Die Angriffe und Bedrohungen für die Unternehmens-IT sind keine Seltenheit und betreffen zunehmend auch Backups. Hier muss man Gegenmaßnahmen treffen, um seine Daten abzusichern.
Die Zunahme von Cyberattacken in den letzten paar Jahren ist atemberaubend. Mit diesem hohen Anstieg in der Häufigkeit der Angriffe und der Gesamtkosten für Prävention und Sanierung ist die Annahme plausibel, dass eine Cyberattacke viel wahrscheinlicher zu einem Ausfall der IT und des Unternehmens führen wird als irgendeine Naturkatastrophe. Es ist deshalb eine zwingende Notwendigkeit, die Daten zu sichern und zusätzlich die Backups vor Ransomware und anderen Sicherheitsrisiken zu schützen.
Die meisten Unternehmen konzentrieren sich auf Schutz- und Aufdeckungsmaßnahmen. Aber selbst prominente Security-Anbieter werden eingestehen, dass sie nicht alles aufhalten können, so dass man davon ausgehen muss, dass ein bestimmter Prozentsatz von Angriffen erfolgreich sein wird. Und deshalb tauchen jede Woche immer wieder Cyberattacken in den Nachrichten auf.
Es ist wichtig, die Taktik von Cyberkriminellen zu studieren, um die Attacken aufzuhalten oder mit den schnellsten und kostengünstigsten Methoden auf sie zu reagieren. Die Liste der involvierten IT- und Sicherheitsprofis muss eine weitere Rolle enthalten: den Backup-Administrator. Man wird sich fragen: „Warum?“ Aber die bessere Frage ist: „Was haben Backups mit Cyber-Security zu tun?“
Backups sind die eine narrensichere Methode, um ein Unternehmen wieder in einen bekannten sicheren Status zurückzuversetzen. Sie können bei Dateiverschlüsselung, Datenmanipulation, Änderungen der Directory Services, Änderungen der Zugangserlaubnisse und mehr Abhilfe schaffen. Die Backup- und Security-Strategien des Unternehmens müssen so ausgerichtet werden, dass sie die Backups vor Ransomware- und anderen Security-Risiken schützen und schnell wieder herstellen können.
Die Personen hinter den Angriffen wollen die Kontrolle über die Angriffssituation behalten, indem sie entweder im Verborgenen operieren oder offen die Kontrolle der Systeme übernehmen: Sie wollen die Wiederherstellung jedes Teils der Umgebung verhindern, das ihre Kontrolle beeinträchtigen könnte. Dies bedeutet, dass die Backups des Unternehmens mehr denn je zu einem Ziel von Cyberattacken geworden sind.
Backups in Gefahr?
Backups werden schnell zu einem neuen gefährlichen Faktor von Attacken. Wird ein Unternehmen daran gehindert, ein Recovery durchzuführen, erhalten die Angreifer die Kontrolle über ihr Vorgehen. Dies zeigte sich deutlich in den letzten paar Jahren durch eine Vielzahl von Cyberattacken, einschließlich Ransomware, lateralen Methoden und Datenzerstörung.
Ungeachtet der Art und Weise des Cyberangriffs ist es eine zwingende Notwendigkeit, die Backup-Strategie in die allgemeinen Sicherheits-Überlegungen einzuschließen.
Cyberkriminelle sind sich sehr wohl bewusst, dass Backups eines Unternehmens zu den ersten Antworten auf einen Ransomware-Angriff gehören. Es wurde zunehmend Malware entwickelt, um sich besonders auf die Suche nach gespeicherten Backups und die Identifizierung von Backup-Dateien zu machen sowie alle Mittel zu zerstören, mit denen sich ein Unternehmen wieder erholen kann. Solche Scripts und ausführbare Dateien sind programmiert, um bestimmte Dateitypen zu finden, APIs von Backup-Anwendungen auszunutzen und alle anderen Mittel anzuwenden, um Zugang zu Backups zu bekommen und sie zu zerstören.
Zu Cyberangriffen gehören die so genannten lateralen Bewegungen oder auch Seitwärtsbewegungen – das Springen von einem Rechner zu einem anderen, indem kompromittierte Berechtigungsnachweise verwendet werden – mit dem Ziel, die Fortdauer von kompromittierten Endpunkten innerhalb von Directory Services zu etablieren. Diese Fortdauer von Endpunkten sorgt dafür, dass Malware, die zum Eindringen in einen Endpunkt benutzt wurde, selbst nach ihrem Löschen bestehen bleibt.
