zeigen, was bei einer Infektion tatsächlich passiert, welche Schritte zur Bewältigung der Krise führen können und welche Lessons Learned man für die Zukunft gewinnen kann.
Wie wurde der Ransomware-Befall festgestellt?
Die Geschichte begann mit einem Anruf im Servicedesk am Montagmorgen um 7.00 Uhr. Ein Kunde meldete, dass sich Mitarbeitende unternehmensweit nicht einloggen könnten und der Zugriff auf Daten und Applikationen nicht möglich sei. Nach einer kurzen Analyse der Systeme stand fest: Eine Infektion mit einer Ransomware liegt vor. Die Situation wurde von den Leuchter Servicedesk Mitarbeitenden sehr schnell an einen Spezialisten eskaliert, der sich für das Krisenmanagement verantwortlich zeichnete. Zeitgleich wurden die Systeme des Kunden umgehend heruntergefahren und für eine vertiefte Analyse vorbereitet. Bei der Sichtung der Systeme konnte festgestellt werden, dass eine Ransomware alle Daten des Kunden verschlüsselt sowie auch bereits die Backups infiziert hatte. Glücklicherweise existierte eine Kopie der Kundendaten in der Leuchter CLOUD. Zu diesem Zeitpunkt konnte noch nicht verifiziert werden, wann und auf welchem Weg der Crypto-Trojaner in das System eingedrungen war. Aufgrund des Umfangs der Infektion (Server, Clients und Backups) musste formell davon ausgegangen werden, dass auch Zugangsdaten kompromittiert waren.
Wie reagiert man im Falle eines Ransomware Angriffs?
Aufgrund der Schwere der Infektion und der Aussicht, dass auch alle Zugänge kompromittiert waren, blieb wenig Handlungsspielraum für geeignete Massnahmen. Gleichzeitig stand der Betrieb des Kunden auf allen Ebenen still, was einen nicht zu unterschätzenden Zeitdruck erzeugte. Nach der ersten Sichtung stand fest, dass unverzüglich ein Krisenstab gebildet werden musste, in welchem die Unternehmensleitung sowie verantwortliche Engineers der Leuchter IT Solutions Einsitz hatten und auf kurzen Dienstwegen transparent kommunizieren konnten. Man konnte sich schnell darauf einigen, dass halbe Massnahmen keine Massnahmen sind und dass nach der Bewältigung der Krise keine Eventualitäten mehr für eine Restinfektion vorhanden sein dürfen. Im Gegenzug wurde den Engineers genügend Zeit für die Umsetzung der Bereinigung eingeräumt, auch wenn dies im allerbesten Fall einen schmerzhaften, mehrtägigen Stillstand des Betriebs zur Folge hatte. Ebenfalls hatte sich (auch retrospektiv gesehen) bewährt, offen, direkt und ohne Beschönigung zu kommunizieren und die Argumentation des Gegenübers jeweils zu respektieren.
Strategischer Entscheid: Neuaufbau der Infrastruktur anstatt Lösegeldzahlungen
Kunde und Engineers hatten nach der Analyse der Situation gemeinsam entschieden, die Umgebung komplett neu aufzubauen, statt wertvolle Zeit in Massnahmen zu investieren, welche allenfalls eine Restinfektion übersehen hätten. Die bestehenden IT-Systeme des Kunden wurden logisch (auf Netzwerk- und Systemebene) aufgetrennt, in einen infizierten und einen sauberen Bereich. Jegliche Komponenten, welche gemeinsam genutzt wurden, so z.B. der Hyper-Visor, wurden neu aufgesetzt. Die infizierte Umgebung wurde für forensische Zwecke zugänglich gemacht, ohne einen Übergriff auf die neue Umgebung zu ermöglichen. Ein externer Forensik-Spezialist begann mit der Analyse der Systeme, um die Herkunft der Ransomware zu ermitteln und mögliche rechtliche und technische Auswirkungen und Handlungsmöglichkeiten abzuschätzen. Gleichzeitig hatten die Leuchter Engineers im anderen Teil der Umgebung mit dem Neuaufbau von sauberen Systemen begonnen. Buchstäblich Tag und Nacht arbeiteten Adrian Benz, Tim Wiederkehr und Christoph Rizzo, um die Systeme baldmöglichst wieder bereitzustellen. Nach mehreren Tagen konnten dann die alten Daten zurückkopiert werden und somit konnte der Kunde wieder seine normale Arbeit aufnehmen. Ebenfalls wurden alle Arbeitsplatzsysteme wiederhergestellt und für den Einsatz verfügbar gemacht. Die nötigen Zonenwechsel auf Netzwerkebene konnten erfolgreich ohne Durchschlag der Malware implementiert werden.
Wie konnte die Schadsoftware ins Unternehmensnetzwerk gelangen?
Es gab starke Indizien dafür, dass die Ransomware von einem Benutzer mit erhöhten Rechten (Domain-Administrator) eingeschleust wurde. Dieser hatte entsprechende Privilegien aufgrund seiner Poweruser-Rolle genutzt, um eine freie Software aus dem Internet herunterzuladen. Jene Software gilt eigentlich als legitime Anwendung für den benötigten Zweck, jedoch wurde ein kompromittiertes Installationspaket von einer nicht vertrauenswürdigen Drittquelle genutzt. Das Installationsfile hatte eine Malware im Gepäck und verteilte diese auf den Systemen, ohne dass der Beginn der Infektion Auffälligkeiten zeigte. Anhand der forensischen Indizien zeigte sich, dass zwischen Infektion und Ausbruch mehrere Wochen lagen.