Die Angreifer suchen einen dauerhaften Aufenthalt im Unternehmensnetz, indem sie mehrere gefälschte Accounts erzeugen, die eine Mitgliedschaft in Gruppen mit Zugang zu Servern, geteilten Dateien, Datenbanken, Anwendungen und selbst im Directory garantieren. Der einzige Weg, diese Sorte von Änderungen wieder rückgängig zu machen, besteht darin, entweder alle aufgezeichneten Änderungen manuell aufzuheben oder mittels Backups jeden manipulierten Teil der Umgebung wieder in den Zustand vor dem Angriff zurückzuversetzen.
Bei Attacken mit dem Ziel der Datenzerstörung, wie zum Beispiel die Vernichtung der VFEmail-Plattform, muss man davon ausgehen, dass die Cyberkriminellen es auch auf die Backups abgesehen haben, um in ihrem Sinne erfolgreich zu sein. Ansonsten würde die Attacke nur etwas mehr als eine vorübergehende Belästigung sein.
Wie Backups gelöscht werden
Wenn man versteht, wie Malware Backups löscht, kann man Gegenmaßnahmen einleiten, um Backups vor Ransomware zu schützen. Die drei folgenden Ransomware-Beispiele zeigen, was die Übeltäter anstellen, damit die Backups eines Unternehmens sich nicht von einem Angriff erholen können.
Zenis deaktiviert den Dienst Volume Shadow Copy, löscht Kopien der Shadow Volumes, deaktiviert die Reparatur der Inbetriebnahme und beendet den Windows-Backup-Prozess.
SamSam sieht sich nach mehr als 40 spezifischen File-Typen um – zum Beispiel nach Acronis TIB und Windows Backup BKF. Nachdem alle Laufwerke aufgelistet sind, mit denen der angegriffene Computer verbunden ist, werden alle Dateien gelöscht, auf die diese Kriterien zutreffen.
CryptoWall löscht Restore-Punkte von Hyper-V virtuellen Maschinen, wobei API-Calls genutzt werden.
Hacker haben Code entwickelt, um automatisch Accounts mit erhöhtem Directory-Zugang zu nutzen und so zahlreiche Benutzer-Accounts zu erzeugen, die sie in der Zukunft verwenden können. Und die gleichen Hacker verstehen den Wert, den das Löschen von Backups für Ransomware-Attacken bringt. Es handelt sich nicht um die Einbildung von Hackern, sondern um realistische Überlegungen, wie man beide Bedrohungsszenarien miteinander verbinden kann. Im Netzwerk von Unternehmen präsent zu bleiben, selbst nach einer anfänglichen Löschaktion, erhöht die Chancen eines späteren Erfolgs.
Welche Schritte sollte man unternehmen, um Backups vor Ransomware und anderen Bedrohungen zu schützen und die meisten Backups zu einem Verteidigungswerkzeug im Falle von Attacken zu machen?
Sechs Methoden, um Backup-Angriffsszenarien zu reduzieren
Die gemeinsamen Ziele der folgenden Empfehlungen drehen sich rund um richtige Backups, um sich wieder von Attacken zu erholen und um ihre Verfügbarkeit sicherzustellen, ungeachtet dessen, wie ausgefeilt die Angriffe auch sein werden. Die ersten vier Empfehlungen beziehen sich auf Backups, Backup-Strategie und Backup-Software. Die letzten beiden adressieren jene Teile der Umgebung, die Angreifer nutzen, um Backups zum Löschen-Menü hinzuzufügen.
Man sollte alle sechs Empfehlungen beherzigen, um eine wirksame Absperrung rund um die eigene Backup-Infrastruktur aufzubauen.
Das schützen, was die Angreifer aussuchen. Cyberkriminelle haben es nur auf einige Teile des Netzwerks abgesehen – die wertvollen Daten, das Directory und die Endpunkte –, weshalb deren Schutz wesentlich ist. Die Anzahl der aktuellen Datensets, die man schützen sollte, ist viel größer, aber wenn man es auf das Wichtigste reduziert, dann sind es diese drei genannten Datensets.
Backups on- und offsite.Da Backups eine immer größere Vorgabe werden, sollte man die Backup-Regel „3-2-1“ befolgen. Heute bedeutet die Offsite-Komponente oft Cloud-basiertes Storage. Kopien offsite zu besitzen bedeutet, dass es ein Mittel gibt, mit dem ein Unternehmen seine IT eigenständig auf einen bekannten sicheren Status zurücksetzen kann – selbst wenn lokale Kopien gelöscht wurden.
Die Backup-Software sichern. Die Cyberkriminellen verändern Instanzen von größerer Backup-Software in umgekehrte Richtung, um Möglichkeiten zum Löschen von Backups zu finden, ungeachtet dessen, wo sie gespeichert sind. Selbst Backup-Software ist anfällig für Attacken und ist eventuell nicht zu 100 Prozent gegen Verwundbarkeiten gefeit. Das für das Hosting der Backup-Software verantwortliche System zu isolieren, so dass es nicht zugänglich ist für entfernte Desktop-Protokolle, APIs, File-Sharing und so weiter, führt logischerweise dazu, schon die Möglichkeit für Malware zu eliminieren, Kontrolle über die Backups zu gewinnen.