Ebenfalls interessant: Der eigentliche Ausbruch, also das Aktivwerden der Ransomware, konnte auf einen Freitagabend um ca. 23:30 eingegrenzt werden. Es handelte sich gleichzeitig um ein Tages-, Wochen- und Monatsende. Zu diesem Zeitpunkt hatte die Ransomware ein maximales Zeitfenster, um zu wirken, denn das Cryptopacking erforderte Rechenzeit (der Vorgang ähnelt stark handelsüblichem Komprimieren). Zudem lag das letzte Wochen- und Monatsbackup maximal weit zurück. Eine gesicherte Aussage lässt sich nicht machen. Aber es liegt sehr nahe, dass der Zeitpunkt gezielt gewählt wurde, um ein Höchstmass an Schaden zu verursachen und damit die Wahrscheinlichkeit einer Zahlung zu erhöhen
Lessons Learned für die Zukunft
Schlussendlich darf man den Beteiligten zu einer mutigen Entscheidung und grossartigen Leistung gratulieren. Praktisch ohne Datenverlust und in Rekordzeit konnte für den Kunden eine neue Arbeitsplatzumgebung mit Clients, Servern und Netzwerk bereitgestellt werden.
Auch wenn der Vorfall hätte schlimmer ausgehen können: In Zukunft sollte ein solches Ereignis um jeden Preis vermieden werden. Was lernen wir also?
1. Keine Arbeit mit erhöhten Rechten (Admin)
Das Arbeiten mit Administratorenrechten, ungeachtet ob auf Client oder Server, birgt ein immenses Risiko. Jede Aktion wird im Sicherheitskontext des ausführenden Benutzers gemacht. Surfen mit Admin-Rechten birgt also ein sehr viel höheres Risiko, als mit Benutzerrechten. Daher gilt strikt, so wenig Rechte wie möglich zu vergeben. Ein normaler Office-Benutzer benötigt in den meisten Fällen keine Administratorenberechtigung im Alltag.
2. Keine Binaries aus nicht vertrauenswürdigen Quellen
Installationspakete sind strikt aus vertrauenswürdigen Quellen herunterzuladen, also von der Herstellerseite. Wichtig ist weiter, auch den heruntergeladenen Inhalt zu prüfen. Dazu stellen die meisten Hersteller die Hashes der Binaries auf der Website zur Verfügung oder signieren die Installationspakete gleich direkt. Das Abfangen und Verändern von legitimen Installationsdaten ist mittlerweile eine gängige und institutionalisierte Praxis, welche sogar von Staaten betrieben wird.
3. Offline-Backup ist unverzichtbar
Ein Hot- oder Diskbackup ersetzt kein Cold oder Offline Backup. Daher ist auch in der heutigen Zeit ein Backup auf ein Medium, welches ausserhalb der Systeme oder sogar ausserhalb der Organisation gelagert wird von grösster Wichtigkeit. Daher empfehlen wir immer noch ein Backup to Tape oder to Cloud. Gerne beraten wir Sie auf der Suche nach der bestmöglichen Lösung für Ihr Unternehmen.
4. Krisenmanagement ist unerlässlich
Ein schnelles und geübtes Krisenmanagement ist in solchen Situationen das A und O. Schnelle und effiziente Entscheidungen zu treffen und diese umzusetzen, kann in solchen Situationen über Erfolg oder Misserfolg entscheiden. Dabei hat sich bewährt, auf beiden Seiten mit offenen Karten zu spielen, nichts zu beschönigen und auch nichts zu grosszügig zu schätzen. Beide Seiten müssen sich darauf verlassen können, dass die Aussagen als bare Münze genommen werden, um Entscheidungen und das weitere Vorgehen zu planen. Gleichzeitig dürfen sich die Beteiligten nicht zu Aussagen drängen lassen, wenn noch nicht die Zeit dafür ist. Ein «Ich kann noch keine Aussage dazu machen» ist eine wert- und sinnvolle Möglichkeit, den richtigen Weg zur Bewältigung der Krise zu finden. Das Team der Leuchter IT Solutions stellt in solchen Situationen gerne ein Krisenmanagement Team aus Spezialisten zusammen, um schnellstmöglich die nächsten Schritte zu planen.
5. Eine Wiederherstellung nach einem Schadsoftware-Befall braucht Zeit
Sollte es trotz aller Vorsichtsmassnahmen zum Befall kommen, ist es wichtig, ohne Verzug zu reagieren. Je weniger Zeit bis zu den ersten Massnahmen verstreicht, desto schneller kann wieder gearbeitet werden. Jedoch vergehen schnell Tage bis Wochen bis eine Firmenumgebung wieder auf dem gleichen Stand ist, wie vor dem Befall. Daher ist es umso wichtiger, vorgängig die richtigen Massnahmen zur Vorbeugung solcher Ereignisse zu treffen. Auch kann es sinnvoll sein, ein Befall-Szenario vorgängig zu testen, um im Ernstfall sofort reagieren zu können (Sprichwort BCM Planung).