Malware in Backups entdecken. Es gibt eine Reihe von Backup-Produkten, die nach nicht-autorisierten ausführbaren Dateien scannen und entdecken, ob Ransomware große Mengen an Daten auf einem Endpunkt oder auf einem Server verschlüsselt hat. Indem man diese Features zum Schutz vor Ransomware einsetzt, fügt man eine weitere Schicht zur Security-Strategie des Unternehmens hinzu, aber es wird eventuell auch etwas die Latenzen der Backup- und Recovery-Prozesse erhöhen. Man sollte seinen Lieferanten und den Backup-Administrator zu den Auswirkungen dieser zusätzlichen Scans auf die Backup- und Restore-Fenster fragen.
Weniger Privilegien vergeben. In jedem Ransomware-Fall ist die Erlaubnis für Zugang zu und Löschen von Backups notwendig für den Erfolg. Der Weg zum Verhängnis, der Angreifer zu einem Account mit besagten Erlaubnissen führt, beginnt damit, dass lokale Administratoren Zugang zu den anfangs infizierten Endpunkten erhalten. Die privilegierten Accounts – wie zum Beispiel den lokalen Administrator – von den regulären User Accounts zu trennen, ist ein vernünftiger Anfang für den Schutz von Backups vor Ransomware. Man sollte außerdem Netzwerksegmentierung, Management von privilegiertem Zugang und begrenzte Privilegien einrichten, um es den Angreifern schwerer zu machen, Kontrolle über einen Endpunkt und Zugang zu erhöhten Beglaubigungen zu gewinnen.
Anwenderverhalten analysieren. Schlussendlich müssen die Übeltäter in einem bestimmten System eine schädliche Aktion durchführen, um zum Erfolg zu kommen. In vielen Fällen erreichen sie ihr Ziel, indem sie vorhandene Tools wie PowerShell benutzen, um ihre üblen Taten zu vollenden. Aber indem man irgendeine Form von Endpoint-Schutz vor Ort besitzt, um das Prozessverhalten zu überwachen – zum Beispiel hat PowerShell den Volume Shadow Copy Service deaktiviert –, ist man besser in der Lage, schädliche Aktivitäten zu erkennen, bevor ein richtiger Schaden passiert ist.
Abbildung 1: So sieht die Angriffskette auf ein Backup aus.
Diese Empfehlungen versetzen Unternehmen in die Lage, Backups vor Ransomware und anderen Bedrohungen zu schützen. Um saubere Backups zu besitzen, um auf eine Cyberattacke antworten zu können, muss man Kopien behalten, selbst wenn lokale Backups gelöscht worden sind. Und man muss außerdem Schritte unternehmen, um die Möglichkeiten zu minimieren, dass Backups an erster Stelle in Mitleidenschaft gezogen werden.
Das Sicherheitsrisiko bei Backups eliminieren
Man sollte davon ausgehen, dass Cyberkriminelle als Teil ihrer Attacke besonders zwei Dinge tun wollen: Änderungen an der Umgebung des Unternehmens machen und die Fähigkeit des Angegriffenen begrenzen, irgend etwas dagegen tun zu können. In vielen Fällen erreichen sie das zuletzt genannte Ziel, indem sie einfach die Backups löschen. Es ist deshalb besonders wichtig, sich mehr Gedanken über Backups und die Bezüge zu allen möglichen Formen von Malware zu machen, da gerade Backups dazu dienen können, ein Rollback der Umgebung zu einem früheren sauberen Status durchzuführen – ungeachtet der Art und Weise, wie eine Attacke vorgeht.
Da die viele Hersteller Methoden zum verbesserten Backup-Einsatz entwickeln – zum Beispiel Scannen von Daten vor Backup und Recovery –, werden die Angreifer weiter mit kreativen Gegenmaßnahmen herauskommen, um Backups aus ihrem Szenario herauszunehmen. Auf diese Weise erhöhen sie ihre Erfolgschancen, so dass es keinen Ausweg gibt, außer man zahlt ein Lösegeld oder man baut die angegriffenen Teile seines Netzwerks vom Grunde neu auf.
Ungeachtet der Art und Weise des Cyberangriffs ist es eine zwingende Notwendigkeit, die Backup-Strategie in die allgemeinen Sicherheitsüberlegungen einzuschließen. Die Angreifer werden wahrscheinlich auf die Backups des Unternehmens losgehen. Deshalb sollte man jetzt aktiv werden, die Backups besser vor Ransomware und anderen Cyberattacken zu schützen – bevor die Gegenseite losgeschlagen hat.
